Kritische Infrastrukturen: Wer bei NIS-2 was bis wann umsetzen muss

Die im Dezember 2022 verabschiedete europäische NIS-2-Richtlinie muss bis zum 17. Oktober 2024 in nationales Recht überführt werden. Die Anforderungen der Richtlinie realisiert in Deutschland das NIS-2-Umsetzungsgesetz, das sich aktuell noch in der finalen Abstimmung befindet.

Die NIS-2-Richtlinie ist als Erweiterung der bestehenden NIS-1-Richtlinie gedacht, die die Widerstandsfähigkeit kritischer Infrastrukturen erhöhen soll. Bei ihrer Ausarbeitung bestehen aber bislang noch Unklarheiten. Betroffen sind schätzungsweise 30.000 bis 40.000 Einrichtungen in 18 Sektoren, sofern sie mehr als 50 Mitarbeiter und einen Umsatz von über zehn Millionen Euro erzielen. Die Sektorenerweiterung umfasst nun auch Insurance-Tech-Start-ups, Onlinemarktplätze und Lebensmittelversorger. Gleichzeitig steigen die Sicherheitsanforderungen an Cybersecurity und Resilienz. Unternehmen benötigen in Zukunft ein NIS-2-konformes Risikomanagement. Das beinhaltet unter anderem die Umsetzung von Maßnahmen für das betriebliche Kontinuitätsmanagement (BCM), die Implementierung eines Informationssicherheits-Managementsystems (ISMS) und die Einstufung als „wesentliche“ oder „wichtige“ Einrichtung mit Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ausschluss der Kommunen

Kommunen sind von der NIS-2-Richtlinie ausgeschlossen, wie Christian Strunz (Referent für Digitalisierung beim Deutschen Landkreistag) im IT-Sicherheits-Podcast „Be Safe not Sorry“, der von Christian Günther (Account Manager bei NCP) co-moderiert wird, erklärte. Obwohl Kommunen immer mehr in den Fokus von Hackerangriffen geraten, müssen sie per Gesetz nicht die NIS-2-Anforderungen erfüllen. Er bedauert dies und hofft, dass durch Eigeninitiative der Kommunen und erhöhte Aufmerksamkeit dennoch mehr Maßnahmen zum Schutz der Kommunen getroffen werden. Auch Katrin Giebel (Geschäftsstellenleiterin der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister Vitako) empfindet die Ausklammerung des öffentlichen Sektors als „verpasste Chance“, um Cybersicherheit zu gewährleisten.

Probleme bei der Umsetzung

Problematisch ist zum aktuellen Zeitpunkt die ungenaue Definition der betroffenen kritischen Infrastrukturen. Durch unpräzise Begrifflichkeiten kommt es möglicherweise zu Überschneidungen mit dem KRITIS-Dachgesetz, das sich aktuell ebenfalls im Regulierungsprozess befindet. Das kann die Umsetzung erschweren. Die Implementierung und Überwachung der NIS-2-Standards stellt eine erhebliche Herausforderung dar, die Zeit, Ressourcen und finanzielle Mittel erfordert. Zudem müssen Unternehmen strengere Sicherheitsanforderungen erfüllen – die Geschäftsführung muss für Verstöße mit Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes haften. Insbesondere für kleinere Unternehmen kann auch der Bedarf an spezifischem Fachwissen in Bezug auf Cybersicherheit und Risikomanagement eine Herausforderung darstellen.

Es bleibt also spannend, wie die von der NIS-2-Richtlinie Betroffenen mit diesen neuen Herausforderungen klarkommen. Es stellt sich vor allem auch die Frage, ob sich die Kommunen auch ohne gesetzliche Verpflichtung adäquat schützen können. Der Blog-Beitrag der NCP engineering GmbH beleuchtet die Anforderungen und offenen Fragen zur Umsetzung der NIS-2-Richtlinie.