NIS 2 - Richtlinie, BSIG-E und NIS2UmsuCG - NIS 2

Kompakt im überblick

Die NIS 2 ‑Richtlinie und das neue deutsche BSI-Gesetz (Stand: Dez. 2023)

Willkommen auf unserer umfassenden FAQ-Seite zur NIS2-Richtlinie – dem Herzstück der europäischen Cybersicherheitsstrategie. Hier findest du Antworten auf die wichtigsten Fragen rund um die NIS 2 — Richtlinie und Informationen zu den Anforderungen. Zudem haben wir die Antworten auch auf das deutsche NIS‑2 — Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) abgeglichen, das u.a. eine Änderung des BSI-Gesetzes nach sich ziehen wird. Tauche ein in die Welt der Netz- und Informationssicherheit der zweiten Generation und erfahre, wie du die Sicherheit deiner Organisation stärken kannst.

Welche allgemeinen Kriterien legen fest, ob eine Organisation die NIS 2 — Richtlinie einhalten muss?

Die NIS‑2 Richtlinie richtet die Frage nach dem „Ob“ und dem „Wie“ der Einbeziehung insbesondere nach drei Kriterien:

1. Dem Standort der Leistungserbringung, wenn die Organisation in einem beliebigen Land der Europäischen Union Dienstleistungen erbringt oder Tätigkeiten ausübt (unabhängig davon, ob sie ihren Sitz in der EU hat oder nicht),
2. Der Größe — wenn die Organaisation als mittelgroße oder große Organisationen eingestuft werden (siehe nachfolgende Frage), und
3. Der Branche in der die Organisation tätig ist. Hier wird auch von Sektoren gesprochen. Eine Aufstellung ist weiter unten zu finden.

Hieraus hat der nationale Gesetzgeber in dem aktuell vorliegenden maßgeblichen Gesetzesentwurf zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI‑G, nachfolgend als BSI-G‑E bezeichnet) in Bezug auf die Größe die Definitionen in § 28 BSI‑G festgelegt.

Im deutschen Gesetz (im Weiteren als BSI-G‑E) wird nur zwischen “besonders wichtigen” und “wichtigen” Unternehmen unterschieden, auf die das Gesetz Anwendung finden wird. (Stand: Dezember 2023)

Zusätzlich bezieht das Gesetz noch „Vertrauensdiensteanbieter“ und Betreiber „kritischer Anlagen“ ein, welche aber erst durch eine noch zu erlassende Rechtsverordnung näher definiert werden. Diese Rechtsverordnung liegt auch in einer Entwurfsfassung noch nicht vor.

Die betroffenen Branchen werden in den Anlagen 1 und 2 definiert.

Ab welcher Größe ist ein Unternehmen oder eine sonstige Einrichtung von den Umsetzungsvorgaben des NIS2-UmsetzG betroffen?

Die Größe, ab wann und in welchem Umfang ein in Deutschland ansässiges Unternehmen von den Vorgaben der NIS-2-Richtlinie betroffen ist, bestimmt sich nach der nach dem (derzeit nur im Entwurf vorliegenden) BSI-G‑E. Dort werden als betroffene Unternehmen/Einrichtungen folgende Parameter für die Unternehmensgröße festgelegt, die im Gesetz als „wichtige“ und „besonders wichtige“ Einrichtungen qualifiziert werden:

Besonders wichtige Einrichtungen/Unternehmen (die einer der Einrichtungsarten der Anlage 1 des BSI-Gesetzesentwurfs zuzuordnen sind) haben

mindestens 250 Mitarbeiter beschäftigt, oder
einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro;

es sei denn, dass es sich um einen Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen handelt, der

mindestens 50 Mitarbeiter beschäftigt oder
einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist;

oder dass es sich um eine natürliche oder juristische Person handelt, die einer der in Anlage 1 bestimmten Einrichtungsarten qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registry oder DNS-Diensteanbieter zuzuordnen ist -

die Einbeziehung erfolgt hier unabhängig von der Unternehmensgröße;

oder dass es sich um einen Betreiber kritischer Anlagen handelt -

die Einbeziehung erfolgt hier ebenfalls unabhängig von der Unternehmensgröße.

