Links überspringen

NIS2 - Information Hub

IT-Sicherheitsgesetz 3.0, NIS2, KRITIS, BSIG, NIS2UmsuCG

Hier erhalten Sie alle aktuellen Informationen rund um NIS2 und der Vorbereitung in Ihrem Unternehmen.

Nach insgesamt sechs bekanntgewordenen Referentenentwürfen wurde am 24.07.2024 der Regierungsentwurf vorgelegt. Dieser unterscheidet sich nur unwesentlichen von den vorhergehenden Entwürfen. Es ist davon auszugehen, dass der Regierungsentwurf in seiner jetzigen Fassung oder nur noch mit leichten Veränderungen beschlossen wird.

NIS2 Gesetzgebung
01

Referentenentwürfe

2003 - 2024
- abgeschlossen -

Regierungsentwurf

24.07.2024
- abgeschlossen -
Download

Stellungnahme im Bundesrat

Lesungen im Bundestag

Abschluss des Gesetzes

NIS2 Fachartikel
02

Mit unseren Fachartikeln zu NIS2 bleiben Sie auf dem Laufenden. Wir bewerten die aktuellen Entwürfe und stellen die Unterschiede transparent da. Weiterhin enthalten unsere Fachartikel Empfehlungen für die Umsetzung der Anforderungen.

NIS2 in Zahlen
03
ca. 30.000
betroffene Unternehmen
in 13
Sektoren
bis zu 10 Mio. EUR
mögliche Bußgelder
NIS2 Betroffenheit
04

Für die Analyse der Betroffenheit nach NIS2 sind mehrere Faktoren relevant. Um zu den betroffenen Unternehmen zu gehören müssen Sie einem der definierten Sektoren angehören. Innerhalb der Sektoren sind Branchen und Einrichtungsarten definiert. Das bedeutet, dass nicht alle Unternehmen aus einem Sektor automatisch zu den regulierten Organisationen gehören.

Im zweiten Schritt wird auf die Unternehmensgröße geprüft. Die Unternehmensgröße entscheidet darüber, ob Sie zu den wichtigen oder besonders wichtigen Einrichtungen gehören. Dies wiederum hat Auswirkungen auf die umzusetzenden Maßnahmen. Allerdings bedeutet dies auch, dass Unternehmen mit weniger als 50 Mitarbeitenden und einem Umsatz und einer Bilanzsumme von unter 10 Millionen Euro bis auf wenige Ausnahmen nicht zu den betroffenen Unternehmen gehören.

Wir haben die Sektoren und Unternehmensgrößen in der nachfolgenden Tabelle zusammengestellt.

Sektor
Besonders wichtige Einrichtungen
Wichtige Einrichtungen

Kriterien

> 250 Mitarbeiter oder
> 50 Mio. € Umsatz und
> 43. Mio € Bilanzsumme

> 50 Mitarbeiter oder
> 10 Mio. € Umsatz und
> 10. Mio € Bilanzsumme

Energie

Transport und Verkehr

Finanzwesen

Gesundheit

Wasser

Digitale Infrastruktur

Weltraum

Abfallbewirtschaftung

Produktion, Herstellung und
Handel mit chemischen Stoffen
Produktion, Verarbeitung und
Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe /
Herstellung von Waren

Anbieter digitaler Dienste

Forschung

NIS2 Umsetzung
05

Maßnahmen

Geschäftsleitungen werden durch die NIS2 Regulierung direkt angesprochen und ihnen werden entsprechende Aufgaben zugewiesen. Besonders ist in diesem Fall, dass die Haftung der Geschäftsleitungen explizit benannt wird. Die Aufgaben der Geschäftsleitungen sind:

  • Umsetzung der Risikomanagementmaßnahmen nach § 30
  • Überwachung der Risikomanagementmaßnahmen nach § 30
  • Teilnahme an regelmäßigen Schulungen zum Risikomanagement

Die Registrierungspflicht gilt für alle NIS2 regulierten Organisationen. Die Registrierung muss spätestens 3 Monate nach der Qualifizierung als wichtige oder besonders wichtige Einrichtung gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Das BSI legt die technischen Details der Registrierung fest. Diese muss aber zumindest die folgenden Informationen enthalten:

  1. Name der Einrichtung, einschließlich der Rechtsform und falls einschlägig der Handelsregisternummer,
  2. Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse, öffentliche IP-Adressbereiche und Telefonnummern,
  3. relevanter in Anlage 1 oder 2 genannter Sektor oder falls einschlägig Branche,
  4. Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringt, und
  5. die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder.

Wichtige und besonders wichtige Einrichtungen werden nach § 30 BSIG verpflichtet technische und organisatorische Maßnahmen umzusetzen. Dabei sind diese Maßnahmen nach dem Stand der Technik auszurichten und müssen geeignet, verhältnismäßig und wirksam sein. Zu den Maßnahmen gehören mindestens die folgenden Themen:

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Sicherheit in der Entwicklung, Beschaffung und Wartung
  • Management von Schwachstellen
  • Bewertung der Effektivität von Cybersicherheit und Risiko-Management
  • Schulungen Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Sichere Kommunikation (Sprach, Video- und Text)
  • Sichere Notfallkommunikation

Meldepflichten entstehen für wichtige und besonders wichtige Einrichtungen im Falle eines Sicherheitsvorfalls. Dabei gelten genaue Fristen für die Absetzung der Meldungen.

