NIS-2 und die deutsche Umsetzung - Teil 3

NIS-2-Umsetzungsgesetz: Die wichtigsten Fragen und Antworten

1. Wann tritt das NIS2-Umsetzungsgesetz in Kraft?

Das Gesetz sollte gemäß den Vorgaben der EU spätestens bis zum 17. Oktober 2024 in Kraft treten. Allerdings wird zurzeit mit einem Inkrafttreten im Frühjahr 2025 gerechnet. Der Referentenentwurf wird gegenwärtig im Bundestag beraten. Auch wenn im Detail noch einige Fragen offen sind (siehe dazu unsere Blog-Artikel I und II), stehen die wesentlichen Weichenstellungen allerdings bereits fest, sodass die voraussichtlich betroffenen Unternehmen sich bereits jetzt mit den Anforderungen befassen können und sollten.

2. Gibt es Übergangsfristen zur Umsetzung der Maßnahmen?

Nein, es sind keine Übergangsfristen vorgesehen. Die Maßnahmen müssen ab Inkrafttreten des Gesetzes sofort umgesetzt werden. Daher sollten sich Unternehmen bereits jetzt vorbereiten und die geforderten Maßnahmen angehen. Besonders wichtig: Unternehmen, die unter die Richtlinie fallen, müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren.

3. Was ist ein erheblicher Sicherheitsvorfall?  

Ein "Sicherheitsvorfall" ist gemäß der Begriffsdefinition des Entwurfs des NIS2UmsuCG in § 2 Nr. 40 ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt.
 

Ein „erheblicher Sicherheitsvorfall“ ist nach § 2 Nr. 11 ein Sicherheitsvorfall, der

a)    schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
b)    andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Zwar lässt sich dem Entwurf (genauso wie der NIS-2-Richtlinie selbst) nicht näher entnehmen, welche Schwellenwerte hierfür im Detail relevant sind. Jedoch lassen sich aus anderen Rechtsakten Tendenzen hierzu entnehmen, wie die Aufsichtsbehörden den Begriff interpretieren werden. Wenn Sie hierzu unsere Einschätzung einholen wollen, fragen Sie uns gern.

4. Was bedeutet der „Stand der Technik“ für die IT-Sicherheit?

Der Begriff „Stand der Technik“ bezieht sich auf die Anwendung von anerkannten Sicherheitsstandards, wie der ISO 27001 oder den BSI IT-Grundschutz. Unternehmen sollten sicherstellen, dass ihre IT-Sicherheitsmaßnahmen diesen Standards entsprechen. Eine ISO 27001-Zertifizierung ist zwar nicht zwingend vorgeschrieben, kann jedoch als Beleg dafür dienen, dass ein Unternehmen die entsprechenden Sicherheitsstandards erfüllt. Allerdings genügt die ISO 27001-Zertifizierung nicht, um den Anforderungen von NIS-2 gerecht zu werden, sondern deckt schätzungsweise 70% der Anforderungen ab. 
Für Betreiber kritischer Anlagen gelten erhöhte Anforderungen, wobei das Gesetz hier einiges im Unklaren lässt. Insbesondere sind sie verpflichtet, Systeme zur Angriffserkennung einzusetzen.

5. Müssen wir alle Lieferanten in unsere Sicherheitsstrategie einbeziehen?
Das NIS-2-Umsetzungsgesetz verpflichtet die Unternehmen, umfassende Risikomanagementmaßnahmen zu ergreifen. Dazu müssen sie unter anderem Risiken in ihrer Lieferkette identifizieren, bewerten und adressieren, um die Sicherheit sensibler Daten und die Business Continuity zu gewährleisten. Essentiell ist dabei die Überprüfung der Sicherheitsvorkehrungen der eigenen Lieferanten. Das umfasst insbesondere IT-Dienstleister, Anbieter von Kommunikationsnetzen und andere Partner, die auf die Datenverarbeitung Einfluss haben, geht aber nach dem Wortlaut deutlich darüber hinaus. Die relevanten Lieferanten werden dadurch gezwungen, selbst angemessene Sicherheitsmaßnahmen zu erfüllen und dies auch nachweisen zu können. Wenn Sie wissen möchten, welche Lieferanten Sie in erster Linie zu berücksichtigen haben, sprechen Sie uns gern an.

