Organisationen des digitalen Sektors unterliegen neuen Registrierungs-, Nachweis-, sowie Melde- und Unterrichtungspflichten gegenüber dem BSI.
Organisationen müssen sich an ein mehrstufiges Meldeverfahren für Sicherheitsvorfälle halten, das sowohl eine Erstmeldung, Zwischenmeldungen und eine Abschlussmeldung beinhaltet.
Die Geschäftsleitung erhält mehr Verantwortung im Bezug auf Haftungsrisiken, neue Pflichten und die Weiterbildung ihrer Kenntnisse und die ihrer Mitarbeitenden.
10 Mio. EUR oder mind. 2 % des Vorjahresumsatzes müssen wesentliche Einrichtungen und KRITIS-Betreiber zahlen, wichtige Einrichtungen bis zu 7 Mio. EUR oder mind. 1,4 % des Vorjahresumsatzes.Â
Die Einhaltung der Anforderungen kann jederzeit durch das BSI überprüft werden. Es kann außerdem Überwachungsbeauftragte für Organisationen festlegen und Zertifizierungen entziehen.
Von der NIS-2-Richtlinie sind besonders wichtige und wichtige Einrichtungen betroffen. Unterschieden werden diese durch ihre Kritikalität, d. h. besonders wichtige Einrichtungen bieten Dienste mit einer höheren Kritikalität als sogenannte wichtige Einrichtungen an. Dementsprechend sind besonders wichtige Einrichtungen beispielsweise von empfindlicheren Sanktionen und Strafen bei einer Richtlinienverletzung betroffen als wichtige Einrichtungen. Ob Ihr Unternehmen oder Ihre Institution als eine dieser Einrichtungen klassifiziert wird, darüber informieren Sie die Behörden jedoch nicht. Es obliegt also Ihnen selbst, anhand von Kriterien eine eigene Beurteilung vorzunehmen. Zu Ihrer Orientierung fassen wir daher die Schwellenwerte zur Klassifizierung als besonders wichtige oder wichtige Einrichtung aus dem digitalen Sektor zusammen:
Die NIS-2-Richtlinie bringt für die Geschäftsleitung nun auch Haftungsrisiken und verschiedene Pflichten, wie Registrierungs-, Überwachungs- und Nachweispflichten mit. Zudem muss sie sich mit der Weiterbildung ihrer eigenen und der Kenntnisse ihrer Mitarbeitenden auseinandersetzen. Die Geschäftsleitung von Kritischen Infrastrukturen hat darüber hinaus noch weitere Anforderungen.
Die Geschäftsleitung trägt die Verantwortung dafür, dass angemessene Maßnahmen zur Sicherung der IT-Systeme und -Prozesse ergriffen werden. Dazu gehören unter anderem die Implementierung von Sicherheitsrichtlinien, die regelmäßige Überprüfung der IT-Infrastruktur auf Schwachstellen sowie die Schulung der Mitarbeitenden im Umgang mit IT-Sicherheit.
Bei Verletzung der Überwachungspflichten haftet die Geschäftsleitung für die entstandenen Schäden, außer die Leitungsperson kann die entsprechenden Schäden nicht bezahlen, dann kann ein Vergleich mit Kreditgebenden erfolgen.
Die Geschäftsleitung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen hat eine besondere Verantwortung in Bezug auf das Risikomanagement. Sie muss die ergriffenen Maßnahmen zur Risikominimierung billigen und deren Umsetzung überwachen. Dabei ist es nicht zulässig, Dritte mit dieser Aufgabe zu beauftragen.
Die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen für digitale Infrastrukturen und IT-Dienste ist für die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von drei Monaten, nach Beginn der Wirksamkeit von NIS-2, verantwortlich. Bei Betreibern Kritischer Infrastrukturen ist die Geschäftsleitung dafür verantwortlich, ihre Organisation umgehend zu registrieren. Wird dies versäumt, können hohe Bußgelder drohen.
Gemäß der NIS-2-Richtlinie müssen Einrichtungen für digitale Infrastrukturen und IT-Dienste innerhalb von spätestens vier Jahren nach Inkrafttreten der Richtlinie dem BSI geeignete Maßnahmen durch Audits, Zertifizierungen oder Prüfungen nachweisen. Dieser Nachweis muss im zweijährlichen Rhythmus fortgeführt werden. Das BSI hat die Möglichkeit, die genauen Verfahren zur Nachweisführung konkret festzulegen. Es ist von großer Bedeutung, dass diese Maßnahmen eingehalten und regelmäßig überprüft werden, um die Sicherheit der digitalen Infrastrukturen und IT-Dienste zu gewährleisten.
