IT-Sicherheitsgesetz 2.0 und NIS 2: Wer wo aktiv werden muss

Das IT-Sicherheitsgesetz 2.0 gilt. Die NIS 2-Umsetzung kommt. Und damit erweiterte Sektoren, strengere Regelungen und neue Pflichten. Ziel der Richtlinie: Ein hohes gemeinsames Schutzniveau in der Europäischen Union. Einiges davon ist bereits Teil des IT-Sicherheitsgesetzes. Anderes kommt noch hinzu. Erfahren Sie, was heute schon gilt, was zukünftig kommt und warum Ihr Umsetzungsstatus jetzt auf den Prüfstand gehört. Eine Übersicht.

NIS 2 macht IT-Sicherheit zur Chefsache. Die Zeit läuft.

IT-Sicherheitsgesetz 2.0/Teil1

Seit Dezember 2021 gültig. Anwendung auf KRITIS-Betreiber.
ZIEL
Verfügbarkeit, Integrität, Authentizität & Vertraulichkeit von Daten umfassend zu sichern.

VERÄNDERUNG
Das Gesetz beinhaltet im Vergleich zum IT-Sicherheitsgesetz 1.0 aus dem Jahr 2015 in erster Linie Weiterentwicklungen bezüglich IT-Sicherheitsvorkehrungen mit den folgenden wichtigsten Neuerungen:

SEKTOREN
Wie in IT-Sicherheitsgesetz 1.0.

Ernährung
Gesundheit
Energie (Strom & Gas)
Wasser & Abwasser
Finanz- & Versicherungswesen
+ NEU
Siedlungsabfallentsorgung & kommunale Dienste
UBI-Betreiber (Unternehmen im öffentlichen Interesse) IT-SIG2.0/Teil 2

NEUE MELDE- UND AUDITPFLICHTEN
Die 2-jährige Umsetzungsfrist aus dem IT-Sicherheitsgesetz 1.0 gilt nicht mehr. Stattdessen gelten die Fristen ab Tag 1 der entsprechenden Unternehmenseinstufung. Die Frist gilt auch dann, wenn Ihr Unternehmen während der Laufzeit des Gesetzes plötzlich Schwellenwerte überschreitet und zu einem UBI oder KRITIS wird. Für KRITIS-Betreiber gilt:

Registrierungspflicht der KRITIS Anlagen mit Angabe der Ansprechpartner
Meldung von Tatsachen zur Richtigkeit der Angaben an das BSI
Melden von Informationen zur Störungsbewältigung und anderen Sicherheitsvorkehrungen
Der Einsatz kritischer Komponenten muss angezeigt werden
Es müssen Garantieerklärungen der Hersteller für kritische Neu- und Bestandskomponenten übergeben werden (betrifft Hersteller + Lieferanten der gesamten Lieferkette)
Bei Neueinführungen gelten 2 – 4 Monate Wartezeit vor Einbau
Es sind Mindestsicherheitsstandards einzuhalten (z.B. Angriffserkennungssysteme)

IT-Sicherheitsgesetz 2.0/Teil 2

Ab Mai 2023 gültig. Anwendung auf UBI-Betreiber.

UBI1: Unternehmen, die unter die Außenwirtschaftsverordnung fallen, bspw. Hersteller von Rüstung- oder IT-Produkten für staatliche Verschlusssache
UBI2: Unternehmen, die nach inländischer Wertschöpfung zu den größten Unternehmen in Deutschland gehören, bspw. Dax Konzerne (weitere in BSI KRITIS Verordnung 2.0)
UBI3: Betreiber eines Betriebsbereichs in der oberen Klasse der Störfallverordnung (beispielsweise Unternehmen der chemischen Industrie, …)
Unternehmen < 50 Personen, < 10 Mio € Umsatz sind nicht betroffen

NEUE MELDE- UND AUDITPFLICHTEN

Registrierungspflicht beim BSI mit Angabe der Ansprechpartner
Abgabe von Selbsterklärungen (bspw. über Zertifizierungen, Absicherung von Prozessen in der IT-Sicherheit (Systeme, Komponenten, …)
Einmal initial, dann alle zwei Jahre
Meldung erheblicher Störungen ist Pflicht
Aber: Keine Meldepflicht hinsichtlich kritischer Komponenten

ANGEPASSTER BUSSGELDRAHMEN

Bis zwei Mio. € Bußgeld möglich. Beispielsweise im Fall bei bei KRITIS: Keine Erreichbarkeit der Kontaktstelle. Bei UBI: Selbsterklärung nicht abgegeben
Bußgeld auch gegen Handelnde

EU-Richtlinie NIS 2

Seit 16. Januar 2023 in Kraft. Bis 2024 von den Mitgliedsstaaten in nationales Recht umzusetzen.
Hintergrund: Die neue europäische Richtlinie basiert auf der NIS 1-Direktive aus dem Jahr 2016. Deren Anwendungsbereich und Anforderungen zur Sicherheit entsprachen nicht mehr den tatsächlichen Entwicklungen. Darüber hinaus gab es keine ausreichende Harmonisierung unter den Mitgliedsstaaten bzgl. der Kategorisierung von Cybersicherheitsvorfällen, Meldepflichten und Sanktionen.

