Compliance IT Sicherheit – Besonderer Teil NIS-2

1. NIS-2-RL

Bei den Vorgaben der NIS-2-RL handelt es sich um eine Richtlinie der europäischen Union. Diese Vorgaben hätten bis zum 17.10.2024 in nationales Gesetz umgesetzt werden sollen. Dazu kam es nicht, weil zunächst der Bundesrat sein Veto gegen einzelne Zuständigkeitsregelungen einlegte und dann die „Fortschrittskoalition“ zerbrach. Der Regierungsentwurf stammt vom 24.07.2024, inzwischen hat die EU gegen Deutschland ein Verfahren eingeleitet.

Ich sage das deshalb am Anfang so genau, weil sich mit dem Regierungswechsel auch die Inhalte dieser Beiträge ändern können und werden.

Wie beim CRA gilt es, sich auf die Dinge vorzubereiten. Es ist aber bitte keine Detailtiefe zu erwarten, sondern diese Blogs sollen eine Orientierung für die Vorbereitung dienen.

1.1 Teil 1 – Allgemeine Vorschriften

Der RegE-NIS-2-RL (Regierungsentwurfs zur NIS-2-RL) ist erstmal gut zu lesen. Unter § 2 werden eine Menge von Begriffen vom Gesetzgeber her beschrieben, so dass man nicht auf andere Gesetze oder Richtlinien zur Interpretation angewiesen ist. Der § 2 muss immer mitsamt dem Text der Richtlinie gemeinsam gelesen werden, um schnell zu verstehen, was gemeint ist. Ich gebe ein paar Definitions- Beispiele

  1. „kritische Dienstleistung“ ist eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde;
  2. „Managed Security Service Provider“ oder „MSSP“ ein MSP, ein Anbieter, der Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit durchführt oder erbringt;
  3. „Managed Service Provider“ oder „MSP“ ist ein Anbieter von Diensten im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kun- den oder aus der Ferne;
  4. „Rechenzentrumsdienst“ ist ein Dienst, der Strukturen umfasst, die dem vorrangigen Zweck der zentralen Unterbringung, der Zusammenschaltung und dem Betrieb von IT- oder Netzwerkausrüstungen dienen, die Datenverarbeitungsdienste erbringen, mitsamt allen benötigten Anlagen und Infrastrukturen, insbesondere für die Stromverteilung und die Umgebungskontrolle;
  5. „Schadprogramme“ sind Programme und sonstige informationstechnische Routinen und Verfahren, die dazu dienen, unbefugt Daten zu nutzen oder zu löschen oder unbefugt auf sonstige informationstechnische Abläufe einzuwirken;
  6. „Sicherheit in der Informationstechnik“ ist die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
    1. in informationstechnischen Systemen, Komponenten oder Prozessen oder
    2. bei der Anwendung informationstechnischer Systeme, Komponenten oder Prozesse;

Etc.

Ich empfehle jedem, das Dokument zu laden und dann immer die Definitionen mit im Auge zu haben.

1.2 Teil 2 – Das Bundesamt

Dann kommt der Teil 2, der die Zuständigkeit des Bundesamts hervorhebt. Das ist für unsere Bedürfnisse hier im Detail nicht wissenswert. Ich empfehle aber mal den § 13 zu lesen, der zum Beispiel besagt, dass das Bundesamt Warnungen an die Öffentlichkeit oder an betroffene Kreise vor Schadprogrammen, mit sicherheitsrelevanten Eigenschaften von IT- Produkten etc. richten kann. Das BSI kann und soll kommunizieren. Der Teil regelt dann noch eine Reihe von datenschutzrechtlichen Befugnissen des BSIs mitsamt den Rechten der Betroffenen, aber das ist für uns in diesem Kontext nicht wichtig.

Wichtiger für uns ist der Teil 3. Dieser beginnt auf S. 37 der PDF.

1.3 Teil 3 – Sicherheit in der Informationstechnik von Einrichtungen

1.3.1 Anwendungsbereich

In den §§ 28, 29 des RegE-NIS-2-RL (Regierungsentwurfs zur NIS2 RL) wird erstmal beschrieben, für welche Unternehmen die NIS-2-RL anwendbar ist.