Wichtige Einrichtungen/Unternehmen (die bestimmten Einrichtungsarten der Anlagen 1 uns 2 des BSI-Gesetzes zuzuordnen sind) haben

mindestens 50 Mitarbeiter beschäftigt oder
einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist;

oder es handelt sich um einen Vertrauensdiensteanbieter -

die Einbeziehung erfolgt hier unabhängig von der Unternehmensgröße.

Ausnahmen existieren in beiden Kategorien für Finanzunternehmen, die bereits unter bestimmte Vorschriften des Kreditwesengesetzes und/oder das Versicherungsaufsichtsgesetz fallen

Was ist der Unterschied zwischen “kritischen” Anlagen und “wichtigen/besonders wichtige Einrichtungen”?

Kritische Anlagen

Der Entwurf des NIS 2‑Umsetzungsgesetzes definiert kritische Anlagen als solche, die nach einer noch zu erlassenden Rechtsverordnung als kritische Anlagen festgelegt wurde, wenn sie einer der durch Rechtsverordnung festgelegten Anlagenarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informations-technik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung zuzuordnen ist und diese die durch die Rechtsverordnung festgelegten Schwellenwerte überschreitet. Die Rechtsvorordnung bezeichnet auch den genauen Stichtag, ab wann diese Regelungen gelten.

Ein Entwurf oder der Zeitpunkt, wann die Rechtsverordnung vorgelegt wird, liegen noch nicht vor.

Wichtige/besonders wichtige Einrichtungen

Wie unter der der vorstehenden Frage erläutert hängt von der Unternehmensgröße ab, ob und in welcher Weise diese als wichtige oder besonders wichtige Einrichtung eingestuft werden (Zu den Sonderregelungen

Unabhängig von der Einordnung in eine der beiden Kategorien (Betreiber einer kritischen Anlage oder wichtiges/besonders wichtiges Unternehmen) muss mindestens ein Sektor der besonders wichtiger und wichtiger Einrichtungen betroffen sein (siehe hierzu die nächste Frage)

In welchen Sektoren/Branchen müssen wesentliche oder wichtige Einrichtungen gemäß des BSI-G‑E tätig sein?

Grundsätzlich unterscheidet der national relevante Entwurf des BSI-G‑E in den Anlagen 1 und 2 des Gesetzes zwischen zwei Kategorien:

Sektoren besonders wichtiger und wichtiger Einrichtungen (gem. Anlage 1)

Energie
Transport und Verkehr
Finanz- und Versicherungswesen
Gesundheit
Wasser
Informationstechnik und Telekommunikation
Weltraum

und die Sektoren der wichtigen Einrichtungen (gem. Anlage 2):

Transport und Verkehr
Abfallsbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmittel,
Verarbeitendes Gewerbe/Herstellungvon Waren
Anbieter digitaler Dienste
Forschung

Bei den doppelten Sektoren “Transport und Verkehr” ist jeweils auf die Branche unterhalb des Sektors zu gucken. Bei den wichtigen Einrichtungen sind es nur Anbieter von Postdienstleistungen.

In seiner Umsetzung unterscheidet sich das BSI-G‑E nur unwesentlich von den Vorgaben der NIS2-Richtlinie. Maßgeblich für die nationale Betrachtung ist das BSI-G‑E in seiner endgültigen Fassung.

Müssen kleinere und mittlere Unternehmen (KMU) auch Maßnahmen des BSI-G‑E umsetzen?

Für Unternehmen, die in Deutschland ansässig sind, gilt das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) und innerhalb dieses Artikelgesetzes maßgeblich das BSI-G‑E (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Das NIS2UmmsuCG wird eine Änderung des bereits existierenden BSI‑G bewirken, so dass der neue Entwurf innerhalb der FAQ als BSI-G‑E bezeichnet wird. Dieses Gesetz liegt derzeit (Stand: März 2024) nur als sog. Referentenentwurf vor. Nach jetzigem Stand soll das Gesetz am 17.01.2024 in Kraft treten.

