Die NIS-2-Richtlinie

Vor wenigen Monaten ist das Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft getreten. Ziel der NIS-2-Richtlinie ist die Sicherheit von Netz- und Informationssystemen (NIS) vor Cybersicherheitsgefahren auf europäischer Ebene. Mit deren Umsetzung in das nationale BSIG leistet Deutschland seinen Teil zur Gewährleistung des digitalen Binnenmarktes. Die neuen Bestimmungen treffen knapp 30.000 Unternehmen und öffentliche Einrichtungen und sind mit einem hohen Umsetzungsaufwand verbunden. Unternehmen müssen wissen, ob sie unter den Anwendungsbereich der NIS-2-Richtlinie fallen und, wenn ja, welche inhaltlichen Anforderungen sie zu erfüllen haben.

Historie der Cybersicherheitsgesetzgebung

In Deutschland existierte mit dem IT-Sicherheitsgesetz bereits seit dem Jahr 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen im Bereich der kritischen Infrastruktur, womit unter anderem Registrierungs- und Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) einhergingen.

In der europäischen Union wurde im Jahr 2016 die erste NIS-Richtlinie „über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ veröffentlicht. Mit dieser Richtlinie sollten unionsweite Cybersicherheitskapazitäten aufgebaut werden. Die Bedrohung von Netzwerk- und Informationssystemen (NIS) sollte eingedämmt und deren Kontinuität bei Sicherheitsvorfällen sichergestellt werden. Europäische Richtlinien sind für die Mitgliedsstaaten der Europäischen Union verbindlich, bedürfen aber noch der Umsetzung in nationales Recht. Da die NIS-Richtlinie unionsweit sehr unterschiedlich umgesetzt wurde und sich die Cybergefahrenlage verschärfte, wurde eine Überarbeitung dieser Richtlinie notwendig. 

Dementsprechend wurde im Jahr 2022 die NIS-2-Richtlinie veröffentlicht. Die neuen Regelungen sollten durch einen koordinierten Rechtsrahmen und eine Erweiterung der Befugnisse des BSI das Cybersicherheitsniveau erhöhen. Die Kooperation von Staat und Wirtschaft sollte gestärkt und Abhilfe- und Durchsetzungsmaßnahmen sollten reguliert werden. Zudem wurde die Liste der betroffenen Sektoren und Tätigkeiten aktualisiert. Die Frist zur Umsetzung in das nationale Recht endete im Oktober 2024. Das Umsetzungsgesetz wurde in Deutschland ursprünglich fristgerecht im Juli 2024 vom Bundeskabinett beschlossen. Das parlamentarische Gesetzgebungsverfahren konnte allerdings aufgrund der vorgezogenen Wahlen nicht mehr abgeschlossen werden. Letztlich wurden die Regelungen der NIS-2-Richtlinie in der neuen Legislaturperiode im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) umgesetzt, das im Dezember 2025 – unter Überschreitung der Umsetzungsfrist – verabschiedet wurde.

Anwendungsbereich

Der Anwendungsbereich der NIS-2-Richtlinie erfasst wichtige Einrichtungen, besonders wichtige Einrichtungen und – als Unterfall der besonders wichtigen Einrichtungen – Betreiber von kritischen Anlagen (KRITIS). Auf nationaler Ebene wird der Anwendungsbereich in § 28 BSIG geregelt.

Eine kritische Anlage ist nach § 2 Nr. 22 BSIG eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich ist. Eine kritische Dienstleistung ist als eine Dienstleitung zur Versorgung der Allgemeinheit sowie der Grundsicherung für die in § 2 Nr. 24 BSIG genannten Sektoren und Branchen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde, definiert. Die KRITIS sind zugleich immer eine besonders wichtige Einrichtung. 

Weitere besonders wichtige Einrichtungen sind bestimmte IT-Leistungen – wie qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries und DNS-Dienstanbieter sowie Anbieter von öffentlich zugänglichen Telekommunikationsdiensten und den zugehörigen Netzen ab bestimmten Schwellenwerten. Im Übrigen wird der Anwendungsbereich unter Hinzunahme der Anlage 1 des BSIG auf Unternehmen und andere Organisationsformen ausgedehnt, wenn diese mindestens 250 Mitarbeiter beschäftigen oder einen Umsatz 50 Mio. EUR bei einer Mindestbilanzsumme von 43 Mio. EUR erreichen. In der Anlage sind verschiedene Einrichtungsarten, unterteilt nach Sektoren und Branchen, aufgeführt.

Für wichtige Einrichtungen erweitert sich der Anwendungsbereich der NIS-2-Richtlinie deutlich, nämlich auf weitere Vertrauensdienste- und Telekommunikationsanbieter. Für Einrichtungen aus Anlage 1 gelten mit 50 Mitarbeitern oder einem Jahresumsatz von 10 Mio. EUR mit mindestens entsprechender Bilanzsumme geringere Schwellenwerte. Zusätzlich werden weitere Einrichtungsarten aus Anlage 2 erfasst, sofern die Schwellenwerte überschritten sind. 

Eine Ausnahme besteht nach Art. 28 Abs. 3 BSIG für solche Geschäftstätigkeiten, die im Hinblick auf die gesamte Geschäftstätigkeit vernachlässigbar sind. Dabei dürfte eine Einordnung als Nebentätigkeit noch nicht ausreichend sein. Weiterhin ausgenommen sind Einrichtungen der Bundesverwaltung, wenn es sich nicht um KRITIS handelt.

Inhaltliche Anforderungen

Mit der NIS-2-Richtlinie werden diverse Anforderungen an betroffene Einrichtungen gestellt, wobei grundsätzlich nicht zwischen den unterschiedlichen Einrichtungen differenziert wird. 