6. Wie müssen Verträge in der Lieferkette fortan gestaltet werden?

Das NIS-2-Umsetzungsgesetz stellt klare Anforderungen an die Absicherung der Lieferkette, was Unternehmen dazu zwingt, ihre Verträge mit Dienstleistern und Zulieferern entsprechend anzupassen. Diese Änderungen betreffen vor allem Sicherheitsvorkehrungen, Transparenz und Haftung.

a)    Einbindung von Sicherheitsanforderungen
Unternehmen müssen sicherstellen, dass die von NIS-2 geforderten Cybersicherheitsmaßnahmen in die Verträge mit ihren Lieferanten aufgenommen werden.

Das umfasst:

• Risikomanagement: Verträge sollten detaillierte Vorgaben zum Risikomanagement der Lieferanten enthalten. Dies betrifft etwa die Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen, die in der Lieferkette genutzt werden. 
• Sicherheitsstandards: Es sollte klar festgelegt werden, dass die Lieferanten anerkannte Sicherheitsstandards einhalten müssen, wie beispielsweise ISO 27001 oder den BSI IT-Grundschutz. Dies gibt den Unternehmen eine solide Grundlage, um die Compliance ihrer Lieferanten sicherzustellen.

b)    Meldepflichten von Sicherheitsvorfällen
Verträge müssen eine Meldepflicht für Sicherheitsvorfälle beinhalten. Lieferanten, die von einem Cybervorfall betroffen sind müssen verpflichtet werden, diesen unverzüglich zu melden. Dies betrifft vor allem Vorfälle, die die Sicherheit der Systeme und Daten des Unternehmens beeinflussen könnten. Die schnelle Reaktion auf Vorfälle ist entscheidend, um rechtzeitig Maßnahmen zu ergreifen und potenzielle Schäden zu minimieren.

c)    Auditrechte und Nachweise
Unternehmen sollten sich das Recht auf regelmäßige Sicherheitsaudits und die Einholung von Nachweisen über die ergriffenen Sicherheitsmaßnahmen vorbehalten. In den Verträgen sollte festgelegt werden, dass Unternehmen ihre Lieferanten regelmäßig auditieren dürfen, um die Einhaltung der vereinbarten Cybersicherheitsanforderungen zu überprüfen. Auch die Pflicht zur Vorlage von Zertifizierungen oder Prüfberichten, die die Sicherheitsmaßnahmen des Lieferanten belegen, sollte vertraglich fixiert werden.

d)    Haftung und Sanktionen

Eine klare Regelung zur Haftung im Falle eines Sicherheitsverstoßes ist unerlässlich. Wenn ein Lieferant durch mangelnde Sicherheitsmaßnahmen einen Vorfall verursacht, sollten entsprechende Haftungsregelungen und Sanktionen greifen. Dies kann von Vertragsstrafen bis hin zur außerordentlichen Kündigung des Vertrags bei schwerwiegenden Verstößen reichen.

Zusammengefasst müssen Unternehmen sicherstellen, dass ihre Lieferanten nicht nur die Sicherheitsanforderungen erfüllen, sondern auch nachweisen können, dass sie dies tun. Die Verträge sollten diese Anforderungen klar regeln, um die Einhaltung der NIS-2-Verpflichtungen zu gewährleisten und potenzielle Risiken in der Lieferkette zu minimieren. Wir stellen Ihnen gern die erforderlichen Vertragsinhalte in einem für den Markt akzeptablen Umfang bereit, sodass Sie diese sofort für Ihre Vertragsverhandlungen nutzen können.

7. Welche Melde- und Nachweispflichten bestehen im Rahmen der NIS-2-Richtlinie?

Eine Nachweispflicht besteht nur für Betreiber kritischer Anlagen. Innerhalb von drei Jahren nach Inkrafttreten des NISUmsuCG (und im 3-Jahres-Rhythmus danach) müssen Betreiber kritischer Anlagen nachweisen, dass sie die Anforderungen des Gesetzes erfüllen. 

