Regulatorische Neuerungen für die Branche Waste & Water: NIS 2

In seinem jährlichen Lagebericht kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu dem Schluss, dass die Bedrohung im Cyberraum so hoch ist wie noch nie zuvor. Täglich lesen wir von IT-Sicherheitsvorfällen in der Presse, die insbesondere im Bereich der Wasserversorgung und Abfallwirtschaft zu dramatischen Folgen für die Allgemeinheit führen können.

Vor diesem Hintergrund ist am 16. Januar 2023 die Network and Information Security Directive 2 oder NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) in Kraft getreten. Zielsetzung ist, einen rechtlichen Rahmen zu schaffen, um das Gesamtniveau der Cybersicherheit in der Europäischen Union zu steigern.

Allerdings bedarf die NIS-2-Richtlinie noch der Umsetzung durch die nationalen Gesetzgeber: Derzeit liegt ein Entwurf eines Umsetzungsgesetzes („NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“) als Diskussionspapier vom September 2023 vor.

Kern der Regelung ist eine vollständige Überarbeitung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Im Vergleich zu den bisherigen Regelungen für kritische Infrastrukturen findet eine starke Ausdehnung auf weitere Branchen statt.

Geltung und Pflichten bzgl. Cybersicherheitsmaßnahmen sind abhängig von der Größe des Unternehmens sowie der Art der betriebenen Anlagen bzw. Einrichtungen. Es wird erwartet dass das Gesetz im Frühjahr 2024, jedoch spätestens zum 17. Oktober 2024 in Kraft tritt.

Nachfolgende Tabelle gibt einen Überblick über die Kategorien der betroffenen Einrichtungen:

PS-NL 04/23 - Grafik1

Die folgende Tabelle gibt einen Überblick über die umzusetzenden Pflichten für betroffene Einrichtungen:

PS-NL 04/23 - Grafik2

Risikomanagementmaßnahmen beinhalten dabei folgende umzusetzende Punkte:

  • Konzepte in Bezug auf Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs (Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement)
  • Sicherheit der Lieferkette und zwischen einzelnen Einrichtungen sowie ihren unmittelbaren (Dienste-)Anbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Aufgrund der Komplexität der involvierten Themen werden eine Gap-Analyse des Ist-Stands dieser Maßnahmen im Unternehmen und die frühzeitige Umsetzung von ggf. fehlenden Maßnahmen dringend empfohlen. Dabei sei insbesondere auf die Geschäftsleiterhaftung hingewiesen: Geschäftsleiter besonders wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen zur Einhaltung von § 30 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen. Die Beauftragung eines Dritten zu Erfüllung der Verpflichtungen ist nicht zulässig. Geschäftsleiter, welche ihre Pflichten nach Absatz 1 verletzen, haften der Einrichtung für den entstandenen Schaden.  

Autor

Christopher Hock
Tel: +49 69 967 65 112

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Dies ist ein Beitrag aus unserem Public Sector Newsletter 4-2023. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.

Want to know more?