Anwendungsbereich
Im Vergleich zur alten NIS-Richtlinie und der Kritis-Verordnung wird der Kreis der betroffenen Unternehmen drastisch erweitert: Allein in Deutschland steigt die Zahl durch die Definition der besonders wichtigen und wichtigen Einrichtungen von rund 2.000 auf über 30.000. Bisher fielen vor allem große Krankenhäuser als KRITIS-Betreiber unter die Regulierung. Das Kriterium von 30.000 stationären Fällen im Jahr zur Definition als kritische Infrastruktur bleibt unverändert.
Als „besonders wichtige Einrichtungen“ sind Organisationen mit mehr als 250 Mitarbeitern oder einem Umsatz von mehr als 50 Mio. Euro und einer Bilanzsumme von mehr als 43 Mio. Euro definiert. Als „wichtige Einrichtungen“ gelten Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Mio. Euro und einer Bilanzsumme von mehr als 10 Mio. Euro. Gerade im Krankenhaussektor bzw. bei MVZs sind die Schwellwerte für besonders wichtige Einrichtungen recht schnell erreicht. Aber auch für Labore, Hersteller von Medizinprodukten, Pharmaunternehmen sowie Forschungs- und Entwicklungseinrichtungen gelten diese Regelungen.
Pflege-, Eingliederungseinrichtungen sowie Werkstätten für behinderte Menschen sind nicht Teil der NIS-2-Richtlinie. Sollten diese jedoch durch zentrale Strukturen, zum Beispiel in einem Konzern, organisiert sein und IT-technisch betreut werden, empfiehlt es sich, NIS-2 nicht außen vor zu lassen.
Verantwortung und Haftung
Eine der herausragenden Änderungen betrifft die Führungsebene von Unternehmen. Hier sind besonders die persönliche Haftung der Geschäftsleitung sowie anderweitige Sanktionen zu nennen. Die Verantwortung für die Umsetzung der notwendigen Maßnahmen (siehe unten) liegt bei der Geschäftsleitung, der bei schuldhaften Versäumnissen die persönliche Haftung mit dem Privatvermögen droht. Eine Delegierung dieser Verantwortung, beispielsweise an die IT, ist nun nicht mehr statthaft.
Weitere Sanktionen sind in den drastisch gestiegenen Bußgeldern zu finden. Bei „besonders wichtigen Einrichtungen“ können die Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes betragen. Zu beachten ist, dass das NIS-2-Umsetzungsgesetz keine Übergangsfristen für die Umsetzung der Security-Maßnahmen und Pflichten definiert, d. h. die Sanktionen und Bußgelder können ab Inkrafttreten der NIS-2 -Umsetzung verhängt werden (beispielsweise bei Verstößen gegen die Registrierungs- oder Meldepflichten). Zusätzlich besteht für Mitglieder der Geschäftsführung eine Pflicht zur Teilnahme an regelmäßigen Schulungen im Bereich Risikomanagement und an IT-Sicherheitsschulungen, um die Risiken, die sich aus der Nutzung der Informationstechnologie ergeben, angemessen bewerten zu können.
Technische und organisatorische Maßnahmen (TOM)
Betroffene Einrichtungen müssen ein Sicherheitsniveau nach dem Stand der Technik nachweisen. Diese Anforderungen gelten ohne Abstriche für alle Unternehmen, die von NIS-2 betroffen sind, unabhängig von ihrer Einstufung als kritische Infrastruktur, besonders wichtige oder wichtige Einrichtung. Faktisch müssen Häuser der kritischen Infrastruktur bereits die wesentlichen Anforderungen von NIS-2 erfüllen, unabhängig davon, ob der Umsetzungsstandard die ISO-27001 oder der Branchenspezifische Sicherheitsstandard („B3S medizinische Versorgung“) darstellt. Zu den geforderten Kernpunkten gehören:
Information Security Management
Für die wirksame Behandlung von IT- und Cyberrisiken ist ein Managementsystem für Informationssicherheit (ISMS) notwendig, das den Geltungsbereich abdeckt und notwendige Maßnahmen der Informations- und IT-Sicherheit steuert. Das ISMS dient der funktionierenden Governance für Informationssicherheit und wird durch die dort verwalteten Leit- und Richtlinien als normative Regelwerke unterstützt. Einrichtungen und Betreiber müssen Risiken in ihren Anlagen und Assets behandeln, um die kritische Dienstleistung zu schützen. Dafür sind Governance und Prozesse für Risiko- und Asset-Management wie beispielsweise regelmäßige Risikoanalysen und Handlungen zur Risikoreduzierung im Geltungsbereich notwendig – für transparente Risiken und geeignete Maßnahmen.
