Cybersecurity-Regulierung – Umsetzung NIS 2
Es besteht wohl gesicherte Kenntnis dazu, dass China hinter einem Hackerangriff auf das Bundesamt für Kartographie und Geodäsie (BKG) im Jahr 2021 steckt (hier). 2022 gab es einen umfangreichen Cyberangriff auf die Handelskammer Hamburg. In diesem Jahr kam es deutschlandweit zu Hackerangriffen auf IHK-Unternehmen. Das Ziel waren vertrauliche Daten von Unternehmen. Die Täter sind meist unbekannt. Bereits jetzt ist aber schon klar, dass KI die Professionalisierung der Cyberkriminalität befeuert. Doch es geht nicht nur um Wirtschaftskriminalität, Betrug und wirtschaftliche Schäden: Cyberangriffe auf kritische Infrastrukturen wie Energieversorger, Krankenhäuser oder Wasserwerke können sehr weitreichende gesamtgesellschaftliche Konsequenzen haben. Daher ist eine zuverlässige Cybersicherheit wichtiger denn je und für unser gesellschaftliches Wohlergehen unentbehrlich (siehe auch hier) .
Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt veröffentlicht. Diese Richtlinie zielt auf eine Verbesserung der Cybersicherheit in der EU ab. Im Vergleich zur vorigen Richtlinie erweitert die NIS2 den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Die nationale Umsetzung soll durch ein umfangreiches Artikelgesetz (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – „NIS2UmsuCG“) erfolgen, welches insgesamt über 32 Gesetze und Verordnungen ändert. Hierfür liegt seit 24.07.2024 ein abgestimmter Regierungsentwurf vor. Das Gesetz überführt die EU-weiten Mindeststandards für Cybersecurity in deutsche Regulierung. Der bereits durch das IT-Sicherheitsgesetz und dessen Neufassung (IT-Sicherheitsgesetz 2.0) geschaffene Ordnungsrahmen wird erweitert und wird nun große Teile der deutschen Wirtschaft mit knapp 30.000 Unternehmen betreffen. Ebenso wird die IT-Sicherheit der Bundesverwaltung weiter gestärkt. Im Schwerpunkt geht es um Folgende Änderungen:
- Einführung von „Einrichtungskategorien“ und Ausweitung des Anwendungsbereichs für IT-Anforderungen und Meldepflichten. So soll es nun „Besonders wichtige
- Einrichtungen“ (BWE) und „wichtige Einrichtungen“ (WE) sowie als Teil der BWE die „Betreiber kritischer Anlagen“ geben.
- Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
- Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
- Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
- Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
- Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
Geschaffen wird zudem die Position eines „CISO (Chief Information Security Officer) Bund“ als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Mit Blick auf die EU-Vorgaben ist abzusehen, dass das NIS2UmsuCG noch in diesem Herbst verabschiedet wird. (Dirk Buchsteiner)