NIS2 und CER: Ist die Umsetzung der beiden EU-Cybersicherheitsrichtlinien im Zeitplan?

  • Lisa Fröhlich
  • März 28, 2024

Inhaltsverzeichnis

    NIS2 und CER: Ist die Umsetzung der beiden EU-Cybersicherheitsrichtlinien im Zeitplan?

    Sowohl die Wirtschaft Deutschlands als auch die kritischen Infrastrukturen sind zunehmend abhängig von digitalen Infrastrukturen. Gleichzeitig nehmen die Bedrohungen im Cyberraum stetig zu, und die Sicherheit von IT-Systemen rückt verstärkt in den Fokus von Unternehmen. Gleichwohl soll auch die physische Sicherheit kritischer Infrastrukturen gestärkt werden.  

    Um die Cybersicherheit in Europa zu erhöhen und Bedrohungen wie Ransomware, DDoS-Attacken oder Supply-Chain-Angriffen zu begegnen, hat die Europäische Union (EU) die „Network and Information Security“ (NIS2-Richtlinie) verabschiedet. Die zweite in Kraft getretene Richtlinie die „Critical Entities Resilience Directive“ (CER) soll die physische Sicherheit sicherstellen.  

    Was bezweckt die NIS2-Richtlinie, und warum ist sie für die EU-Cybersicherheit wichtig?

    Die NIS2-Richtlinie trägt dazu bei, ein einheitliches und hohes Sicherheitsniveau zu etablieren, kritische Infrastrukturen zu schützen, Risikomanagement zu fördern und die Governance im Bereich der Cybersicherheit zu stärken. Dabei werden mehrere wichtige Ziele im Kontext der Cybersicherheit in der EU verfolgt. Dazu gehören: 

    • die Harmonisierung und Erhöhung der Cybersicherheit in Europa. Indem sie einheitliche Anforderungen an die Cybersicherheit festlegt, zielt die Richtlinie darauf ab, ein hohes Sicherheitsniveau in der gesamten EU zu gewährleisten. Dabei bezieht die Richtlinie erstmals auch explizit die Sicherheit von Lieferketten mit ein.  
    • der Schutz kritischer Infrastrukturen und bestimmter Wirtschaftssektoren. Durch die Verschärfung der Anforderungen sollen diese Einrichtungen und Unternehmen besser vor Cyberbedrohungen geschützt werden. 
    • die Einführung von Risikomanagementmaßnahmen. Betroffene Einrichtungen und Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer Netzwerke und Informationssysteme zu ergreifen. 
    • die Meldepflichten und Registrierungsvorgaben. Bei Cyber-Sicherheitsvorfällen müssen deutsche Unternehmen innerhalb von 24 Stunden Erstmeldungen an das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) erstatten. 
    • die Bedeutung der Governance. Cybersicherheit wird als Aufgabe der Geschäftsführung betrachtet, und Geschäftsführer haften persönlich für die Umsetzung der erforderlichen Maßnahmen. 

    Worauf zielt das KRITIS-Dachgesetz ab, das die CER-Richtlinie in Deutschland abbildet? 

    Das neue KRITIS-Dachgesetz zielt darauf ab, die digitale und analoge Bedrohungslage sowie ihre Abwehrmaßnahmen in einem ganzheitlichen Konzept zu vereinigen. Das Gesetz setzt eine EU-Richtlinie zur Stärkung der Resilienz von Betreibern kritischer Anlagen um und ergänzt die Pflichten, die voraussichtlich mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den digitalen Schutz gelten werden.  

    Es ist eine Reaktion auf die zunehmende Bedeutung des Schutzes kritischer Infrastrukturen vor hybriden Bedrohungen, die nicht nur digitale Angriffe, sondern auch physische Sabotage umfassen. Das Gesetz knüpft an den Betrieb von „kritischen Anlagen“ an, die für das Funktionieren des Gemeinwesens von hoher Bedeutung sind. Die Betroffenheit wird anhand qualitativer und quantitativer Kriterien bestimmt, wobei der Stand der Technik und die Kritikalität der Dienstleistungen berücksichtigt werden. 

    Betreibende von kritischen Anlagen müssen sich registrieren lassen und Resilienzmaßnahmen umsetzen, basierend auf Risikoanalysen und -bewertungen. Diese Maßnahmen sollen dazu dienen, Vorfälle zu verhindern, ihre Auswirkungen zu begrenzen und die Dienste schnellstmöglich wiederherzustellen. 

    Es gibt keinen abschließenden Katalog von Maßnahmen, aber Beispiele umfassen Notfallvorsorge, Objektschutz, Zugangskontrolle und alternative Lieferketten. Die ergriffenen Maßnahmen müssen nachgewiesen werden, und es gelten Meldepflichten gegenüber den entsprechenden Behörden. 

    Das KRITIS-Dachgesetz erhöht die Verantwortlichkeiten für die Geschäftsleitung von Betreibern kritischer Anlagen und erfordert die Umsetzung ganzheitlicher Konzepte, die angemessene Vorbereitungsaufwände erfordern.  

    Wie ist der aktuelle Stand der Umsetzung in Deutschland?

    Die Uhr tickt: Die beiden europäischen Cybersicherheits- und Resilienzrichtlinien NIS2 und CER müssen bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Das KRITIS-Dachgesetz befindet sich noch im laufenden Gesetzgebungsverfahren und wird voraussichtlich bis zum 17. Juli 2026 in Kraft treten. 

    Während die Umsetzung der CER-Richtlinie in das KRITIS-Dachgesetz bereits Länder- und Verbändeanhörungen abgeschlossen sind, beabsichtigt die Bundesregierung, die EU-Vorgaben im Rahmen von NIS2 zu verschärfen. Diese Diskussionen führt aktuell zu Verzögerungen beim NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).  