Den Anwendungsbereich der NIS-2-RL habe ich bereits beschrieben.

Diese Einordnung ist für unsere Kunden wichtig, da die NIS-2-RL von dem Adressaten verlangt, dass die Lieferanten (also insbesondere auch die IT- Dienstleister) die Regelungen der NIS-2-RL für die entsprechenden Services auch zu beachten haben. Die NIS-2-RL adressiert also, welcher Auftraggeber betroffen ist oder betroffen sein könnte.

Die Frage, welche Rechtsfolgen die Adressaten zu erfüllen haben, richtet sich nach einem skalierten System, das sich an der Funktion (Sektor) und Betriebsart des Unternehmens einerseits und an der Größe andererseits orientiert, wobei eine Korrelation zwischen den beiden Faktoren nicht unbedingt bestehen muss. In Abhängigkeit dazu unterscheidet das Gesetz zwischen „wichtigen Einrichtungen“, „besonders wichtigen Einrichtungen“ und „kritischen Anlagen“.  Der Umfang der Pflichten die dem Adressaten nach dem Gesetz obliegen, richtet sich nach dieser Einteilung.

Im § 28 Abs. 1 werden dann erst als besonders wichtige Einrichtungen die Betreiber kritischer Anlagen und „qualifizierte Vertrauensdienste-Anbieter“ genannt. Hier gibt es keine Abstufung hinsichtlich der Unternehmensgröße.
Dann kommen die Anbieter der öffentlichen zugänglichen Telekommunikationsdienste hinzu, die aber mindestens 50 Mitarbeiter und einen Umsatz von mehr als 10 Millionen haben müssen.

Die wichtigste Gruppe für unsere Kunden sind die Unternehmen, die in der Anlage 1 (Sektoren besonders wichtiger und wichtiger Einrichtungen ab S. 72) gelistet sind, die mehr als 250 Mitarbeiter aufweisen und einen Umsatz von mehr als 50 Millionen aufweisen.

Die andere Gruppe der wichtigen Unternehmen wird dann nach dem selben Schema im Absatz 2 beschrieben, wobei diesmal die Anlagen 1 und 2 heranzuziehen sind und die Mitarbeiterzahl 50 und der Mindestumsatz 10 Millionen beträgt.

Ich empfehle, sich den RegE-NIS-2-RL einmal selbst zum Download besorgen und die Anlage 1 (ab der S. 72 der PDF) anzuschauen, dann erkennt man relativ schnell, ob  der eigene Kundenstamm betroffen sein kann oder nicht.

In der Anlage 1 werden die Sektoren genannt. Zu den Sektoren „besonders wichtiger“ und „wichtiger“ Einrichtungen gehören:

  • Energie,
  • Transport und Verkehr (Luftverkehr, Schienen, Schifffahrt, Straßenverkehr) (Leitung und Verkehrsbeeinflussung),
  • Wasser,
  • Finanzen,
  • Gesundheit,
  • Digitale Infrastruktur und
  • Weltraum.

Zu den wichtigen Einrichtungen der Anlage 2 ab S. 77 (also denen, die weniger Pflichten zu erfüllen haben) gehören:

  • Transport (Kurier und Post),
  • Abfallbewirtschaftung,
  • Produktion, Verarbeitung  und Handel mit chemischen Stoffen,
  • Produktion, Verarbeitung  und Handel von Lebensmitteln,
  • Hersteller und Verarbeitung von Ware (Medizin, Maschinenbau, Datenverarbeitungsgeräte, elektrische Ausrüstung, KFZ und LKW und sonstiger Fahrzeugbau), 
  • Anbieter digitaler Dienste (Plattformen, Social Media und Online Marktplätze) und 
  • Forschungseinrichtungen.

1.4 Rechtsfolgen, §§ 30 ff. RegE-NIS-2-RL

Nun wird es scheinbar spannend, denn nachdem Sie in den vorherigen Beiträgen alles zum Thema DSGVO gelesen haben, werden Sie feststellen dass die NIS-2-RL ähnliche Regelungen enthält.

In den §§ 30 ff. werden die Rechtsfolgen beschrieben.