Kritische, besonders wichtige und wichtige Einrichtungen für digitale Infrastrukturen und IT-Dienstleister, mit Ausnahme der Betreiber von öffentlichen Telekommunikationsnetzwerken, sind verpflichtet, sich an ein 4-stufiges Modell für Meldezeitpunkte zu halten. Im Falle von Sicherheitsvorfällen müssen diese Einrichtungen Meldungen an das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erstatten. Es ist von großer Bedeutung, dass diese Meldepflichten eingehalten werden, um eine effektive Reaktion auf Sicherheitsvorfälle zu gewährleisten und die digitale Infrastruktur sowie die IT-Dienstleistungen zu schützen.
Wesentliche und besonders wichtige Einrichtungen sind verpflichtet, bei erheblichen Sicherheitsvorfällen die Empfangenden ihrer Dienste darüber zu informieren. Dies betrifft insbesondere IT-Dienstleister sowie Einrichtungen für digitale Infrastruktur und Telekommunikation. Um angemessen auf solche Vorfälle zu reagieren, müssen diese Einrichtungen Maßnahmen oder Abhilfemaßnahmen sowohl dem BSI, als auch den Empfangenden ihrer Dienste mitteilen.
Besonders wichtige und wichtige Einrichtungen müssen regelmäßige Schulungen für Geschäftsleitung und Mitarbeitende anbieten. Diese Schulungen dienen dazu, das Bewusstsein für Sicherheitsrisiken zu schärfen und die Kenntnisse im Umgang mit möglichen Angriffen zu verbessern.
Für Betreiber kritischer Anlagen besteht eine Verpflichtung zur Schulung zum Einsatz von Angriffserkennungssystemen. Diese Schulungen sollen sicherstellen, dass die Betreiber in der Lage sind, potenzielle Angriffe frühzeitig zu erkennen und angemessen darauf zu reagieren.
Zusätzlich ist es erforderlich, eine geeignete Kontaktstelle beim BSI zu registrieren. Diese Kontaktstelle soll sicherstellen, dass die betreffende Einrichtung über ausreichendes Fachwissen verfügt, um angemessen auf Sicherheitsvorfälle reagieren zu können. Die Registrierung dient somit der Sicherstellung der fachlichen Eignung der Einrichtung.
Betreibende von Kritischen Infrastrukturen müssen zusätzlich besondere Punkte beachten. Der Einsatz von Systemen zur Angriffserkennung ist relevant, um potenzielle Bedrohungen im laufenden Betrieb frühzeitig zu identifizieren. Diese Systeme ermöglichen es, verdächtige Aktivitäten zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.
Zusätzlich ist es wichtig, geeignete Beseitigungsmaßnahmen zu ergreifen, um die Auswirkungen eines Angriffs zu minimieren und die Sicherheit der Einrichtung zu gewährleisten.
Ein weiterer Teil der Nachweisanforderung beinhaltet die Möglichkeit von ad hoc Prüfungen. Dies bedeutet, dass unangekündigte Überprüfungen durchgeführt werden können, um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen.
Beim erstmaligen Einsatz einer kritischen Komponente ist es erforderlich, dies dem Bundesministerium des Innern (BMI) anzuzeigen. Dadurch wird sichergestellt, dass potenzielle Risiken erkannt werden und angemessen darauf reagiert werden kann. Das BSI hat zudem das Recht, den Einsatz einer solchen Komponente zu untersagen, wenn eine Gefahr von Spionage oder Terrorismus besteht.
Die NIS-2-Richtlinie stellt Einrichtungen für digitale Infrastrukturen und IT-Dienstleistung durch die neuen Anforderungen vor eine große Herausforderung. Eine durchdachte IT-Sicherheitsarchitektur kann diesen Einrichtungen dabei helfen, ihre Sicherheitsmaßnahmen an die Anforderung der Richtlinie anzupassen.
Die von uns entwickelte Enterprise Security Architecture (ESA) bietet einen ganzheitlichen und präventiven Ansatz zur Überprüfung der aktuellen Sicherheitsarchitektur auf Schwachstellen und Potenziale eines Unternehmens, entwickelt daraus Maßnahmen für ein Zielbild und begleitet die Implementierung der zuvor entwickelten Sicherheitsmaßnahmen.
Der ESA-Ansatz wurde von uns auf Grundlage verschiedener nationaler und internationaler IT-Sicherheitsstandards und -Richtlinien entwickelt. Da auch die NIS-2-Richtlinie Teil des ESA-Fundaments ist, erfüllt ein Unternehmen bei der Implementierung des ESA-Ansatzes automatisch alle relevanten Pflichten der NIS-2-Richtlinie. Unser ESA-Team hat sich auf Einrichtungen aus dem digitalen Sektor spezialisiert und hilft diesen bei der Einführung einer sicheren Cyberarchitektur.
Director, Cyber Security & Privacy, Â鶹ÊÓƵ Germany
Tel.: +49 151 15480524
