Cybersicherheit NIS-2-Umsetzungsgesetz und Auswirkungen auf die kommunalen Unternehmen

Anbieter zum Thema

Mein Videotermin Suite | Voigtmann GmbH

cyberintelligence.institute GmbH

Das Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes verändert das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), während das KRITIS-Dachgesetz für Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen die EU-Richtlinie zur Resilienz kritischer Einrichtungen umsetzt. Was sich für Unternehmen wie Wasserwerke, Krankenhäuser und ÖPNV nun ändern wird, bis wann sie ihren Betriebsalltag anpassen sollten und von welchen Förderungsprogrammen die IT-Sicherheit dieser Unternehmen profitiert.

Anfang 2023 ist die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) EU-weit in Kraft getreten. Diese zwingt die EU-Mitgliedsstaaten zur Umsetzung des NIS 2 in nationales Recht bis zum 17. Oktober 2024. Für Deutschland liegen der Referentenentwurf des Bundesinnenministeriums zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) (Bearbeitungsstand 03.07.2023) sowie ein Diskussionspapier des Bundesministeriums des Innern und für Heimat (Bearbeitungsstand 27.09.2023) vor. Letzteres enthält bereits die Entwürfe der „Anlage 1 Sektoren mit hoher Kritikalität“ und „Anlage 2 Sonstige kritische Sektoren“. Die „Anlage 3 Sektor öffentliche Verwaltung“ liegt bisher nicht vor.

Das NIS2UmsuCG soll voraussichtlich im März 2024 verkündet werden und dann bis zum 17. Oktober 2024 in Kraft treten. Bis zur Verkündung des NIS2UmsuCG können an dem Entwurf daher grundsätzlich noch Änderungen erfolgen. Der bisherige Entwurf des NIS2UmsuCG sieht vor allem eine weite Änderung des BSIG mit einer Ausweitung der Pflichten der Unternehmen, insbesondere einer erweiterten Haftung vor.

Anwendungsbereich

Der Anwendungsbereich ist eröffnet, wenn ein Unternehmen als eine besonders wichtige Einrichtung oder wichtige Einrichtung einzustufen ist. Im Gegensatz zur bisherigen BSI-KritisV wird der Anwendungsbereich erweitert und nunmehr insbesondere auf die Größe des Unternehmens abgestellt, womit nun auch einige kommunale Unternehmen, z. B. kleine Stromanbieter oder Abfallentsorgungsbetriebe, betroffen sein können. Zu beachten ist, dass es nicht mehr wie zuvor bei der BSI-KritisV auf die einzelnen Schwellenwerte und Bemessungskriterien ankommt. Maßgeblich sind nunmehr die Mitarbeiterzahl bzw. der Umsatz.

Eine besonders wichtige Einrichtung liegt vor, wenn das Unternehmen entgeltliche Waren/Dienstleistungen erbringt

• und einer der in Anlage 1 genannten „Sektoren mit hoher Kritikalität“ zuzuordnen ist sowie mindestens 250 Mitarbeiter beschäftigt, oder einen Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. € aufweist,

• oder unter die gelisteten Sonderfälle fällt: qualifizierter Vertrauensanbieter, Top Level Domain Name Registries, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung gemäß Anlage 3 „Sektor öffentliche Verwaltung“.

Da die Anlage 3 „Sektor öffentliche Verwaltung“ bisher nicht vorliegt, ist unklar, in welcher Form der weite Geltungsbereich aus der NIS-2-Richtlinie in deutsches Recht Umsetzung finden wird. Bisher werden im Entwurf des NIS2UmsuCG lediglich Einrichtungen der Bundesverwaltung erwähnt, nicht jedoch öffentliche Verwaltungen auf regionaler Ebene, die Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Noch ist daher offen, welche Verwaltungseinrichtungen konkret betroffen sein werden.

Eine wichtige Einrichtung liegt vor, wenn das Unternehmen entgeltliche Waren/Dienstleistungen erbringt und ein Vertrauensanbieter ist oder einer der in Anlage 1 genannten „Sektoren mit hoher Kritikalität“ oder Anlage 2 „Sonstige kritische Sektoren“ zuzuordnen ist und

• mindestens 50 Mitarbeiter beschäftigt,

• oder einen Jahresumsatz und eine Jahresbilanzsumme von über 10 Mio. € aufweist.

Die Definition der Sektoren in den Anlagen 1 und 2 scheint noch nicht abschließend zu sein, ist jedoch insbesondere für kommunale Einrichtungen der Daseinsvorsorge, wie die Stadtwerke, von besonderer Bedeutung.

Eine kritische Anlage liegt dann vor, wenn sie von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Zur Festlegung, welche Anlagen im Einzelnen kritische Anlagen sind, wird das BMI noch eine entsprechende Rechtsverordnung erlassen.

Anlage 1 umfasst nunmehr die folgenden Sektoren:

• Energie,

• Transport und Verkehr,

• Finanz- und Versicherungswesen,

• Gesundheit,

• Wasser und Abwasser,

• Informationstechnik und Telekommunikation,

• Weltraum.

Unter Anlage 1 fallen nicht nur wie gehabt Betreiber von Wasserversorgungsanlagen und Abwasserbeseitigung, Fernwärme- bzw. Fernkälteversorgung sowie Gas- und Stromlieferanten, sondern auch Ladepunktbetreiber gemäß § 2 Nr. 8 LSV. Zudem wird pauschal auf „Erbringer von Gesundheitsdienstleistungen“ verwiesen, wobei noch unklar ist, welche Dienstleistungen zukünftig hierunter gefasst werden. Denkbar ist, dass zukünftig neben den klassischen kommunalen Krankenhäusern auch der kommunale Rettungsdienst eine besonders wichtige Einrichtung sein könnte. Auch die Betreiber von kommunalen Rechenzentren oder Cloud-Computing-Diensten sind grundsätzlich von Anlage 1 umfasst.

Anlage 2 umfasst nunmehr die folgenden Sektoren:

• Transport und Verkehr,

• Siedlungsabfallentsorgung,

• Produktion, Herstellung und Handel mit chemischen Stoffen,

• Produktion, Verarbeitung und Vertrieb von Lebensmitteln,

• Verarbeitendes Gewerbe/Herstellung von Waren,

• Anbieter digitaler Dienste,

• Forschung.

Auf der nächsten Seite: Alles über die Pflichten der Betreiber.

(ID:49802608)