1.4.1 ISMS  

Im § 30 Abs.1 RegE-NIS-2-RL wird wieder die Errichtung eines ISMS gefordert. Der Wortlaut unterscheidet sich von dem des Art. 32 Abs. 1 DSGVO insofern, als dass es nicht nur um den Schutz von personenbezogenen Daten geht.

Bevor ich zu den Besonderheiten komme, möchte ich noch darauf hinweisen, dass nach § 30 Abs. 3 RegE-NIS-2-RL ein Vorrang anderer Regelungen der EU zur Festlegung von technischen und organisatorischen Anforderungen für bestimmte IT- Unternehmen gilt. Das sind:

  • DNS-Diensteanbieter,
  • Top Level Domain Name Registries,
  • Cloud-Computing-Dienstleister,
  • Anbieter von Rechenzentrumsdiensten,
  • Betreiber von Content Delivery Networks,
  • Managed Service Provider,
  • Managed Security Service Provider,
  • Anbieter von Online-Marktplätzen,
  • Online-Suchmaschinen;
  • Plattformen für Dienste sozialer Netzwerke und
  • Vertrauensdienste-Anbieter.

Die NIS-2-RL hat also Nachrang, wenn es eine EU RL gibt und Ihr Unternehmen außerdem noch Adressat dieser Richtlinie ist oder sein wird. Bis dahin gilt (§ 30 und § 5 RegE-NIS-2-RL) auch für Sie, wie für Ihre Kunden das Kompendium folgender Maßnahmen:

1.4.2 Maßnahmen (§ 30 Abs. 2 RegE-NIS-2-RL)

Zitat des Gesetzestextes:

„(2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:

    1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
    2. Bewältigung von Sicherheitsvorfällen,
    3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
    4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
    5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
    6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
    7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
    8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
    9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
    10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.“

Das Pflichtenprogramm ist abzuarbeiten und die Beschreibung des IST- Zustandes, die Risikoanalyse und die getroffenen technischen und organisatorischen Maßnahmen zur Minderung oder Vermeidung der Risiken sind zu dokumentieren. Sie werden merken, dass die Maßnahmen die hier gefordert werden, sich nicht grundlegend von den Maßnahmen unterscheiden, die Sie aus der DSGVO schon kennen. Im Grunde handelt es sich bei dem § 30 Abs. 2 RegE-NIS-2-RL um einen Versuch (den ich nicht gut finde, weil er rasch veraltet) das festzuhalten, was man den „Stand der Technik“ nennt. Lesen Sie sich den § 30 Abs. 2 RegE-NIS-2-RL aber noch einmal genau durch: Dort steht im Satz 2 „Die Maßnahmen müssen zumindest Folgendes umfassen“. Die Aufzählung ist also nicht abschließend, sondern bedeutet, dass der Auftraggeber weitere Punkte fordern kann oder die Liste sich erweitert, weil der Stand der Technik fortschreitet.

Vier Regelungen müssen wir uns noch anschauen.

1.4.3 § 31 RegE-NIS-2-RL

Besondere Pflichten gelten für die Betreiber „kritischer Anlagen“. Hier gilt noch verschärft das Prinzip „safety first“ und außerdem sind diese Unternehmen verpflichtet, technische und Organisatorische Maßnahmen zur Angriffserkennung einzusetzen. Also müssen hier Unternehmen eingesetzt werden, die sich auf die Cyberabwehr spezialisiert haben und Maßnahmen zur Früherkennung etc. leisten.

1.4.4 § 32 RegE-NIS-2-RL

Der § 32 regelt die Meldepflichten anders als die DSGVO. Er fordert eine Benachrichtigung binnen 24 Stunden, wobei die Meldung eben auch die nach Nr. 4 genannten Punkte zu umfassen hat. Bedeutet für Ihr Unternehmen, dass auch Sie in der Lage sein müssen, die relevanten Informationen binnen 24 Stunden zur Verfügung zu stellen und die erforderlichen Maßnahmen Ihres Auftraggebers zu unterstützen.

