Cyber­se­curity-Regulierung – Umsetzung NIS 2

Es besteht wohl gesicherte Kenntnis dazu, dass China hinter einem Hacker­an­griff auf das Bundesamt für Karto­graphie und Geodäsie (BKG) im Jahr 2021 steckt (hier). 2022 gab es einen umfang­reichen Cyber­an­griff auf die Handels­kammer Hamburg. In diesem Jahr kam es deutsch­landweit zu Hacker­an­griffen auf IHK-Unter­nehmen. Das Ziel waren vertrau­liche Daten von Unter­nehmen. Die Täter sind meist unbekannt. Bereits jetzt ist aber schon klar, dass KI die Profes­sio­na­li­sierung der Cyber­kri­mi­na­lität befeuert. Doch es geht nicht nur um Wirtschafts­kri­mi­na­lität, Betrug und wirtschaft­liche Schäden: Cyber­an­griffe auf kritische Infra­struk­turen wie Energie­ver­sorger, Kranken­häuser oder Wasser­werke können sehr weitrei­chende gesamt­ge­sell­schaft­liche Konse­quenzen haben. Daher ist eine zuver­lässige Cyber­si­cherheit wichtiger denn je und für unser gesell­schaft­liches Wohlergehen unent­behrlich (siehe auch hier) .

Am 27.12.2022 wurde die zweite EU-Richt­linie zur Netzwerk- und Infor­ma­ti­ons­si­cherheit (NIS-2-Richt­linie) im Amtsblatt veröf­fent­licht. Diese Richt­linie zielt auf eine Verbes­serung der Cyber­si­cherheit in der EU ab. Im Vergleich zur vorigen Richt­linie erweitert die NIS2 den Kreis der betrof­fenen Unter­nehmen, die Pflichten und die behörd­liche Aufsicht. Die Mitglied­staaten müssen die Richt­linie bis Oktober 2024 in natio­nales Recht umsetzen. Die nationale Umsetzung soll durch ein umfang­reiches Artikel­gesetz (NIS-2-Umset­zungs- und Cyber­si­cher­heits­stär­kungs­gesetz – „NIS2UmsuCG“) erfolgen, welches insgesamt über 32 Gesetze und Verord­nungen ändert. Hierfür liegt seit 24.07.2024 ein abgestimmter Regie­rungs­entwurf vor. Das Gesetz überführt die EU-weiten Mindest­stan­dards für Cyber­se­curity in deutsche Regulierung. Der bereits durch das IT-Sicher­heits­gesetz und dessen Neufassung (IT-Sicher­heits­gesetz 2.0) geschaffene Ordnungs­rahmen wird erweitert und wird nun große Teile der deutschen Wirtschaft mit knapp 30.000 Unter­nehmen betreffen. Ebenso wird die IT-Sicherheit der Bundes­ver­waltung weiter gestärkt. Im Schwer­punkt geht es um Folgende Änderungen:

  • Einführung von „Einrich­tungs­ka­te­gorien“ und Ausweitung des Anwen­dungs­be­reichs für IT-Anfor­de­rungen und Melde­pflichten. So soll es nun „Besonders wichtige
  • Einrich­tungen“ (BWE) und „wichtige Einrich­tungen“ (WE) sowie als Teil der BWE die „Betreiber kriti­scher Anlagen“ geben.
  • Ausweitung des Instru­men­ta­riums des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI) im Hinblick auf von der NIS-2-Richt­linie vorge­gebene Aufsichtsmaßnahmen.
  • Der Katalog der Mindest­si­cher­heits­an­for­de­rungen des Artikels 21 Absatz 2 NIS-2-Richt­linie wird in das BSI-Gesetz übernommen, wobei in der Inten­sität der jewei­ligen Maßnahme aus Gründen der Verhält­nis­mä­ßigkeit zwischen den Kategorien ausdif­fe­ren­ziert wird.
  • Die bislang einstufige Melde­pflicht bei Vorfällen wird durch das dreistufige Melde­regime der NIS-2-Richt­linie ersetzt. Dabei soll der bürokra­tische Aufwand für die Einrich­tungen im Rahmen des bestehenden mitglied­staat­lichen Umset­zungs­spiel­raums minimiert werden.
  • Gesetz­liche Veran­kerung wesent­licher natio­naler Anfor­de­rungen an das Infor­ma­ti­ons­si­cher­heits­ma­nagement des Bundes und Abbildung der zugehö­rigen Rollen und Verantwortlichkeiten.
  • Harmo­ni­sierung der Anfor­de­rungen an Einrich­tungen der Bundes­ver­waltung aus natio­nalen und unions­recht­lichen Vorgaben, um ein insgesamt kohärentes und handhab­bares Regelungs­regime zu gewährleisten.

Geschaffen wird zudem die Position eines „CISO (Chief Infor­mation Security Officer) Bund“ als zentralem Koordi­nator für Maßnahmen zur Infor­ma­ti­ons­si­cherheit in Einrich­tungen der Bundes­ver­waltung und zur Unter­stützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

Mit Blick auf die EU-Vorgaben ist abzusehen, dass das NIS2UmsuCG noch in diesem Herbst verab­schiedet wird. (Dirk Buchsteiner)