Die stetig wachsenden Cybersicherheitsrisiken und die ebenfalls steigende Zahl von Angriffen auf Unternehmen und staatliche Stellen haben bereits in den vergangenen Jahren zu einer Reihe von Gesetzen, Richtlinien und Verordnungen zur Stärkung der Cybersicherheit geführt. Vorfälle wie der Angriff auf die Colonial Pipeline, der zum wochenlangen Ausfall des wichtigsten Pipeline-Systems in den USA für raffinierte Erdölprodukte (Kraftstoffe) geführt hat, haben gezeigt, wie gefährdet solche Infrastrukturen sind. Gerade in Zeiten von geopolitischen Krisen wächst das Risiko gezielter, von Staaten geförderter oder durchgeführter Angriffe auf die kritischen Infrastrukturen weiter.

Mit NIS-2, der Richtlinie 2022/2255 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, hat die EU nun frühere Richtlinien aktualisiert und erweitert. Da es sich um eine Richtlinie (Directive) und nicht um eine Verordnung (Regulation) handelt, ist NIS2 noch in nationales Recht umzusetzen, im Gegensatz beispielsweise zur DSGVO oder dem Digital Operations Resilience Act (DORA), die unmittelbar gelten.

Das Ziel von NIS-2 ist das Festlegen von Maßnahmen, die in der gesamten EU für ein hohes gemeinsames Cybersicherheitsniveau sorgen, um das Funktionieren des Binnenmarktes sicherzustellen und zu verbessern. Dabei fokussiert die Richtlinie auf Unternehmen (und ausgewählte Behörden), die für das Funktionieren eben dieses Binnenmarktes, der Wirtschaft und der erforderlichen Grundfunktionen im öffentlichen Bereich wie Versorgung, Entsorgung und Gesundheitswesen unverzichtbar sind.

Vor NIS-2 gab es in Deutschland bereits seit 2014 das IT-Sicherheitsgesetz und die dazu gehörige, vom BSI erlassene KRITIS-Rechtsverordnung. Das IT-Sicherheitsgesetz 2.0 wurde 2020 verabschiedet und auch die KritisV wiederholt aktualisiert, zuletzt mit der dritten und vierten Veränderung 2023. Dabei hielten jeweils einzelne Änderungen bezüglich der betroffenen Anlagen sowie in Einzelfällen von Schwellenwerten dafür, wann Unternehmen im Scope von KRITIS sind, Einzug.

Der nächste Schritt besteht nun in der Umsetzung von NIS-2 in nationales Recht, wofür die Regierung in Deutschland aktuell das "NIS2UmsuCG" ausarbeitet. Dieses liegt in einem vierten Referentenentwurf vor, wird aber nach aktuellen Informationen von einzelnen Ministerien blockiert. Damit ist unklar, ob das Gesetzgebungsverfahren bis zum von der NIS-2-Direktive vorgegebenen Termin am 17. Oktober 2024 zu schaffen ist. Insbesondere birgt die Verzögerung die Gefahr, dass die Anhörungen von Verbänden und anderen Gruppierungen im Gesetzgebungsverfahren nicht im gebotenen Umfang und in der gebotenen Gründlichkeit stattfinden. Sollte die Umsetzung nicht rechtzeitig passieren, droht Deutschland ein Vertragsverletzungsverfahren durch die EU. Gleichzeitig würde sich auch das Inkrafttreten der NIS-2-Regelungen entsprechend verzögern.

Das NIS2UmsuCG ist ein Änderungsgesetz für bestehende Vorgaben wie das IT-Sicherheitsgesetz und bedeutet ausformuliert "Gesetz zur Umsetzung von EU NIS-2 und Stärkung der Cybersicherheit". Unabhängig von möglichen Verzögerungen im Gesetzgebungsverfahren müssen sich Unternehmen darauf vorbereiten. Da eine Direktive den Handlungsrahmen für nationale Gesetze vorgibt, bietet die NIS-2-Regulierung die Grundlage, auch wenn das NIS2UmsuCG noch nicht final verabschiedet ist. Der Entwurf der NIS-2-Direktive liegt übrigens bereits seit Dezember 2020 vor und wurde am 14. Dezember 2022 verabschiedet, sodass es seit geraumer Zeit ein hohes Maß an Klarheit darüber gibt, welche Anforderungen welche Unternehmen künftig betreffen.