Business Continuity
Für die Behandlung von Ausfallrisiken sind klare Verantwortlichkeiten und Prozesse notwendig, unterstützt durch ein Managementsystem für Betriebskontinuität (BCMS). Dies erhöht im Geltungsbereich die Resilienz der Geschäftsprozesse und der IT. Dieses Krisenmanagement wird mit NIS-2 explizit gefordert. In einer zentralen Leitlinie (Policy) werden die Ziele des BCM zur betrieblichen Kontinuität verankert und die gültigen Analysemethoden, Parameter, Szenarien und Auswirkungen festgelegt. Basierend auf dieser Leitlinie legt das BCMS in weiteren Richtlinien die Methoden, Hilfsmittel und Werkzeuge fest, die bei Analysen (Business-Impact-Analyse (BIA), Risiko-Impact-Analyse (RIA)) und Maßnahmen zu nutzen sind.
Lieferkettensicherheit
Bisher lag der Fokus der Betreiber im Bereich Informationssicherheit auf der eigenen Infrastruktur. Einrichtungen müssen nun überdies in ihrem Geltungsbereich ihre Lieferkette mit Lieferanten, Dienstleistern und Externen im Sinne der Informationssicherheit schützen und steuern. Vorgaben dafür werden üblicherweise durch das ISMS festgelegt, die Steuerung erfolgt im Lieferantenmanagement. Diese Anforderung ist in dieser Form auch für Einrichtungen der kritischen Infrastruktur neu. Am Beispiel der Beschaffung von IT bedeutet dies, dass aus den Sicherheitsanforderungen des ISMS dem Einkauf verbindliche Vorgaben gemacht werden müssen. Dies umfasst sowohl Anforderungen an Schutzmaßnahmen, zu befolgende Standards oder Common Criteria als auch verbindliche Regeln in der Entwicklung (Code). Die Anforderungen an eingekaufte IT oder Dienstleistungen müssen vertraglich festgehalten und kontrolliert werden, zum Beispiel durch Produkttests und Zertifizierungen.
Zugriffskontrolle, Identitätsmanagement
Neben strikten Zugriffskontrollen wird die Nutzung von Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung zum Standard für den Zugriff auf sensible Systeme. MFA ist von entscheidender Bedeutung für den Aufbau einer mehrstufigen Verteidigung gegen Bedrohungen wie Phishing- oder Social-Engineering-Angriffe, mit denen häufig Zugangsdaten von Benutzern entwendet werden. Dementsprechend ist ein Identitäts- und Berechtigungsmanagement sicherzustellen.
Sensibilisierung und Schulungen
Durch Schulungsmaßnahmen sind die Mitarbeiter über Risiken im Umgang mit Informationstechnologie und Maßnahmen zur Prävention regelmäßig zu unterrichten. In der Praxis hat sich bewährt, dass neben den Datenschutzschulungen ebenso Module mit dem Thema Informationssicherheit als Pflichtschulung für alle Angestellten hinterlegt sind.
