Cyber-Security: NIS II-Richtlinie und ihre Umsetzung in nationales Recht

Am 14. Dezem­ber 2022 wurde die sog. NIS II-​​Richtlinie unter­zeich­net und am 16. Januar 2023 ist sie in Kraft getre­ten. Als EU-​​Richtlinie soll sie in der gesam­ten Union die Mess­latte für natio­nale Gesetze bil­den, die ein „hohes gemein­sa­mes Cyber­si­cher­heits­ni­veau“ sicher­stel­len. Die dort vor­ge­ge­be­nen Regeln gel­ten für öffent­li­che, aber auch für pri­vate Ein­rich­tun­gen, also für mitt­lere und große Unter­neh­men (min­des­tens 50 Mit­ar­bei­ter oder mehr als 10 M € Jah­res­um­satz). Klei­nere Unter­neh­men sind dann betrof­fen, wenn sie z. B. als Betrei­ber beson­ders wich­ti­ger Ein­rich­tun­gen ein­ge­stuft wer­den. Die Mit­glied­staa­ten haben eine Frist bis zum 17.10.2024, um ein ent­spre­chen­des natio­na­les Umset­zungs­ge­setz zu erlas­sen. Auf­grund der Dring­lich­keit, die durch die beste­hende Bedro­hungs­lage ver­stärkt wird, ist davon aus­zu­ge­hen, dass eine Ver­ab­schie­dung eher erfolgt.

Unter­neh­men aus dem Ener­gie­sek­tor, dem Ver­kehrs­sek­tor, dem Ban­ken­we­sen, der Finanz­markt­in­fra­struk­tur, dem Gesund­heits­we­sen, der Trink­was­ser­ver– und der Abwas­ser­ent­sor­gung, der digi­ta­len Infra­struk­tur, der Ver­wal­tung von IKT-​​Diensten (Business-​​to-​​Business) und der Erbrin­gung von welt­raum­ge­stütz­ten Diens­ten sind nach Anhang I als hoch­kri­tisch ein­ge­stuft.

Anhang II erwei­tert den Kreis der betrof­fe­nen Unter­neh­men „sons­ti­ger kri­ti­scher Sek­to­ren“ auf

• Post und Kurier­dienste,
• die Abfall­be­wirt­schaf­tung,
• Pro­duk­tion, Her­stel­lung und Han­del mit che­mi­schen Stof­fen,
• Pro­duk­tion, Her­stel­lung, Ver­ar­bei­tung und Ver­trieb von Lebens­mit­teln,
• ver­ar­bei­ten­des Gewerbe/​Herstellung von Waren (hier: Medi­zin­pro­dukte, Daten­ver­ar­bei­tungs­ge­räte, elek­tro­ni­sche und opti­sche Geräte, elek­tri­sche Aus­rüs­tun­gen, Maschi­nen­bau, KfZ, sons­ti­ger Fahr­zeug­bau)
• digi­tale Dienste (Online-​​Marktplätze, Online-​​Suchmaschinen, soziale Netz­werke)
• For­schung

Da sich Cyber-​​Angriffe nicht aus­schlie­ßen las­sen, sol­len die NIS II-​​Richtlinie und die ent­spre­chen­den natio­na­len Gesetze dazu bei­tra­gen, dass durch ein Cybersicherheits-​​Management mit z. B. Risi­ko­ana­ly­sen, Mel­de­pro­zes­sen, Schwach­stel­len­of­fen­le­gung, Back-​​up-​​Management und Kon­zep­ten der Zugangs­kon­trolle ein hohes Sicher­heits­ni­veau erreicht wird und im Fall eines Angriffs geeig­nete Gegen­maß­nah­men ergrif­fen wer­den, die ein Funk­tio­nie­ren der Wirt­schaft und der öffent­li­chen Ver­wal­tung auf­recht­er­hal­ten.

Diese gefor­der­ten Maß­nah­men wer­den flan­kiert von der Aus­deh­nung der Rege­lun­gen auch auf die Lie­fer­kette und einer per­sön­li­chen Ver­ant­wor­tung der Füh­rungs­kräfte mit ent­spre­chen­den Sank­tio­nen, die „wirk­sam, ver­hält­nis­mä­ßig und abschre­ckend“ sein sol­len.

Unter­neh­men kön­nen Zuschüsse zu Cybersecurity-​​Management z. B. über fol­gende Pro­gramme erhal­ten:

Bund:

• Go-​​digital (<100 MA): https://​www​.inno​va​tion​-bera​tung​-foer​de​rung​.de/​I​N​N​O​/​N​a​v​i​g​a​t​i​o​n​/​D​E​/​g​o​-​d​i​g​i​t​a​l​/​g​o​-​d​i​g​i​t​a​l​.html
• Digi­tal jetzt (<500 MA): https://​www​.bmwk​.de/​R​e​d​a​k​t​i​o​n​/​D​E​/​D​o​s​s​i​e​r​/​d​i​g​i​t​a​l​-​j​e​t​z​t​.html

Hes­sen:

• Digi­ta­li­sie­rungs­be­ra­tung des RKW-​​Hessen (< 250 MA): https://​www​.rkw​-hes​sen​.de/​b​e​r​a​t​u​n​g​s​f​o​e​r​d​e​r​u​n​g​/​d​i​g​i​t​a​l​i​s​i​e​r​u​n​g​s​b​e​r​a​t​u​n​g​.html
• Digi-​​Zuschuss Hes­sen (< 250 MA): https://​www​.wibank​.de/​d​i​g​i​t​a​l​-​z​u​s​chuss

Sie benö­ti­gen Unter­stüt­zung? Wir bera­ten Sie gerne!