Der Begriff der KMU (kleineren und mittleren Unternehmen) ist national nicht abschließend definiert und findet auch im BSI-G‑E keine Verwendung. Der Begriff der KMU sowie die seitens der EU-Kommission entwickelte Kategorisierung hat für das BSI-G‑E somit keine direkte Bedeutung. Angesichts der im BSI-G‑E gewählten Schwellwerte hat sich aber auch der nationale Gesetzgeber an den dort genannten Größenordnungen ausgerichtet. So verwendet das Gesetz nicht die Begriffe „kleinere“, „mittlere“ und „große“ Unternehmen, sondern unterscheidet zwischen “wichtigen” oder ”besonders wichtigen” Unternehmen (im Gesetz unter „Einrichtungen“ gefasst) Fällt man einen der beiden Begriffsdefinitionen muss das Unternehmen die gesetzlich vorgesehenen Maßnahmen umsetzen, die das BSI-G‑E und die noch unter dem BSI-G‑E zu erlassende Rechtsverordnung kodifizieren. Ferner dann, wenn ein Unternehmen als Vertrauensdiensteanbieter einzustufen ist oder als Betreiber einer kritischen Anlage.

Danach ist der Schwellwert, ab wann ein Unternehmen zukünftig zu Umsetzungsmaßnahmen grundsätzlich verpflichtet ist, vergleichsweise niedrig.

Eine wichtige Einrichtung ist

eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist; oder
ein Vertrauensdiensteanbieter.

Weiterhin maßgeblich sind die zugehörigen Anlagen 1 und 2. Denn diese bestimmen die Sektoren, in denen die Vorgaben des BSI-G‑E umzusetzen sind. Auch diese erfahren gegenüber dem heutigen Stand eine erhebliche Ausweitung.

Insbesondere die sog. Sektoren der Anlage 2 (für wichtige Einrichtungen) deuten darauf hin, dass viele KMU bspw. aus den Branchen

Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
Maschinenbau
Herstellung von Kraftwagen und Kraftwagenteilen
Sonstiger Fahrzeugbau
Anbieter von Online-Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Plattformen für Dienste sozialer Netzwerke

die Maßnahmen umsetzen müssen.

Bei den besonders wichtigen Einrichtungen können unter anderem folgende Branchen betroffen sein

Erbringer von Gesundheitsdienstleistungen
Betreiber von Internet Exchange Points
DNS-Dienstanbieter, ausgenommen Betreiber von Root-Nameservern
Top Level Domain Name Registry
Anbieter von Cloud-Computing-Diensten
Anbieter von Rechenzentrumsdiensten
Betreiber von Content Delivery Networks
Vertrauensdienstanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze
Anbieter öffentlich zugänglicher elektronsicher Kommunikationsdienste
Managed Services Provider
Managed Security Services Provider

Wichtig ist somit jeweils die Kombination mit der Unternehmensgröße (Mitarbeiteranzahl, Jahersumsatz, Jahresbilanzsumme).

Das Gesetz wird also zukünftig auch viele kleine und mittlere Unternehmen betreffen, da diese aufgrund des § 28 Abs. 2 BSI‑G‑E in den Anwendungsbereich des Gesetzes einbezogen werden. Die Bundesregierung rechnet damit, dass voraussichtlich rund 20.900 deutsche Unternehmen als wichtige Einrichtungen erfasst werden (Stand: Dezember 2023).

In eigener Sache: Für diese Unternehmen bieten wir eine schnelle und konkrete Hilfe mit unserem Vorlagenpaket, für das Sie sich am Ende der Seite vormerken lassen können.

Wann müssen die Vorgaben der NIS‑2 Richtlinie beachtet werden?

