NIS-2-Umsetzungsgesetz: Neue Cybersicherheitsanforderungen für KMU

Worum geht es bei dem Gesetzesvorhaben?

Die NIS-2-Richtlinie regelt das Cybersicherheitsniveau für kritische Wirtschaftsbereiche in der EU und ist eine Erweiterung der bisherigen NIS-Richtlinie aus dem Jahre 2016. Der neue Rechtsrahmen führt dazu, dass mehr Sektoren und mittelgroße Unternehmen die IT-Sicherheitsvorgaben umsetzen müssen und Teile ihrer IT-Lieferkette – darunter oftmals KMU – indirekt von dieser Regelung betroffen sind.

In welchem Stadium befindet sich das Vorhaben?

Die NIS-2-Richtlinie der EU ist in Kraft und muss bis Mitte Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden. Für die Umsetzung in Deutschland liegt ein mehrfach überarbeiteter Referentenentwurf des Bundesministeriums des Innern und für Heimat (BMI) vor.

MittelstandsMonitoring+

Mehr Gesetzgebungstransparenz für DMB-Mitglieder

Die Komplexität politischer Regulierung nimmt beständig zu – auch für kleine und mittlere Unternehmen. Das bedeutet konkret: Bei rund 15.000 Drucksachen in einer Legislaturperiode ist es unmöglich, politische Entwicklungen bis ins Kleingedruckte zu verfolgen.

Früher wissen, was wichtig wird: Der DMB beobachtet, ordnet und bewertet mittelstandsrelevante Themen und informiert tagesaktuell und verständlich über wichtige Gesetzgebungsvorhaben. 

Hintergrund

Die Richtlinie definiert bestimmte Sektoren als kritische Infrastrukturen. Dazu gehören neben in NIS-1 bestehende Sektoren, wie Energie und Verkehr, nun auch Abwasser, informations- und kommunikationstechnische Dienstverwaltungen (Unternehmen zu Unternehmen) sowie Weltraum. Weiterhin besteht die Option, den Anwendungsbereich auf die lokale Ebene von öffentlichen Verwaltungen zu erweitern. Dem entgegen steht jedoch die nicht-verbindliche Empfehlung des IT-Planungsrates, keinen Gebrauch davon bei der Umsetzung in Deutschland zu machen.

Angelehnt an die NIS-2-Richtlinie unterscheidet der Referentenentwurf zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. „Besonders wichtige Einrichtungen“ sind vornehmlich Großunternehmen (mindestens 250 Beschäftigten oder Mindestumsatz von 50 Millionen Euro) in bestimmten kritischen Sektoren. Für sie gelten u. a. strengere Nachweispflichten. Unter „wichtigen Einrichtungen“ fallen weitere kritische Sektoren und schon Unternehmen ab 50 Beschäftigten oder Unternehmen mit Jahresumsatz und Jahresbilanzsumme von mindestens 10 Millionen Euro. Darunter zählen jeweils festgelegte Teile von Unternehmensgruppen der kritischen Sektoren, z. B. Plattformanbieter sozialer Netzwerkdienste oder Hersteller von Kraftwagenteilen. Hochgerechnet betrifft das Gesetz in Deutschland künftig rund 8.100 Unternehmen als besonders wichtige klassifizierte Einrichtungen und rund 20.900 Unternehmen als wichtige klassifizierte Einrichtungen sowie eine nicht näher bezifferte Anzahl an Betrieben, die als Teil der IT-Lieferkette indirekt einbezogen wird.

Betreiber von kritischen Infrastrukturen müssen in die Risikobewertung ihre IT-Lieferkette berücksichtigen und die Sicherheit dieser gewährleisten. Das führt dazu, dass das Umsetzungsgesetz indirekt Unternehmen betrifft, die per se nicht zu kritischen Infrastrukturen zählen.

Gemäß dem Referentenentwurf wird wichtigen Einrichtungen die Durchführung von Risikomanagementmaßnahmen auferlegt, welche Störungen der Schutzziele der Informationssicherheit durch Sicherheitsvorfälle auf ihre Dienste vermeiden bzw. geringhalten sollen. Außerdem sind sie bei Kenntniserlangung von einem erheblichen Sicherheitsvorfall verpflichtet, innerhalb von 24 Stunden eine frühe Erstmeldung, innerhalb von 72 Stunden eine Meldung mit erster Vorfallsbewertung und im Regelfall spätestens nach einem Monat einen Abschlussbericht an einen staatlich eingerichteten Meldeweg abzugeben. Des Weiteren sind sie verpflichtet, sich bei einem dafür vorgesehenen Bundesregister erfassen zu lassen.

Des Weiteren sollen geschäftsleitende Personen für entstandene Schäden durch nicht ergriffene Risikomanagementmaßnahmen haften. Wichtigen bzw. wesentlichen Einrichtungen drohen bei Verstoß gegen Risikomanagementmaßnahmen oder Berichtspflichten sieben bzw. zehn Millionen Euro oder, soweit höher, 1,4 bzw. 2 Prozent ihres weltweiten Jahresumsatzes an Geldbußen.

Welche schwerpunktmäßigen Neuerungen gehen bei der Betrachtung für Deutschland aus dem Referentenentwurf hervor?

Welches Ziel wird mit diesem Gesetz verfolgt?

Das Richtlinienziel ist die Erreichung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten EU. Schon mit der ersten Richtlinie wurde der „unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme“ bei wesentlichen Diensten in Schlüsselsektoren und die „Sicherstellung der Kontinuität solcher Dienste bei Vorfällen“ angestrebt.