Die zentrale Frage für viele Unternehmen lautet, ob die Änderungen für sie gelten. Wie bereits erwähnt, ist davon auszugehen, dass gut 28.000 Unternehmen (und einige Behörden) zusätzlich betroffen sein dürften. Dass nur wenige Bereiche der öffentlichen Verwaltung (außerhalb von beispielsweise Eigenbetrieben der Abfallwirtschaft, die unter die Richtlinie fallen) in begrenztem Umfang unter die Richtlinie fallen, stößt auf viel Kritik – gerade auch, weil das Funktionieren von Behörden für Staat, Gesellschaft und Wirtschaft essenziell ist und es in diesem Bereich sehr viele Cybersicherheitsvorfälle gibt, auch bedingt durch fehlende Investitionen in ein ausreichendes Maß an Cybersicherheit.

Die Richtlinie erweitert den Katalog sogenannter Betreiber kritischer Anlagen und Einrichtungen. Dabei ändern sich einerseits die Größenordnungen, ab denen ein Betreiber als wichtig oder besonders wichtig gilt (siehe Tabelle "Einstufung von Unternehmen nach Größe"). Auf der anderen Seite gibt es deutlich mehr betroffene Sektoren. Diese sind wiederum in solche von hoher Kritikalität und sonstige kritische Sektoren untergliedert (Tabelle "Von NIS-2 betroffene Sektoren"). Bei der Größe kommen drei Kriterien für die Klassifizierung zum Einsatz:

- Mitarbeiterzahl

- Umsatz

- Bilanzsumme

Es müssen also die Kriterien sowohl für Umsatz und Bilanzsumme oder das Kriterium der Mitarbeiterzahl erfüllt sein, um zur entsprechenden Gruppe von Unternehmen zu zählen. Darüber hinaus gibt es einige Sonderfälle wie etwa DNS-Provider, Telekommunikationsanbieter oder Vertrauensdienste, die unabhängig von der Größe dazugehören. Betreiber kritischer Anlagen über einem bestimmten Schwellenwert, typischerweise ab 500.000 versorgte Personen (zum Beispiel Kunden eines Versicherungsunternehmens) sind ebenfalls unabhängig von der Größe mit von der Partie.

Die betroffenen Unternehmen müssen dann umfassendere Cybersicherheitsmaßnahmen ergreifen, wozu das Risikomanagement und daraus resultierende technische Maßnahmen, Meldepflichten und eine starke Governance gehören. Die staatlichen Aufsichtspflichten werden deutlich erweitert, ebenso wie die Sanktionen mit möglichen Bußgeldern zwischen 100.000 Euro und 20 Millionen Euro, teils auch gekoppelt mit dem jährlichen Umsatz und hier dann bis zu zwei Prozent des Umsatzes.

Es gilt also für jedes Unternehmen zu prüfen, ob es zum Kreis der Auserwählten gehört oder nahe an definierten Schwellwerten ist und damit bald betroffen sein könnte. In diesem Fall ist eine umfassende Vorbereitung auf die neuen Regelungen zwingend. Letztlich wird sich NIS-2 aber auf alle Unternehmen auswirken, weil es die Messlatte für ein adäquates Maß an Cybersicherheit generell höher legt. Insofern sollten sich auch die nicht einbezogenen Unternehmen, insbesondere große und mittlere Firmen, die nicht zu einem der definierten Sektoren gehören, mit Maßnahmen zur Verbesserung ihrer Cybersicherheit beschäftigen.

Die Liste von Pflichten für betroffene Unternehmen ist lang (siehe Kasten "Risikomanagement Cybersicherheit"). Einen geeigneten Ausgangspunkt ist der Artikel 21 in der NIS-2-Richtlinie, der die Maßnahmen für das Risikomanagement beschreibt. In bestimmten Fällen gibt es noch strengere Maßstäbe für die Betreiber kritischer Anlagen sowie besondere Maßnahmen, die für Systeme zur Angriffserkennung umzusetzen sind. Für die Umsetzung der Vorgaben besteht eine Dokumentationspflicht.