  1. Die Erstmeldung muss unverzüglich, spätestens aber innerhalb von 24 Stunden nach Bekanntwerden erfolgen.
  2. Innerhalb von 72 Stunden muss eine Aktualisierung der Erstmeldung erfolgen.
  3. Innerhalb von einem Monat ist eine Abschlussmeldung an das BSI zu übersenden. 

Die Inhalte der jeweiligen Meldungen sind vorgebeben und das BSI kann jederzeit Zwischeninformationen anfragen.

Im Falle eines erheblichen Sicherheitsvorfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Information der betroffenen Personen und Organisationen anordnen.

Für bestimmte Sektoren wie Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste gelten zusätzliche Vorgaben beim Auftreten von Sicherheitsvorfällen.

Hersteller- & Produktneutral

Unsere Berater:innen verfügen über jahrelange Erfahrung in der Beratung und Umsetzung von KRITIS-Projekten. Wir weisen dabei auch gerne entsprechende Erfahrung in den KRITIS-Sektoren nach. Unsere Berater:innen sind natürlich zertifiziert und geprüft.

  • ISO 27001 Lead Implementer
  • ISO 27001 Lead Auditor
  • Prüfverfahrenskompetenz nach
    § 8a BSIG
Wichtige Fragen
06

und noch wichtigere Antworten

Wir haben die typischen Fragen, die uns im Rahmen der KRITIS Beratung erreichen, zusammengestellt und hier beantwortet.

Eine ISO 27001 Zertifizierung ist für Betreiber Kritischer Infrastrukturen (KRITIS) nicht zwingend vorgeschrieben, aber sie kann als Teil des Nachweises gemäß § 8a Absatz 3 BSIG dienen. Die Zertifizierung kann auf die bisher ungeprüften Teile des Geltungsbereichs ausgeweitet werden, um die KRITIS-Schutzziele zu ergänzen. Es ist jedoch wichtig, dass die spezifischen Anforderungen der KRITIS-Verordnung erfüllt werden, was über die ISO 27001 hinausgehen kann. Daher sollte eine umfassende Prüfung und Bewertung des Schutz- und Sicherheitsniveaus der IT-Infrastruktur erfolgen.

Hierzu hat das BSI eine Infoseite veröffentlicht.

Die NIS2-Richtlinien entfaltet in den Mitgliedsstaaten keine direkte Wirkung. Eine Richtlinie muss entgegen einer Verordnung erst in nationales Recht umgesetzt werden. Dies ist in Deutschland über die IT-Sicherheitsgesetze erfolgt. Die konkreten Vorgaben finden sich dabei im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG). Die Verordnung definiert dabei die Schwellwerte, also wann ein Unternehmen als Betreiber einer kritischen Dienstleistung gilt.

Systeme zur Angriffserkennung sind ein wesentlicher Bestandteil der Sicherheitsinfrastruktur für Kritische Infrastrukturen (KRITIS). Sie ermöglichen es, Angriffe frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. Gemäß § 8a Absatz 1a BSIG sind Betreiber von KRITIS verpflichtet, solche Systeme einzusetzen. Die Anforderungen an diese Systeme sind hoch, da sie geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich erfassen und auswerten müssen, um Bedrohungen zu identifizieren und zu verhindern.

Gemäß § 8a Absatz 3 des BSIG müssen Betreiber Kritischer Infrastrukturen alle zwei Jahre einen Nachweis über ihre Sicherheitsvorkehrungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erbringen. Diese Regelung soll sicherstellen, dass die kritischen Infrastrukturen auf dem neuesten Stand der Technik sind und Störungen vermieden werden. Für die Einreichung der Nachweisdokumente bietet das BSI detaillierte Orientierungshilfen an.

Die Prüfung nach §8a darf von sogenannten prüfenden Stellen durchgeführt werden.

Eine prüfende Stelle für Nachweise gemäß § 8a Absatz 3 BSIG ist eine geeignete Institution, die vom KRITIS-Betreiber beauftragt wird, festzustellen, ob der KRITIS-Betreiber angemessene Vorkehrungen gemäß § 8a Absatz 1 BSIG getroffen hat.

Die genauen Anforderungen an prüfendende Stellen hat das BSI zusammengestellt.

Unsere Mitarbeiter:innen verfügen über die notwendige Prüfverfahrenskompetenz nach §8a BSIG. Wenn wir beratend Tätig sind, dürfen wir allerdings die Nachweisführung nicht durchführen. Aber wir helfen Innen gerne bei der Auswahl einer geeigneten prüfenden Stelle.

Sie möchten mehr Informationen oder haben

WEITERE Fragen?

Nutzen Sie unsere kostenlose Hotline,

oder senden Sie uns einfach eine E-Mail.

Sprechen Sie uns an.