    Der aktuelle Stand des NIS2UmsuCG ist geprägt von Diskussionen und Verzögerungen, insbesondere aufgrund der Absicht der Bundesregierung, die EU-Vorgaben zu verschärfen. Es gab mehrere Referentenentwürfe, aber die Umsetzungsfrist bis Oktober 2024 wird voraussichtlich nicht eingehalten werden können. 

    In Bezug auf die Umsetzung auf nationaler Ebene zeigen sich unterschiedliche Ansätze der Bundesländer, insbesondere im Hinblick auf die Cybersicherheitsauflagen für die Verwaltung. Eine Umfrage von Karsten U. Bartels LL.M. zeigt, dass es kein einheitliches Vorgehen gibt und die meisten Länder nicht über die Minimalanforderungen hinausgehen werden. 

    Was kennzeichnet das NIS2UmsuCG?

    Gemäß dem zweiten Referentenentwurf des NIS2UmsuCG aus dem Juli 2023 werden Unternehmen, die bestimmten Sektoren angehören, unabhängig von ihrer Größe als „wichtige“ Unternehmen eingestuft. Dies betrifft beispielsweise Unternehmen der Verteidigungsindustrie und deren Zulieferer sowie Fuhrparkbetreiber, die Gefahrenstoffe transportieren.  

    Die Einführung der Haftung der Geschäftsführenden und Vorstände mit ihrem Privatvermögen bei Verstößen soll das Bewusstsein der Entscheidungsträger für Cybersicherheit weiter stärken. Zudem können Geldstrafen von Aufsichtsbehörden verhängt werden, etwa bis zu 2 Prozent des globalen Jahresumsatzes bei „besonders wichtigen“ Unternehmen. 

    Ein Grund für die Verzögerungen liegt in der unterschiedlichen Auffassung verschiedener Ressorts, insbesondere des Bundesministeriums der Justiz und des Auswärtigen Amtes. Es gibt auch haushälterische Bedenken, die die Umsetzung des Gesetzes beeinträchtigen könnten. 

    In Bezug auf die eigentlichen Pflichten für die Wirtschaft scheint sich nicht viel getan zu haben. Die Diskussionen konzentrieren sich hauptsächlich auf die Verschärfung der Anforderungen für den Bund und die finanziellen Auswirkungen für die Unternehmen. 

    Trotz der Verzögerungen und Diskussionen werden die Vorbereitungen zur Umsetzung der NIS2-Richtlinie auf EU-Ebene und in den Mitgliedsstaaten fortgesetzt. Es bleibt jedoch abzuwarten, wie sich die Situation weiterentwickeln und wann das NIS2UmsuG schließlich verabschiedet wird. 

    Welche Herausforderungen und Bedenken sind mit der NIS2-Umsetzung verbunden? 

    Die Umsetzung des NIS2UmsuCG stellt Unternehmen vor große Herausforderungen. Der umfangreiche und komplexe Katalog an Anforderungen bedeutet einen hohen Investitionsbedarf und zusätzlichen administrativen Aufwand. Unternehmen müssen ihre IT-Infrastruktur und Prozesse anpassen, Personal schulen und für die Einhaltung der neuen Vorgaben sorgen. 

    Die erweiterte Haftungsregelung für die Geschäftsführung birgt zudem ein zusätzliches Risiko. Unsicherheit besteht nach wie vor hinsichtlich der Auslegung und Anwendung der Regelung. 

    Welche Maßnahmen sollten Unternehmen ergreifen, um sich auf die NIS2-Richtlinie vorzubereiten?

    Um den Herausforderungen des NIS2UmsuG zu begegnen, sollten Unternehmen: 

    • eine Bestandsaufnahme der aktuellen IT-Sicherheitslage und der zu erfüllenden Anforderungen durchführen. 
    • eine Strategie und einen Umsetzungsplan mit klaren Prioritäten und Verantwortlichkeiten entwickeln. 
    • geeignete technische und organisatorische Sicherheitsmaßnahmen und Prozesse implementieren. 
    • ihre Mitarbeitenden für Cybersicherheitsthemen sensibilisieren. 
    • die Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen. 

    Die Umsetzung der NIS2-Richtlinie muss am 18. Oktober in der nationalen Gesetzgebung implementiert sein. Bis dahin sind einerseits noch einige Hürden für Unternehmen zu überwinden, andererseits bietet sich die Chance, die Cybersicherheit deutlich zu verbessern. Mit einer frühzeitigen und proaktiven Herangehensweise können betroffene Unternehmen die Risiken minimieren und die Vorteile der neuen Richtlinie nutzen. 

    KI-gestützter Schutzschild für Ihre digitalen Assets

    Cyberangriffe sind alltäglich geworden. DDoS-Attacken lähmen Unternehmen, Behörden und KRITIS-Betreiber und verursachen immense Schäden. Doch es gibt gute Nachrichten: Die KI-gestützte, automatisierte und Cloud-basierte Plattform-Lösung bietet Ihnen effektiven Schutz, proaktiv und rundum. Die skalierbare Lösung lässt sich schnell und einfach in Ihre IT-Infrastruktur integrieren. Setzen Sie auf zukunftsweisende Technologie, die sich ständig weiterentwickelt und Ihnen den Rücken freihält. 

    Unser erfahrenes Team steht Ihnen jederzeit mit Rat und Tat zur Seite. Profitieren Sie von umfassendem Support und gehen Sie mit Link11 beruhigt in die digitale Zukunft. 

    Jetzt kontaktieren >>

    Zero-Day-Schwachstelle im HTTP/2-Protokoll: So schützen Sie sich effektiv
    Link11 und Pupil AG: Gemeinsam für Datenschutz und Sicherung der digitalen Infrastruktur
    X