Neben dem Risikomanagement und den technischen Maßnahmen, die sich aus Artikel 21 ergeben, bestehen erweiterte Meldepflichten, die Pflicht zur Registrierung, Unterrichtungspflichten an Kunden im Fall von Cybersicherheitsvorfällen und Nachweispflichten. Die Registrierung muss beim BSI innerhalb von drei Monaten nach dem Zeitpunkt erfolgen, an dem ein Unternehmen in den Geltungsbereich der Regelung fällt. Dazu gehören neben Unternehmensinformationen und Kontaktdaten beispielsweise auch Informationen zu den genutzten IP-Adressbereichen. Änderungen sind dem BSI sogar innerhalb von zwei Wochen mitzuteilen.

Die Berichterstattung hat ebenfalls zu intensiven Diskussionen geführt. Sie muss bei "signifikanten Sicherheitsvorfällen" erfolgen, die als ernstzunehmende Störung des Betriebs oder eines finanziellen Verlustes für das Unternehmen respektive signifikante materielle oder immaterielle Schäden für andere natürliche oder rechtliche Personen definiert sind. Diese Definition ist sehr unscharf und führt so zu einer erheblichen Unsicherheit darüber, was genau nun zu melden ist. Hier bleibt eine Klärung aus der Praxis oder über rechtliche Vorgaben abzuwarten.

Die Information an die zuständige Stelle, in Deutschland das BSI, muss sofort, spätestens aber innerhalb von 24 Stunden erfolgen. Dabei geht es um vermutete illegale oder bösartige Aktivitäten sowie mögliche grenzüberschreitende Auswirkungen. Spätestens nach 72 Stunden muss ein Bericht mit einer ersten Einschätzung zu Schwere und Auswirkungen erfolgen, der so weit wie möglich bereits die Indikatoren für konkrete Schäden (IoC, Indicators of Compromise) enthält. Das BSI kann einen Zwischenbericht verlangen. Spätestens nach einem Monat muss dann ein abschließender Report mit einer detaillierten Beschreibung und Analyse des Sicherheitsvorfalls erfolgen.

Neben spezifischen Anforderungen an bestimmte, besonders kritische Unternehmen gibt es noch eine Besonderheit. Mehr oder weniger zeitgleich tritt DORA als Regulierung für die Finanzindustrie in Kraft. Der Fokus liegt auf der Erhöhung der Resilienz in dieser Branche gegen Störungen der IT- und Kommunikationsdienste. Dadurch sind diese Unternehmen teilweise von NIS-2 respektive der aktualisierten KRITIS-Regulierung ausgenommen, denn für sie gelten die Regelungen aus DORA. Dabei können die NIS-2-Regelungen als eine cybersicherheitsspezifische Teilmenge der weitergehenden Regelungen aus DORA begriffen werden. DORA als EU-Verordnung (Regulation) ist seit 17. Januar 2023 in Kraft mit einer Implementierungsfrist bis zum 17. Januar 2025. Dann müssen die von DORA betroffenen Unternehmen also die entsprechenden Regelungen umgesetzt haben.

Schon beim ersten Blick auf die Liste von Anforderungen verdeutlicht die erheblichen Investitionen sowohl in organisatorische als auch technische Maßnahmen. Erschwert wird dies dadurch, dass diese Maßnahmen – wie in Richtlinien, Regulierungen und Gesetzen üblich – nicht sonderlich konkret gefasst sind. Hier ist mit einer schrittweisen Konkretisierung zu rechnen, wie sie beispielsweise die BaFin aktuell auch für DORA vornimmt. Es fehlen auch noch Ableitungen auf Standards wie ISO 27001:2022 oder C5.