Ungeachtet dieses Fortschritts deckte die Überprüfung bestehende Mängel hinsichtlich neuer Herausforderungen im Cybersicherheitsbereich auf. Die Ausweitung der Cyberbedrohungslage erfordere in allen Mitgliedstaaten entsprechende koordinierte und innovative Reaktionen. Des Weiteren soll die aus der ersten Richtlinie resultierende regeltechnische Fragmentierung des Binnenmarktes durch die neue NIS-2-Richtlinie beseitigt werden.

Warum ist das Gesetz relevant für KMU / den Mittelstand?  

Die Erweiterung der Sektoren und die Ausweitung auf die Lieferkette hat zur Folge, dass der Mittelstand von der Richtlinie verstärkt betroffen ist. Konkret fallen unter die Regelung nun auch Unternehmen ab 50 Beschäftigte oder wenn sie Teil der IT-Lieferkette der betreffenden kritischen Sektoren sind.

Wichtige Daten und Ereignisse

Die DMB-Bewertung

Der DMB begrüßt grundsätzlich die politische Anstrengung, die IT-Sicherheit auf ein höheres Schutzniveau zu stellen. Weiterhin wird positiv bewertet, dass für kritische Sektoren höhere gesetzliche Anforderungen gelten und der EU-Rechtsrahmen stärker harmonisiert werden soll, um die IT-Sicherheit in der EU gleichmäßig zu stärken.

Die Einzelheiten der Richtlinie bedürfen einer differenzierten Betrachtung. Regionale, öffentliche Verwaltungen nun in die Sektorenauswahl miteinzubeziehen, kann als überfällig eingeordnet werden und kommt Unternehmen bei Verwaltungsinteraktionen zugute, weshalb von einem deutschen Sonderweg in Anlehnung an den Beschluss des IT-Planungsrates abzusehen ist. Die Ergänzung von weiteren Einrichtungsarten im Sektor digitale Infrastruktur erscheint zunächst nachvollziehbar, hat aber zur Folge, dass damit eine Reihe von Unternehmen als Zulieferer ebenfalls unter die Regelung fallen werden. Statt auch kleine Unternehmen indirekt als Zulieferer zu belasten, wie es im Referentenentwurf vorgesehen ist, sollte sich die Auswahl vor allem auf große Betriebe beschränken und deren Anforderungen eines Schutzniveaus vertieft werden.

Wenngleich eine Verbesserung der Cybersicherheit besser früher als später geschehen sollte, ist zu bedenken, dass durch diese Regelungsnovellierung eine Reihe von Unternehmen neu einbezogen werden. Diese nun ebenfalls betroffenen Unternehmen müssen ihre IT-Sicherheitsinfrastruktur nun in extrem kurzer Zeit zur Erfüllung der gesetzlichen Anforderungen umstrukturieren. Zudem fehlt es an entsprechenden (staatlichen) Informationsangeboten. Weil die rechtlichen Details erst mit Beschließung des deutschen Umsetzungsgesetzes feststehen, bleibt Betrieben selbst bei einer zeitnahen Beschließung nur eine Frist von wenigen Monaten, um auf finale Änderungen zu reagieren. Wir appellieren daher, den Gesetzesprozess schnellstmöglich und ohne weitere Verschärfungen gegenüber der EU-Richtlinie zu finalisieren.

Zusammenfassend ist die Einhaltung eines gewissen IT-Schutzniveaus für alle Unternehmen von Vorteil und ein rechtlicher Rahmen bedingt gleiche Mindestanforderungen. Dennoch sind durch diese Richtlinie auch viele mittelgroße Unternehmen zumindest indirekt betroffen und müssen in der kurzen verbleibenden Zeit ihre IT-Sicherheit im großen Umfang verbessern, obwohl ihre Infrastruktur keine direkte kritische Relevanz hat.

Zugehörige Dokumente

• Aktueller Referentenentwurf des BMI zur Umsetzung der NIS-2-Richtlinie, Stand Mai 2024
• BMI-Diskussionspapier für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland, Stand September 2023
• Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)
• Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie)

Dieser Beitrag ist Teil von Mittelstand WISSEN zum Thema "Arbeitswelt von morgen" und des Themenschwerpunkts "Cybersicherheit im Mittelstand".

• Einführung der Einrichtungskategorien und Ausweitung der betreffenden Akteure
• Übernahme des Katalogs der NIS-2-Mindestsicherheitsanforderungen in das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) (Intensität der jeweiligen Maßnahme wird jedoch ausdifferenziert)
• Ersetzen der einstufigen Meldepflicht durch eine dreistufige Vorfalls-Meldepflicht (bürokratischer Aufwand soll innerhalb des Umsetzungsspielraums minimiert werden)
• Ausweitung des BSI-Instrumentariums hinsichtlich Aufsichtsmaßnahmen
• Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten
• Harmonisierung der nationalen und unionsrechtlichen Vorgaben an Einrichtungen der Bundesverwaltung
• Etablierung eines Informationssicherheitsbeauftragten zur zentralen Koordination für Maßnahmenschaffung und Unterstützung bei Vorgabenumsetzung bezogen auf Informationssicherheit in der Bundesverwaltung (Bezeichnung: „CISO-Bund“)
• Überarbeitung der Bußgeldregelung (mit Differenzierung anhand der Einrichtungskategorien)