ZIEL
Ein hohes gemeinsames Schutzniveau in der Europäischen Union.

VERÄNDERUNG
NIS 2 schränkt den Handlungspielraum der Mitgliedsstaaten ein und gibt vor, wie die Richtlinie in nationales Recht umzusetzen ist. Deutschland erfüllt mit dem IT-Sicherheitsgesetz 2.0 schon einen großen Teil der Vorgaben. Inwieweit die neuen Anforderungen darin verankert werden oder ob es ein IT-Sicherheitsgesetz 3.0 geben wird, ist noch offen. Als Veränderungen sind neben der Ausweitung der Sektoren und Verpflichtungen, vor allem die persönliche Haftung von Geschäftsführenden sowie die Höhe möglicher Bußgelder bei Nichterfüllung zu nennen. Nationale Behörden werden die Überwachung und Durchsetzung der Vorschriften übernehmen.

SEKTOREN
Ausweitung der definierten KRITIS-Sektoren/Wesentliche:

Ernährung
Gesundheit
Energie (Strom & Gas)
Wasser & Abwasser
Finanz & Versicherungswesen
- +
Transport & Verkehr
Digitale Infrastruktur

Plus NEUE Sektoren/Wichtige:
ICT-Service Management (im B2B)
Öffentliche Verwaltung (Wasserstoff-Fernwärme/Stadtwerke & Energieversorger)
Post- & Kurierdienste
Abfallbewirtschaftung
Chemie
Industrie/Verarbeitendes Gewerbe
Pharmazie
Öl
Raumfahrt
Forschung
Digitale Dienste (Suchmaschinen, Social Networks)

NEUE MELDE- UND AUDITPFLICHTEN
Mindestanforderungen für Unternehmer und Betreiber:

Analyse und Bewertung von IT-Sicherheitsrisiken
Aufsetzen eines Managements für den Fall von IT-Vorfällen, das umfasst: Vorbeugung, Erkennung v. Sicherheitsvorfällen, Identifizierung, Eindämmung, Folgenabschwächung und wie wird reagiert
Gewährleistung der Geschäftskontinuität
Aufbau eines Krisenmanagements
Gewährleistung von Sicherheit bei Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen
Gewährleistung von Kontrollen der Sicherheitsanforderungen auch von Lieferanten in der Lieferkette
Erstanzeige: Meldepflicht von erheblichen Vorfällen innerhalb von 24 Stunden Pflicht, endgültiger Bericht innerhalb eines Monats

ERWEITERUNG BUSSGELDRAHMEN

Eigene, persönliche Haftung für Führungskräfte
Geldbußen ziehen an bis zu zehn Mio. € oder zwei Prozent des weltweiten Jahresumsatzes
Rückausnahmen bei Klein- und Kleinstunternehmen, bspw. bei Monopolstellungen oder wenn öffentliche Kommunikationsnetz betroffen sind

Fazit

Bis Oktober 2024 muss Deutschland die NIS 2 EU-Richtlinie in nationales Recht überführen. Das bedeutet, Abwarten ist keine Option. Die Bedrohungslage ist so hoch wie nie und die Herausforderungen im Cyber-Raum werden weiter rasant zunehmen. Wir empfehlen allen Organisationen, den eigenen Umsetzungsstand zur IT-Sicherheit auf den Prüfstand zu stellen und zu schauen, wo nachgearbeitet werden muss. IT-Risikoanalysen und Monitorings Ihrer organisationsweiten IT-Angriffsfläche liefern die notwendige Transparenz und sind eine ideale Vorbereitung für bevorstehende Kontrollen und Zertifizierungen. Darüber hinaus erspart ein intelligentes Lieferanten-Risikomanagement viele manuelle Prozesse und macht die Verwaltung deutlich effizienter.

Fragen Sie jetzt Ihre persönliche Live-Demo an

Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.

Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Alex freut sich!

Ihr Ansprechpartner
Alexander Feldmann
Beratung

+49 (0) 6151 6290246

Jetzt Kontakt aufnehmen