Grundsätzlich ist davon auszugehen, dass die Messlatte bei der konkreten Ausgestaltung von Vorgaben deutlich höher liegen wird, als es bei gängigen Zertifizierungen wie für ISO 27001 oder für ISMS (Informationssicherheits-Managementsysteme) üblich ist. Dass solche Konkretisierungen oft Zeit in Anspruch nehmen, ist beispielsweise bei der TR-03183 des BSI erkennbar, die sich auf SBOM (Software Bill of Materials) bezieht, ein im Kontext von NIS-2 ebenfalls relevantes Thema. NIS-2 verweist ja explizit auf die Sicherheit der Lieferkette und beim Erwerb auch von Software, was SBOM ins Spiel bringt. Dort ist der erste Teil der Richtlinie weiterhin in Ausarbeitung, während der zwischenzeitlich publizierte zweite Teil bereits wieder als veraltet markiert wurde.

Unternehmen sollten daher unbedingt, soweit noch nicht geschehen, ein NIS-2-Umsetzungsprojekt starten und im ersten Schritt analysieren, wo die Lücken und Schwachstellen im Vergleich mit den Anforderungen von NIS-2 liegen. Dabei ist in jedem Fall davon auszugehen, dass die Messlatte durch konkrete Vorgaben in Zukunft höher liegt, und eine minimale Erfüllung von Anforderungen nicht ausreicht.

Zu den Maßnahmen zählen in jedem Fall der Aufbau eines ISMS, soweit noch nicht geschehen, ein definiertes Incident-Management-Konzept, eine vorgelagerte BIA (Business-Impact-Analyse) und die Umsetzung der geforderten technischen Maßnahmen auf hohem Niveau. Dafür ist die ISO 27001:2022, auch wenn sie erwartbar nicht ausreichend sein wird, eine gute Grundlage, weil dort die für IT-Sicherheit relevanten Teilbereiche umfassend aufgeführt sind.

Eine weitere Herausforderung aus NIS-2 ergibt sich aus dem Umgang mit kritischen Komponenten. Das NIS2UmsuCG referenziert dabei auf die Verwendung noch zu benennender IKT-Produkte (Informations- und Kommunikationstechnik), Dienste oder Prozesse, die über eine Cybersicherheitszertifizierung verfügen müssen, wenn sie in besonders wichtigen oder wichtigen Einrichtungen im Sinne der NIS-2 zum Einsatz kommen. Die Nutzung kritischer Komponenten ist zudem vor Beginn des Einsatzes zu melden und darf vom Innenministerium aus verschiedenen Gründen untersagt werden.

Leider sind solche kritischen Komponenten und Funktionen bisher nur für den Telekommunikationssektor definiert, nicht aber für andere Branchen. Hier erfolgt die Festlegung in separaten Gesetzen. Auch in diesem Bereich besteht also noch eine erhebliche Rechtsunsicherheit und Unklarheit, auf die sich Unternehmen vorbereiten müssen. Die Diskussion um den Einsatz von Komponenten des chinesischen Herstellers Huawei in 5G-Netzen gibt allerdings bereits einen Eindruck davon, was möglicherweise ansteht.

Das NIS2UmsuCG definiert auch die bereits genannten Dokumentationspflichten sowie Nachweispflichten und Prüfungen. Während im Gegensatz zu den Betreibern kritischer Anlagen keine Meldepflichten zur Umsetzung der Maßnahmen an das BSI bestehen, gibt es eine Dokumentationspflicht. Das BSI kann darüber hinaus Einrichtungen zu Audits, Prüfungen und Zertifizierungen verpflichten, Nachweise verlangen und selbst Prüfungen durchführen oder durch Dritte durchführen lassen.

Dies wird risikoorientiert erfolgen, also in der Tendenz zunächst eher Sektoren mit hoher Kritikalität und besonders wichtige Unternehmen betreffen. Gerade bei Vorfällen ist aber auch in anderen Sektoren mit frühzeitigen Prüfungen zu rechnen. Aktuell ist als Frequenz für besonders wichtige Unternehmen ein stichprobenartiges Vorgehen festgelegt und für wichtige Unternehmen – also die kleineren Unternehmen im Fokus von NIS-2 – ein anlassbezogenes Vorgehen. In der Konsequenz bedeutet dies jedoch, dass jedes Unternehmen entsprechend vorbereitet sein muss.