Das derzeitige Umsetzungsgesetz NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz kurz: NIS2UmsuCG und insbesondere das dort enthaltene BIS‑G sollen nach jetzigem Stand am 17.10.2024 in Kraft treten.

Wo finde ich den Referentenentwurf des NIS2UmsuCG?

Den jeweils aktuellen Stand des deutschen NIS‑2 — Umsetzungs- und Cybersicherheitsstärkungsgesetz kann sich jeder bei der AG KRITIS (hier anklicken) herunterladen.

Ein Hinweis in eigener Sache

Der Referenten-Entwurf Stand Dezember 2023 enthält einen kleinen Fehler. Während im Inhaltsverzeichnis des Entwurfes die Paragrafen des BSIG‑E richtig aufgeführt sind, wurde in der Folge aus “§ 2” “Artikel 2” gemacht, wodurch sich alle Paragrafen um eine Stelle verschoben haben. Wir haben uns auf dieser FAQ-Seite auf die korrekte Nummerierung der Paragrafen gem. Inhaltsverzeichnis bezogen.

Wo im BSI-G‑E ist definiert welche Maßnahmen besonders wichtige und wichtige Unternehmen umsetzen müssen?

In Kapitel 2 des dritten Teils werden in den Paragraphen 29 bis 41 die Anforderungen an die Maßnahmen beschrieben.

Aus unserer Sicht sind dabei folgende Paragraphen relevant:

§ 30 — Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
§ 31 — Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen
§ 32 — Meldepflichten
§ 33 — Registrierungspflicht
§ 34 — Besondere Registrierungspflicht für bestimmte Einrichtungsarten
§ 35 — Unterrichtungspflichten
§ 38 — Billigungs‑, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
§ 39 — Nachweispflicht für Betreiber kritischer Anlagen

Für KMU steckt die Musik in § 30 des Gesetzes. Eine Risikoanalyse ist unumgänglich, aus der sich dann Maßnahmen ergeben, die den Stand der Technik berücksichtigen. Im Gesetz werden jedoch folgende Mindestmaßnahmen genannt:

Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
Bewältigung von Sicherheitsvorfällen,
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach‑, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

In eigener Sache: Unser Vorlagenpaket enthält Konzepte und Richtlinien mit denen die Mindestmaßnahmen erfüllt werden können. Falls Sie Interesse daran haben, merken Sie sich bitte jetzt schon für das Paket vor und tragen sich in die Liste am Ende der Seite ein.

Was ist gemäß BSI-Gesetz eine “kritische Anlage”?

Nach Änderung des BSI-G‑E wird eine kritische Anlage über eine noch zu erlassende Rechtsverordnung definiert.

Eine kritische Anlage ist ab dem durch die Rechtsverordnung festgelegten Stichtag eine Anlage, wenn sie einer der durch Rechtsverordnung festgelegten Anlagenarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informations-technik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung zuzuordnen ist und diese die durch die Rechtsverordnung nach § 57 Absatz 4 festgelegten Schwellenwerte überschreitet.

Es ist daher heute noch nicht absehbar, welche weiteren „kritischen Anlagen“ noch zusätzlich zu den wichtigen und besonders wichtigen Einrichtungen hinzukommen und auch in den Anwendungsbereich des BSI-G‑E fallen werden. Diesbezüglich muss die genannte Rechtsverordnung abgewartet werden. Zu dieser gibt es derzeit (immer noch) keinen Entwurf.

Was sind die wesentlichen Anforderungen zur Umsetzung der NIS 2 — Richtlinie?

Wie oben beschrieben enthalten die fünf Artikel der NIS 2 — Richtlinie (Art. 20 — 25) die wesentlichen Anforderungen.

Ziel der NIS 2 — Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden.