1.4.5 § 38 RegE-NIS-2-RL

Man beachte hier insbesondere den Abs. 2, um den Impetus zu verstehen, den die Auftraggeber dem Thema NIS-2-RL beimessen. Erstens wird im Abs. 1 die Geschäftsführung des Unternehmens verpflichtet, sich des Themas IT- Security selbst anzunehmen. Zweitens haftet die Geschäftsführung nun für Fehlleistungen dem Unternehmen gegenüber persönlich nach den Regelungen, die für die Rechtsform gelten. Abs .3 sagt dann noch, dass die Geschäftsleitung besonders wichtiger Einrichtungen selbst an ISMS- Schulungen teilnehmen muss.

1.4.6 § 41 RegE-NIS-2-RL

Für uns wichtig ist abschließend noch der § 41, der sich mit der Untersagung kritischer Komponenten befasst. Solche Komponenten können auch in Softwaremodulen, Bibliotheken etc. bestehen. Danach kann (§ 41 Abs. 2 RegE-NIS-2-RL) die Verwendung einer kritischen Komponente binnen zwei Monaten untersagt werden, wenn nicht nach Abs. 3 eine Garantieerklärung vorliegt.

Zitat: „Aus der Garantieerklärung muss hervorgehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zweck von Sabotage, Spionage oder Terrorismus, auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können.“

Die Garantieerklärung eines Hersteller ist dann nicht relevant, wenn er nach Abs. 5 nicht vertrauenswürdig ist.

Offengestanden wird man wie im Fall Kaspersky abwarten müssen, wie sich die Rechtspraxis hier einpendelt, mir fehlen noch Fälle um sagen zu können, was geschehen kann.

Jedenfalls ist für die Lieferanten, die mit Open Source arbeiten nach diesem Verfahren klar, dass sie eine SBOM für die Absicherung führen müssen, die dem Standard des BSI entspricht.

Bußgelder

Natürlich muss Vater Staat mit Bußgeldern drohen, die nach der Einstufung des jeweiligen Unternehmens bis zu 10% des Jahresumsatzes oder 2% des weltweiten erzielten Jahresumsatzes betragen können. 

1.5 Kosten

Die ganz große Frage, die sich bei der Umsetzung der NIS-2-RL stellt, ist die Frage nach den Kosten. Dazu komme ich in einem gesonderten Blog.§

Weitere Beiträge

Compliance IT Sicherheit – Besonderer Teil NIS-2

1. NIS-2-RL Bei den Vorgaben der NIS-2-RL handelt es sich um eine Richtlinie der europäischen Union. Diese Vorgaben hätten bis zum 17.10.2024 in nationales Gesetz umgesetzt werden sollen. Dazu kam es nicht, weil zunächst der Bundesrat sein Veto gegen einzelne

Mehr lesen »
Stefan G. Kramer 14. Januar 2025

Compliance IT Sicherheit –Besonderer Teil DSGVO III

6. Ablaufpläne und Schulungen Die Organisatorischen Maßnahmen betreffen insbesondere Schulungen der Mitarbeiter – insbesondere im Bereich der Cybersecurity -, die die Mitarbeiter regelmäßig durchlaufen müssen. Nach Aussagen unserer Kunden sind über 90% der Cyberattacks nicht durch Hacker bedingt, die sich

Mehr lesen »
Stefan G. Kramer 13. Januar 2025

Compliance IT Sicherheit – Besonderer Teil DSGVO II

4. Fehler Ich möchte es einmal ganz deutlich sagen: Das Gesetz fordert im Schritt 1, sich mit dem Thema IT- Sicherheit angemessen auseinanderzusetzen. Und die Befassung mit diesem Thema muss angemessen dokumentiert werden. Was also nicht passieren darf, ist, sich

Mehr lesen »
Stefan G. Kramer 10. Januar 2025

Rechtliches

Datenschutzhinweis

Pflichtangaben/ Impressum

Kontakt

Kramer & Partner Rechtsanwälte PartG mbB 
Deichstr. 1
20459 Hamburg
Telefon: 040 – 349 603 0
Telefax: 040 – 349 603 20
E-Mail: info@anwaltskanzlei-online.de

Copyright © 2025 Kramer & Partner Rechtsanwälte mbB
Nach oben scrollen