Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Zusammenfassung NIS-2-Webinar

Inhalte des Webinars NIS-2 für die Wirtschaft: Was wir schon sagen können

Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Die Umsetzung der NIS-2 Richtlinie bleibt weiterhin vordringlich.

Warum NIS-2

  • Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich.
  • Mit der NIS-2-Richtlinie werden rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU erlassen.
  • Es geht darum, ein einheitliches Sicherheitsniveau in den Mitgliedstaaten der EU schaffen und verbessern.
  • Die Umsetzung der NIS-2-Richtlinie in nationales Recht wird duch ein nationales Umstzungsgesetz erreicht.
  • Das BSI wird für ca. 29.000 neue "wesentliche" (essential) und "wichtige" Einrichtungen (important entities) zur Aufsichtsbehörde; die bisherigen regulierten KRITIS werden eine Teilmenge der "wesentlichen" Einrichtungen.
  • Einführung von abgestuften Registrierungs- und Meldepflichten für "wesentliche" (essential) und "wichtige" Einrichtungen (important entities), KRITIS bleiben am strengsten reguliert.
  • Unternehmen müssen angemessene, wirksame und geeignete Risikomanagementmaßnahmen umsetzen.

Wer ist betroffen?

  • Die Betroffenheit von NIS-2 richtet sich nach 2 Faktoren: Erbringung von Waren/Dienstleistungen in einem der NIS-2-Sektoren gegen Entgelt und Überschreitung von Schwellenwerten der sogenannten "Size Cap Rule".
  • Die Sektoren finden sich in den Anhängen der NIS-2-Richtlinie. In Anhang I sind die 11 Sektoren der "wesentlichen Einrichtungen" (essential entities) beschrieben, in Anhang II die 7 Sektoren der "wichtigen Einrichtungen" (important entities).

NIS-2-betroffene Sektoren

Anhang IAnhang II
  1. Energie
  2. Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastruktur
  5. Gesundheitswesen
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur
  9. Verantwortung von IKT-Diensten
  10. Öffentliche Verwaltung
  11. Weltraum
  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe / Herstellung von Waren
  6. Anbieter digitaler Dienste
  7. Forschung
  • Die "Size Cap Rule" sieht verschiedene Schwellenwerte für "wesentliche" (essential) und "wichtige" Einrichtungen (important entities) vor.
  • "Wichtige Einrichtungen" (important entities): Mind. 50 Mitarbeitende oder über 10 Mio. € Jahresumsatz und über 10 Mio. € Jahresbilanzsumme
  • "Wesentliche Einrichtungen" (essential entities): Mind. 250 Mitarbeitende oder über 50 Mio. € Jahresumsatz und über 43 Mio. € Jahresbilanzsumme
  • Ausnahmen gibt es in manchen Sektoren, zb. IT & Telekommunikation (Vertrauensdienstleister, TLD Name Registry, DNS Service Provider, TK-Dienstleister/Netzbetreiber)
  • Für KRITIS bleibt die Definition wie gehabt, also die Versorgung von mehr als 500.000 Personen mit einer kritischen Dienstleistung

Was ist zu tun?

  • NIS-2-verpflichtete Unternehmen müssen sich beim BSI registrieren, es wird eine Meldepflicht geben und es wird für einige Unternehmen voraussichtlich auch eine Nachweispflicht geben.
  • Die Ausgestaltung dieser Pflichten kommt auf das nationale Umsetzungsgesetz an, das noch nicht verabschiedet ist.
  • "Wesentliche Einrichtungen" (essential entities) und "wichtige Einrichtungen" (important entities) werden verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
  • Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

Konkrete Risikomanagementmaßnahmen, die umgesetzt werden müssen

  • Konzepte in Bezug auf die Risikoanalyse
  • Bewältigung von Sicherheitsvorfällen,
  • Aufrechterhaltung des Betriebs
  • Sicherheit der Lieferkette
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle für Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung
  • Schulungen von Geschäftsführung und Personal

Wie ist das Vorgehen?

  • Unternehmen sollten sich auch vor dem Gesetz auf die Umsetzung vorbereiten

Verantwortliche benennen

  • Unternehmen sollten mind. 2 Personen benennen, die die Verantwortung für IT-Sicherheit im Unternehmen tragen
  • Diese Personen sollten die Koordination für IT-Sicherheit im  Unternehmen übernehmen
  • Die Verantwortlichen sollten alle relevanten Stellen im Unternehmen vernetzen (Geschäftsführung, Compliance, Informationssicherheitsbeauftragte)

Verantwortung übernehmen

  • Geschäftsführungen tragen laut Gesetz persönliche Verantwortung für die IT-Sicherheit ihrer Einrichtung
  • Geschäftsführungen müssen die Umsetzung der geeigneten, verhältnismäßigen und wirksamen technische und organisatorische Maßnahmen beaufsichtigen.
  • Geschäftsführungen müssen sich zu IT-Sicherheit schulen lassen und sollten sich schon jetzt zu Schulungsangeboten informieren.

Cybersicherheit erfassen

  • Einrichtungen sollten eine Bestandsaufnahme der IT-Sicherheit vornehmen
  • Je nach Einstiegsniveau gibt es andere Möglichkeiten
  • Einrichtungen, die bei IT-Sicherheit noch sehr am Anfang stehen, sollten ggf. auf externe Unterstützung zurückgreifen
  • Möglichkeiten, eine Bestandsaufnahme der IT-Sicherheit vorzunehmen, sind der CyberRisikoCheck, der BSI-IT-Grundschutz oder eine Orientierung an Standards wie der ISO 27001/2

Cybersicherheit verbessern

  • Stand der Technik umsetzen
  • Risikomanagement, Incident Management, Business Continuity, ISMS, Sichern der Lieferkette, Schulungen, etc.

Auf Pflichten vorbereiten

  • Auf Meldewege vorbereiten und Erreichbarkeit sicherstellen
  • Auf Empfang CSW/Lageberichte des BSI vorbereiten
  • Wer ist zuständig, wenn es zu Vorfällen kommt?
  • Vernetzungsangebote UP KRITIS/ACS
  • Registrierung mitdenken

Wie hilft das BSI?

Betroffenheitsprüfung

  • Überprüfung, ob das Unternehmen von NIS-2 betroffen ist
  • Basierend auf Eigenauskünften
  • Ergebnis rechtlich nicht verbindlich
  • Basiert mittlerweile auf der NIS-2-Richtlinie

NIS-2-FAQ

  • Sammlung von Antworten auf die am häufigsten gestellten Fragen zur NIS-2-Richtlinie
  • Stand der Gesetzgebung
  • Erste Details zu gesetzlichen Pflichten

NIS-2-Was tun?

  • Was können Unternehmen jetzt schon tun, um sich auf NIS-2 vorzubereiten
  • Praktische Hinweise, Hilfestellungen
  • Wird stetig ergänzt und aktualisiert

Welche Fragen sind offen?

Fragen, die nicht durch die FAQ beantwortet werden können, können Sie gerne an das Service-Center des BSI stellen.

Erreichbarkeit: Montag bis Freitag von 08:00-18:00 Uhr
Telefon: 0800 274 1000
(kostenlos aus dem deutschen Fest- und Mobilfunknetz)
E-Mail: service-center@bsi.bund.de

Kurz-URL:
https://www.bsi.bund.de/dok/nis2webinar