Aus unserer Sicht sind dies die wichtigsten Maßnahmen und Änderungen:

Verantwortung durch die Unternehmensleitung

Gemäß Artikel 20 der NIS 2‑Richtlinie muss die oberste Leitung die im Unternehmen umzusetzenden Cybersicherheitsmaßnahmen genehmigen und ihre Umsetzung überwachen. Sie kann haftbar gemacht werden, wenn die Cybersicherheit nicht ordnungsgemäß umgesetzt wird. Artikel 32 unterstreicht darüber hinaus die Haftung der gesetzlichen Vertreter von wesentlichen Unternehmen.

Im Entwurf des deutschen BSI-Gesetzes spiegelt sich die Forderung in § 38 wieder.

Schulungen und Überwachungspflichten der Unternehmensleitung

Nach § 38 BSI-G‑E müssen die Mitglieder der obersten Führungsebene an einer Cybersicherheitsschulung teilnehmen und ihren Mitarbeitern die regelmäßige Teilnahme an einer solchen Schulung ermöglichen. Das BSI-G‑E verlangt, dass diese Schulungen die Ermittlung von Risiken, die Bewertung von Cybersicherheitspraktiken und die Art und Weise, wie diese Maßnahmen das Unternehmen bei der Erbringung seiner Dienstleistungen unterstützen, beinhalten.

Nach dem letzten Verhandlungsstand sollen allerdings gerade in Bezug auf § 38 BSI-G‑E nochmals Änderungen vorgenommen werden. Dies vor allem in Hinblick darauf, dass die Verantwortung der Unternehmensführung auch bereits im GmbHG verankert ist und keine Doppelungen implementiert werden sollen.

Risikobasierter Ansatz zur Cybersicherheit

Aus dem BSI-G‑E ergibt sich, dass Risikoanalysen und Risikobehandlungsmaßnahmen ergriffen werden müssen. Das Gesetz möchte durch stärke Resilienz die Cybersicherheit in den betroffenen Einrichtungen und damit auch in den betroffenen Unternehmen durch ein vertieftes Risikomanagement deutlich erhöhen. Durch die Vorgaben des § 30 BSI-G‑E werden die Anforderungen an die durch Unternehmen zu treffenden Sicherheitsmaßnahmen deutlich umfangreicher und beinhalten ein tiefergehendes Risikomanagement, genaues Verhalten bei meldepflichtigen Vorfällen (§ 31 BSI‑G) sowie zahlreiche technische Maßnahmen und, die bisher keiner näheren Prüfung und Dokumentation unterzogen werden musste.

In den §§ 30 und 31 BSI-G‑E finden sich entsprechende Anforderungen.

Sicherheit in der Lieferkette

Die NIS 2‑Richtlinie verlangt von den Unternehmen, dass sie den Risiken im Zusammenhang mit direkten Zulieferern und Dienstleistern besondere Aufmerksamkeit schenken, insbesondere müssen dabei
- Schwachstellen berücksichtigt werden, die für jeden direkten Zulieferer und Dienstleister spezifisch sind;
- die Gesamtqualität der Produkte und Cybersicherheitsmaßnahmen von Zulieferern und Dienstleistern betrachtet werden; und
- sichere Entwicklungsverfahren von Zulieferern und Dienstleistern gefordert werden.

Diese Richtlinienvorgabe wird durch § 30 Abs. (2) Nr. 4 BSI‑G‑E in nationales Recht umgesetzt.

Meldung bedeutender Cybericherheitsvorfälle

Artikel 23 verpflichtet die Unternehmen, den CSIRTs (Computer Security Incident Response Teams) und den Nutzern ihrer Dienste alle wichtigen Vorfälle zu melden.

Im neuen deutschen BSI-G‑E werden die Meldepflichten durch § 32 aufgegriffen. Die zuständige Aufsichtsbehörde wird nach jetzigem Stand das Bundesamt für Sicherheit in der Informationstechnik (BSI) selbst werden, so wie es heute schon für KRITIS-Betreiber eingerichtet und vorgeschrieben ist.

