NIS2-Richtlinie
Die letzten Jahre haben uns regelmäßig Neues im Bereich Kritische Infrastrukturen (KRITIS) gebracht. So ist beispielsweise 2021 das deutsche IT-Sicherheitsgesetz 2.0 verabschiedet worden. 2022 sind verschiedene Vorgaben daraus in Kraft getreten wie die Nachweispflicht für Systeme zur Angriffserkennung. 2023 soll der Sektor Siedlungsabfallentsorgung in der KRITIS-Verordnung aufgenommen werden. Zusätzlich sind verschiedene neue EU-Vorgaben zu Cyber-Sicherheit bzw. zu Kritischen Infrastrukturen verabschiedet worden.
NIS-2- Richtlinie
Am 27. Dezember 2022 wurde die "Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union" (NIS-2-Richtlinie) im Amtsblatt der Europäischen Union veröffentlicht (https://eur-lex.europa.eu/eli/dir/2022/2555/oj). Mit den Maßnahmen der NIS2-Richtlinie soll in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden, um so das Funktionieren des EU-Binnenmarkts zu verbessern.
Die NIS-2-Richtlinie ist eine Überarbeitung und Erweiterung der NIS-Richtlinie und tritt am 16. Januar 2023 in Kraft. Die Betreiber/Einrichtungen wesentlicher und wichtiger Dienste in der EU müssen die Cybersicherheitsanforderungen bis zum Oktober 2024 umsetzen.
Was sind die wesentlichen Änderungen?
- Es wurde u.a. die Anzahl der Betreiber erweitert, die Maßnahmen nach NIS2 umzusetzen haben. Dafür wurde die Liste der Sektoren und der Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, aktualisiert. Außerdem wurden die Schwellenwerte angepasst, ab wann Einrichtungen die Kriterien für die Einstufung als KRITIS-Betreiber erfüllen. Entsprechende Anforderungen betreffen demnach in den aufgeführten Sektoren bereits mittlere Unternehmen mit über 50 bis zu 250 Mitarbeitenden sowie mit mind. 10 bis max. 43 Mio € Jahresumsatz.
- Es wird unterschieden zwischen Betreibern/Einrichtungen wesentlicher und wichtiger Dienste (essential / important), eingeteilt in 18 Sektoren, 11 davon essential (Energie, Transport, Banken, Finanzmärkte, Gesundheit, Wasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung, Raumfahrt) sowie 7 important (Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie (Manufacturing), Digitale Dienste, Forschung).
- Die Meldepflichten bei Cyber-Vorfällen sowie daraus resultierenden Datenpannen sind verschärft worden. So müssen Betreiber innerhalb von 24 Stunden eine Erstmeldung bei den zuständigen Behörden und spätestens nach drei Tagen eine konsolidierte Meldung abgeben. Außerdem muss spätestens nach einem Monat ein Abschlussbericht dazu vorgelegt werden.
- Es wird ein höheres Straf- und Bußgeldniveau eingeführt, angelehnt an die Regelungen der DSGVO.
CER Richtlinie
Parallel dazu wurde die EU-Richtlinie CER / RCE (Directive on the resilience of critical entities) verabschiedet und als (EU) 2022/2557 veröffentlicht (https://eur-lex.europa.eu/eli/dir/2022/2557/oj). CER verfolgt das Ziel, die Resilienz und die Fähigkeit von kritischen Einrichtungen zur Erbringung von solchen Diensten im EU Binnenmarkt zu verbessern, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind.
CER enthält ergänzend zu den Cyber-Sicherheit betreffenden Vorgaben solche für den physischen Schutz von kritischen Infrastrukturen, die dann einzuhalten sind, wenn ein dort eintretender Sicherheitsvorfall zu einer erheblichen Störung anderer wesentlicher Dienste führen würde. Zugehörige Maßnahmen sollen Schutz vor Sicherheitsvorfällen liefern bzw. etwaige Folgen aus Sicherheitsvorfällen begrenzen. CER muss ebenso wie NIS in nationales Recht umgesetzt werden. Hierzu hat die Bundesinnenministerin angekündigt, dass sie noch 2022 dem Kabinett Eckpunkte für ein KRITIS-Dachgesetz vorlegen will. Die kritischen Einrichtungen müssen die Anforderungen der Richtlinie bis zum Oktober 2024 umsetzen.