Bei Sicherheitsvorfällen gelten umfassende Meldepflichten. So sind Unternehmen verpflichtet, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (auch am Wochenende!) an das BSI zu melden. Eine erste Bewertung muss innerhalb von 72 Stunden erfolgen, und ein abschließender Bericht ist spätestens nach einem Monat vorzulegen. Dauert der Sicherheitsvorfall an, ist eine Fortschrittsmeldung nach jeweils einem Monat notwendig. Das BSI kann das betroffene Unternehmen anweisen, seine Kunden vom Vorfall zu unterrichten. Für bestimmte Sektoren gilt die Benachrichtigungspflicht auch ohne zusätzliche Anweisung.

Auch wenn die Umsetzung des Gesetzes verspätet erfolgt, empfiehlt sich eine frühzeitige Implementierung der Meldeprozesse. Aufgrund der kurzen Fristen und der hohen Anforderungen ist eine zentralisierte Verantwortlichkeit für die Meldungen des Unternehmens kaum zu vermeiden. Die entsprechend beauftragte Stelle muss kurzfristig über die notwendigen Informationen und Befugnisse verfügen, um kompetent Auskunft geben zu können. Es versteht sich von selbst, dass eine solche Stelle samt ihrer Einbindung in die weiteren relevanten Bereiche des Unternehmens nicht kurzfristig eingerichtet werden kann. Für Konzerne und Unternehmen mit Standorten im Ausland ist die Komplexität dieser Frage nochmal deutlich größer. Hier stellt sich grenzüberschreitend die Frage, wer im Unternehmen übergreifend zuständig ist oder informiert werden muss, welche Behörden einbezogen werden müssen und wie die Meldungen ggf. abzustimmen sind.

8. Wann ist mit Kontrollen zu rechnen?

Das BSI kann stichprobenartige Kontrollen durchführen und bei festgestellten Sicherheitsmängeln die Vorlage von Mängelbeseitigungsplänen verlangen. Stichproben sind bei besonders wichtigen Einrichtungen anlasslos möglich, bei wichtigen Einrichtungen nur im Verdachtsfall. 
Stichproben sind in der Breite zumindest anfangs nicht zu erwarten, solange das BSI nicht genügend Prüfer hat. Sollte allerdings ein erheblicher Sicherheitsvorfall eintreten, der beim BSI Fragen aufwirft, ist eine Kontrolle nicht mehr so fernliegend. Laut dem BSI werden pro Jahr mehrere Tausend Vorfälle in Deutschland als erhebliche Cybersicherheitsvorfälle gemeldet, was auf täglich Dutzende ernste Vorfälle schließen lässt. Die Möglichkeit eines solchen Vorfalls im eigenen Unternehmen zu einer Zeit, zu der die nach NIS-2 notwendigen Maßnahmen noch nicht umgesetzt sind, lässt sich daher nur ausschließen, wenn frühzeitig mit der Umsetzung begonnen wird. Abgesehen davon liegt es auch im Interesse des Unternehmens, seiner Anteilsinhaber, Kunden und Mitarbeitenden, dass das Unternehmen angemessen gegen Cybersecurity-Risiken geschützt ist.

9. Welche Strafen drohen bei Nichteinhaltung der NIS-2-Anforderungen?

Bei Verstößen gegen das NISUmsuCG können hohe Geldstrafen verhängt werden. Für besonders wichtige Einrichtungen können die Geldbußen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Für wichtige Einrichtungen können sich die Bußgelder auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes belaufen. Die Höhe der Geldstrafen ist gestaffelt und hängt von der Schwere des Verstoßes ab. Für größere Unternehmen sind die Strafen höher.

Verstöße können zudem zu Haftungsansprüchen gegen die Geschäftsleitung führen.

Fazit: Jetzt handeln!

Die Anforderungen des NIS-2-Umsetzungsgesetzes sind umfangreich und betreffen nicht nur klassische Betreiber Kritischer Infrastrukturen. Unternehmen sollten jetzt handeln, um rechtzeitig die geforderten Cybersicherheitsmaßnahmen umzusetzen und sich auf mögliche Meldepflichten vorzubereiten. Insbesondere die umfangreiche Risikobewertung, die Einbindung der Lieferkette in die Sicherheitsstrategie und die persönliche Haftung der Geschäftsleitung machen es erforderlich, frühzeitig die nötigen Schritte einzuleiten.

Sollten Sie unsicher sein, ob Ihr Unternehmen betroffen ist oder weitere Fragen zur Umsetzung haben, stehen wir Ihnen gerne zur Verfügung.