Cybersischerheitszertifizierungen

Das BSI-G‑E ermächtigt dazu, dass eine weitere Rechtsverordnung erlassen werden kann. Diese Verordnung würde dann festlegen, dass Produkte, Dienste oder Prozesse, die von besonders wichtigen oder wichtigen Einrichtungen verwendet werden und für die Bereitstellung ihrer Dienste entscheidend sind, gemäß § 30 Absatz 9 eine Cybersicherheitszertifizierung benötigen. Dies ist erforderlich, da das Ausmaß der Risiken, denen die Einrichtung ausgesetzt ist, den verbindlichen Einsatz zertifizierter Produkte, Dienste oder Prozesse in diesem Bereich notwendig macht.

Es ist daher davon auszugehen, dass mit dem Erlass der Rechtsverordnung bestimmte Prozesse nicht nur der internen Auditierung nach dem BSI-G‑E bedürfen, sondern auch ein offizielles Cybersicherheitszertifikat benötigen.

Wie hoch muss der Schulungsaufwand im Bezug auf die NIS 2 — Umsetzungsrichtlinie sein?

Im derzeitigen Entwurf des BSI‑G ist vorgesehen, dass die Geschäftsleiter aller betroffenen Einrichtungen in regelmäßigen Abständen Cybersicherheitsschulungen absolvieren müssen, während die übrigen Mitarbeiter ebenfalls regelmäßig an solchen Schulungen teilnehmen sollen (vgl. § 38 Absatz 4 BSI-G‑E).

Jedoch bleiben wesentliche Details zum Umfangs der Erfüllungsverpflichtung unklar. Obwohl die Schulungen regelmäßig durchgeführt werden sollen, wird keine spezifische Periodizität festgelegt. Zusätzlich ist unklar, wer genau im Unternehmen als Geschäftsleiter betrachtet wird. Schließlich bleibt die erforderliche Intensität der Cybersicherheitsschulungen unklar. Diese könnten theoretisch kurz sein, mit nur wenigen Stunden Dauer, oder aufgrund der komplexen Thematik auch mehrtägige Seminare umfassen.

In eigener Sache: Wir bieten mit unserem Partnerunternehmen, dem Datenschutzkontor (hier anklicken), ein Schulungspaket an, mit dem Mitarbeiter von KMU sensibilisiert werden können. Kunden des NIS 2 — Lotsen werden auch später einen Sonderpreis bekommen.

Was ist unter Maßnahmen zur Sicherheit der Lieferkette zu verstehen?

Zu den Sicherheitsmaßnahmen in der Lieferkette zählen unter anderem vertragliche Vereinbarungen mit Zulieferern und Dienstleistern bezüglich Risikomanagement, Umgang mit Cybersicherheitsvorfällen, Patchmanagement sowie die Berücksichtigung von Empfehlungen des BSI für ihre Produkte und Dienstleistungen.

Zusätzlich dazu kann es erforderlich sein, Zulieferer und Dienstleister dazu zu verpflichten, grundlegende Prinzipien wie “Security by Design” oder “Security by Default” zu beachten. Dabei ist darauf zu achten, die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Dienstleister sowie die Gesamtqualität der Produkte und die Cybersicherheitspraktiken ihrer Anbieter und Dienstleister zu berücksichtigen, einschließlich der Sicherheit ihrer Entwicklungsprozesse.

Bei der Auswahl geeigneter Maßnahmen müssen die Ergebnisse koordinierter Risikobewertungen kritischer Lieferketten berücksichtigt werden.

Wie genau die Vorgaben des § 30 Abs. 4 BSI-G‑E umgesetzt werden müssen, lässt das Gesetz allerdings weitestgehend offen. Die genannten Vorgaben insbesondere im Bereich der Sicherheit der Lieferkette können auch die Durchführung von External Attack Surface (EAS) Scans beinhalten.

Sind Bußgelder bei Nichteinhaltung vorgesehen? Wie groß ist das Haftungsrisiko?

Unternehmen, die Vorgaben des BSI-G‑E nicht einhalten, können mit empfindlichen Bußgeldern belegt werden:

Bei besonders wichtigen Einrichtungen, kann eine Zuwiderhandlung je nach Fallkonstellation mit der Geldbuße von bis zu 10 Millionen Euro oder mit einem Höchstbetrag von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, belegt werden.