Registrierungs- und Meldepflichten

Nach § 33 Abs. 1 BSIG müssen sich betroffene Einrichtungen beim BSI und beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) registrieren. Dies erfolgt über ein gemeinsames Registrierungsportal mithilfe des ELSTER-Organisationszertifikats. Für Betreiber kritischer Anlagen und für Einrichtungen, die den Sektoren der digitalen Dienste und digitalen Infrastruktur angehören, besteht eine gesonderte Registrierungspflicht. Sofern sich Änderungen bei den im Registrierungsverfahren anzugebenen Daten ergeben, sind diese dem BSI unverzüglich, spätestens nach zwei Wochen, mitzuteilen.

Sofern sich ein erheblicher Sicherheitsvorfall ereignet hat, ist dieser unter Nutzung eines gemeinsamen Melde- und Informationsportals (MIP) dem BSI zu melden. Ein Sicherheitsvorfall ist nach der Legaldefinition in § 2 Nr. 11 BSIG erheblich, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann. Ferner ist ein Sicherheitsvorfall erheblich, wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann.

Risikomanagementmaßnahmen

Betroffene Einrichtungen sind nach § 30 BSIG verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei verfolgt die Richtlinie einen gefahrenübergreifenden Ansatz. Das bedeutet, dass Unternehmen einzelfallabhängig vom Risiko für die Sicherheit der Netz- und Informationssysteme entscheiden müssen, welche Maßnahmen ergriffen werden sollen. Dabei enthält § 30 BSIG einen konkreten Maßnahmenkatalog, der nicht abschließend ist, sondern einen Mindeststandard etabliert. Darüber hinaus ist die Geschäftsführung verpflichtet, jährlich an Schulungen zur Cybersicherheit teilzunehmen.

Kooperation und Informationsaustausch

§ 6 BISG erlaubt es Einrichtungen, auf freiwilliger Basis relevante Cybersicherheitsinformationen auszutauschen. Hier sind nicht nur die betroffenen Einrichtungen angesprochen, sondern gegebenenfalls auch andere, nicht vom Anwendungsbereich erfasste Einrichtungen.

Dieser Informationsaustausch muss im Wege einer Vereinbarung über den Informationsaustausch erfolgen und den potenziell sensiblen Charakter der ausgetauschten Informationen beachten. Inhalt der Vereinbarung können operative Regelungen sein – wie etwa die Nutzung spezieller Plattformen für Informations- und Kommunikationstechnologie und Automatisierungsinstrumente sowie der Inhalt und die Bedingungen des Informationsaustauschs. 

Der Austausch kann dann beispielsweise Informationen über Cyberbedrohungen, Beinahe-Vorfälle, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten zur Aufdeckung von Cyberangriffen betreffen. Dieser freiwillige Informationsaustausch zielt darauf ab, Sicherheitsvorfälle zu verhindern, aufzudecken, darauf zu reagieren oder sich von ihnen zu erholen oder ihre Folgen einzudämmen und das Cybersicherheitsniveau zu erhöhen. Durch den Austausch wird Aufklärungsarbeit über Cyberbedrohung geleistet und die Fähigkeiten solcher Bedrohungen, sich zu verbreiten, eingedämmt beziehungsweise verhindert. Ferner wird eine Reihe von Abwehrkapazitäten, die Beseitigung und Offenlegung von Schwachstellen, Techniken zur Erkennung, Eindämmung und Verhütung von Bedrohungen, Eindämmungsstrategien, Reaktions- und Wiederherstellungsphasen unterstützt. Auch die gemeinsame Forschung im Bereich Cyberbedrohung zwischen öffentlichen und privaten Einrichtungen soll durch den Informationsaustausch gefördert werden.

Fazit

Die NIS-2-Richtlinie zur Erhöhung des europaweiten Cybersicherheitsniveaus wurde – wenn auch unter Überschreitung der Frist – am Ende des vergangenen Jahres in das nationale Recht umgesetzt.

Der Anwendungsbereich differenziert zwischen wichtigen Einrichtungen, besonders wichtigen Einrichtungen und KRITIS. Dadurch werden unterschiedliche Sektoren und Branchen – wie IT-Leistungen und Telekommunikationsdienste – angesprochen sowie unterschiedliche Schwellenwerte vorgesehen. Für besonders wichtige Einrichtungen liegt der Schwellenwert bei mindestens 250 Mitarbeitern oder einem Umsatz von 50 Mio. EUR bei einer Mindestbilanzsummer von 43 Mio. EUR, während wichtige Einrichtungen schon ab einem Schwellenwert von 50 Mitarbeitern oder einem Umsatz von 10 Mio. EUR mit mindestens entsprechender Bilanzsumme erfasst werden.

Für die betroffenen Unternehmen bestehen dann Registrierungs- und Meldepflichten beim BSI und BKK. Mit dem Ziel, Störungen der eingesetzten NIS zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten, werden betroffene Einrichtungen verpflichtet, Risikomanagementmaßnahmen zu implementieren. Betroffene Einrichtungen sind nach § 30 BSIG verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Darüber hinaus soll es Einrichtungen möglich sein, nach dem Abschluss entsprechender Vereinbarungen auch auf freiwilliger Basis relevante Cybersicherheitsinformationen auszutauschen. In einem ersten Schritt sollten Unternehmen prüfen, ob sie in den Anwendungsbereich fallen. Dann sollte geprüft werden, welche Maßnahmen möglicherweise bereits umgesetzt wurden und welche noch zu ergreifen sind. Zudem empfiehlt es sich, interne Abläufe und Prozesse für den Umgang mit Sicherheitsvorfällen zu schaffen.