Ein weiterer interessanter Aspekt sind die Sanktionen und Bußgelder sowie die Pflichten des Managements und die damit verbundenen Konsequenzen. Der Bußgeldkatalog enthält eine Reihe von Tatbeständen. Bereits für wichtige Einrichtungen kann es Bußgelder in Höhe von bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes geben, wenn Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen werden oder wenn die Übermittlung von Meldungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig stattfindet.

Schon das bedeutet, dass jedes betroffene Unternehmen NIS-2 und dessen Umsetzung in deutsches Recht sehr ernst nehmen muss, da hohe Strafen drohen. Für besonders wichtige Einrichtungen, Hersteller und Anbieter sind ebenfalls erhebliche, teilweise noch höhere Bußgelder im Katalog vorgesehen. Hinzu kommt eine persönliche Haftung des Managements. Diese müssen die Risikomanagement-Maßnahmen für Cybersicherheit "billigen" und deren Umsetzung überwachen. Bei Pflichtverletzung kann die Einrichtung die Verantwortlichen nicht von der Kompensation von Bußgeldern freistellen oder diese kompensieren. Die Geschäftsführung muss außerdem regelmäßig an Trainings im Bereich der Cybersicherheit teilnehmen.

Derzeit ist noch in der Diskussion, ob D&O-Versicherungen (Directors and Officers), also Vermögensschaden-Haftpflichtversicherungen für Organe wie Geschäftsführung oder Vorstand und leitende Angestellte, diese Bußgelder übernehmen. Sollte das der Fall sein, wird sich das aber wie bei Cybersecurity-Versicherungen einerseits in den Anforderungen an den Abschluss einer solchen Versicherung und andererseits in steigenden Prämien widerspiegeln. Der bessere Weg ist in jedem Fall, adäquate Maßnahmen zu ergreifen. Wichtig ist auch, dass NIS-2 Cybersicherheit als Aufgabe des Topmanagements definiert und nicht mehr "nur" auf der Ebene des CISO ansiedelt.

NIS-2 und das noch in der Entstehung befindliche NIS2UmsuCG sind komplexe Richtlinien respektive Gesetze, die zudem mit anderen Verordnungen wie DORA, anderen Gesetzen und oft noch nicht vorhandenen Konkretisierungen verbunden sind. Dennoch kann und müssen sich Unternehmen bereits heute darauf vorbereiten. Der erste Schritt ist die Prüfung, ob das Unternehmen von NIS-2 überhaupt betroffen ist. Wenn ja, dann sind folgende Schritte erforderlich:

1. Impact-Analyse: Welche Teile der Organisation sind konkret betroffen? Das ist insbesondere für Konzerne mit vielen Teilgesellschaften wichtig.

2. Einbinden des Managements: NIS-2 ist eine Managementaufgabe mit konkreten, persönlichen Konsequenzen bei Nichterfüllung und Fehlern.

3. Gap-Analyse: Welche Maßnahmen sind noch nicht hinreichend umgesetzt?

4. NIS-2-Projekt ins Leben rufen: Definition eines NIS-2-Implementierungsprojekts mit ausreichendem Budget.

5. Anmelden beim BSI: Registrieren des Unternehmens als Teil der kritischen Infrastruktur und Definieren der regelmäßigen Berichts- sowie Meldeprozeduren.

6. Governance: Umsetzung eines NIS-2-Governance-Konzepts mit kontinuierlichem Monitoring der Erfüllung der regulatorischen Vorgaben und Anpassung an neue und erweiterte Vorgaben.

Die NIS-2-Richtlinie stellt für viele Unternehmen eine Herausforderung dar, weil sie die Anforderungen an die Cybersicherheit deutlich erhöht und auch auf vergleichsweise kleine Unternehmen abzielt. Auch die Schwelle zur Einstufung als "besonders wichtig" liegt durchaus niedrig.

Auf der anderen Seite ist NIS-2 auch als Chance zu verstehen, weil die Schäden durch Cybersicherheitsvorfälle schnell noch deutlich höher ausfallen können als die Bußgelder. Hier gilt auch: Wer als Unternehmen überleben will, muss eine hohe Resilienz gegen Cyberangriffe an den Tag legen. NIS-2 hilft dabei, diese zu erreichen.