Hallo zusammen,

in diesem Artikel stelle ich Ihnen die Maßnahmen zur Umsetzung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für eine "wichtige Einrichtung" vor. Die folgende Darstellung der notwendigen Maßnahmen basiert auf dem aktuellen Diskussionspapier des Bundesministeriums des Innern und für Heimat „Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland“.

Grundsätzlich müssen die EU-Mitgliedsstaaten die NIS2-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 41 NIS2). Das NIS2UmsuCG soll im März 2024 verkündet werden (6 Monate vor Inkrafttreten). Mit dem Inkrafttreten sind alle Anforderungen direkt verbindlich umzusetzen – eine Umsetzungsfrist ist nicht vorgesehen. Entsprechend ist es sinnvoll, zeitnah mit den Arbeiten zur Umsetzung der Anforderungen zu beginnen. Bis zur Veröffentlichung im Bundesanzeiger lässt sich somit nicht verbindlich sagen, welche Anforderungen das NIS2UmsuCG fordern wird.

Nach derzeitigem Stand wird das NIS2UmsuCG als Artikelgesetz insbesondere das BSIG ändern. Viele Unternehmen fallen nach dem geplanten Entwurf des § 28 Abs. 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit der Informationstechnik von Einrichtungen (BSI-Gesetz Entwurf – BSIG-E) in Verbindung mit Anlage 1 oder Anlage 2 unter den Begriff „wichtige Einrichtung“ oder "wesentliche Einrichtung", weswegen die mit der NIS2-Richtlinie verbundenen Anforderungen anwendbar sind.

Ausgehend von dem aktuellen Diskussionspapier muss eine Einrichtung

geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

Dies bedingt die Umsetzung mindestens folgender Sicherheitsmaßnahmen nach §30 BSIG‑E auf Basis einschlägiger europäischer und internationaler Normen und auf einem gefahrenübergreifenden Ansatz:

1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls Gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Weitere Anforderungen für wichtige Einrichtungen sind:

1. Dreistufige Meldepflicht bei erheblichen Sicherheitsvorfällen gegenüber dem BSI nach § 32 BSIG-E,
2. Registrierungspflicht beim BSI nach § 33 f. BSIG-E,
3. Unterrichtungspflicht nach Sicherheitsvorfällen bei „Empfängern der Dienste“ nach § 35 BSIG-E,
4. Governance-Anforderungen der Geschäftsführung (Billigungs-, Überwachungs- und Schulungspflicht) nach § 38 BSIG-E.

Die nächsten Schritte zur Umsetzung des NIS2UmsuCG wäre die Durchführung einer Soll-/Ist-Analyse, die Identifizierung offener Punkte, die Aufwandsschätzung der zu treffenden Maßnahmen und die Planung und Beauftragung eines Umsetzungsprojekts.

Falls Sie Fragen zu der Umsetzung der NIS2-Richtlinie haben, vertrauen Sie auf unsere Projekterfahrung, unser Know-How im Bereich Informationssicherheit und melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von FlyD auf Unsplash. Vielen Dank!