Bei wichtigen Einrichtungen, kann eine Zuwiderhandlung je nach Fallkonstellation mit der Geldbuße von bis zu 7 Millionen Euro oder mit einem Höchstbetrag von mindestens 1,4 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens, dem der Betroffene angehört, belegt werden.

Die genauen Einzelheiten regelt das BSI-G‑E in § 60 BSIG‑E. Dort wird auf die genauen Ordnungswidrigkeiten und die hieraus maximal resultierenden Bußgelder eingegangen. So können Unternehmen beispielsweise mit einem Bußgeld belegt werden, wenn sie

eine Maßnahme gem. § 30 BSI-G‑E nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift; oder
entgegen § 32 Abs. 1 BSI-G‑E eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt; oder
entgegen § 33 Abs. 2 Satz 2 BSI-G‑E nicht sicherstellt, dass er erreichbar ist; oder
entgegen § 34 Absatz 2 BSI-G‑E das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet; oder
entgegen § 39 Abs. BSI-G‑E einen Nachweis nicht oder nicht rechtzeitig erbringt.

Die Ordnungswidrigkeit liegt je nach Schwere des Sachverhaltes auch unter den eingangs genannten Höchstwerten. So sind bestimmte Vorfälle teils auch mit einem etwas niedrigeren Bußgeldrahmen belegt (z.B. mit einer Geldbuße bis zu zwei Millionen Euro, fünfhunderttausend Euro oder mit einer Geldbuße bis zu einhunderttausend Euro).

Was ist ein erheblicher Sicherheitsvorfall gemäß BSI-G‑E?

Gemäß § 2 Abs. 1 Nr. 9 wird ein „erheblicher Sicherheitsvorfall“ als ein Sicherheitsvorfall definiert, der

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder im-materielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

Als Auslegung kann darüber hinaus Erwägungsgrund (101) der NIS 2‑Richtlinie dienen, in welchem darauf hingewiesen, dass Indikatoren wie das Ausmaß der Beeinträchtigung des Dienstes, die Dauer eines Vorfalls oder die Anzahl der betroffenen Dienstnutzer eine wichtige Rolle bei der Bestimmung spielen können, ob es sich um eine schwerwiegende Unterbrechung des Dienstes handelt.

Es gibt jedoch keinen Leitfaden, der definiert, was als “schwerwiegender finanzieller Verlust” oder “erheblicher materieller oder immaterieller Schaden” anzusehen ist.

Die Definition in § 2 Abs. 1 Nr. 9 verweist indessen auch auf die noch zu erlassende Rechtsverordnung, in der wiederum bestimmt werden kann wann genau ein erheblicher Sicherheitsvorfall vorliegt. Daher bleibt zu hoffen, dass die noch zu erlassene Verordnung mehr Rechtssicherheit und Klarheit in Bezug auf diese Frage noch soweit nach Absatz 2 keine weitergehende Begriffsbestimmung erfolgt;

Wie sind die Meldefristen (in Deutschland) nach dem BSI-G‑E? Und was muss gemeldet werden?

Die Meldefristen ergeben sich aus § 32 BSIG‑E. Hieraus geht hervor, dass besonders wichtige Einrichtungen und wichtige Einrichtungen verpflichtet sind

unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;
auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktualisierungen;
spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, eine Abschlussmeldung, die Folgendes enthält:
- eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen;
- Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
- Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
- gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls

Leinen los und volle Fahrt in den sicheren Hafen der Cybersecurity.

Volle Kraft voraus: Sichere dir schon heute das NIS2-Vorlagenpaket. Trage dich jetzt in die Warteliste ein und nutze deinen exklusiven Vorzugspreis (zeitlich begrenztes Angebot). Wir informieren dich, sobald das Paket verfügbar ist und dann kommen wir ins Geschäft.

Impressum • Datenschutzhinweise • Kontakt