Registrierung und Meldepflichten
Betreiber von kritischen Infrastrukturen sind seit 2017 verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Durch die Umsetzung der NIS-2-Richtlinie betrifft dies nun auch die besonders wichtigen und wichtigen Einrichtungen. Dies geschieht in einem zweistufigen Verfahren: Zunächst erfolgt die Registrierung im Authentifizierungsdienst „Mein Unternehmenskonto“ (MUK), anschließend erfolgt die Anmeldung im BSI-Portal. Für das MUK ist zudem ein ELSTER-Konto erforderlich. Die Registrierung muss zwingend innerhalb von drei Monaten nach Inkrafttreten des Gesetzes zur Umsetzung der NIS-2-Richtlinie erfolgen, also bis Anfang März 2026.
Mit NIS-2 kommen auf betroffene Unternehmen viele Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen. Betreiber und Einrichtungen müssen „erhebliche Sicherheitsvorfälle“ in ihrer Infrastruktur in sehr kurzen Fristen mit stufenweisen Folgemeldungen an das BSI melden:
- Innerhalb von 24 Stunden muss eine „Frühwarnung“ an das BSI geschickt werden.
- Innerhalb von 72 Stunden hat eine detaillierte Meldung mit einer ersten Bewertung des Vorfalls zu erfolgen.
- Nach einem Monat muss ein abschließender Bericht über Ursachen und getroffene Maßnahmen vorliegen.
Meldepflichtige Störungen können Prozesse, Komponenten und IT im Geltungsbereich der registrierten Einrichtung betreffen. Um Störungen melden zu können, sind Prozesse und Systeme zur Erkennung notwendig, die die notwendigen Informationen für die zentralen Meldungen an das BSI liefern.
Nachweispflichten
Für Betreiber von kritischen Infrastrukturen ändert sich erstmal mit Ausnahme der leicht erweiterten Anforderungen nicht viel. Die Prüfungspflicht nach zwei Jahren gemäß § 8a BSIG wird auf einen dreijährigen Rhythmus angepasst (§ 39 Abs. 1 BSIG n. F.). Viele Häuser haben auch schon die Meldung des BSI erhalten und die neuen Termine wurden in der Regel bereits kommuniziert. Häuser, die sich jedoch auf eine Prüfung nach 24 Monaten vorbereitet haben, können auch weiterhin den geplanten Termin umsetzen. Einer früheren Prüfung steht grundsätzlich nichts im Wege.
Bei besonders wichtigen Einrichtungen kann das BSI ab Dezember 2028 die Vorlage von Nachweisen zur Erfüllung einzelner oder aller Anforderungen verlangen. Ebenso ist die Vorlage eines Maßnahmenplans zur Mängelbeseitigung möglich. Gegenüber einzelnen besonders wichtigen Einrichtungen kann das BSI auch schon früher Prüfungen und Zertifizierungen unabhängiger Stellen anweisen. Bei Nicht-Umsetzung trotz Fristsetzung ist sogar die vorübergehende Rücknahme der Betriebsgenehmigung oder die vorübergehende Absetzung der Geschäftsleitung möglich.
Für wichtige Einrichtungen gelten grundsätzlich dieselben Regelungen, diese greifen jedoch erst, wenn der Behörde Tatsachen bekannt werden, die solche Maßnahmen rechtfertigen. Faktisch müssen jedoch auch wichtige Einrichtungen dieselben Dokumentationserfordernisse erfüllen wie besonders wichtige Einrichtungen.
Fazit
Die Umsetzung der NIS-2-Richtlinie in deutsches Recht erfolgt sehr nah an der EU-Richtlinie. Sie führt im Ergebnis zu einer massiven Ausweitung der Umsetzungs- und Dokumentationsanforderungen im Bereich der Informationssicherheit und damit zu einem erhöhten Kosten- und Personalbedarf der betroffenen Häuser. In Anbetracht der massiv verschärften Straf- und Bußgeldmaßnahmen auch im Bereich der Geschäftsführung sollten die betroffenen Einrichtungen die Anforderungen entsprechend ernst nehmen.
