Home » Fachbeiträge » Security Management » Mehrfachregulierung durch NIS-2

Doppelt hält besser?: Mehrfachregulierung durch NIS-2

Mit der NIS-2-Regulierung, die neue Cybersecurity-Pflichten fordert, entsteht für viele Firmen eine Mehrfachregulierung. Gründe dafür können die Doppelrolle von Unternehmen oder parallel anzuwendende sektorspezifische Regelungen sein.

·

Redaktion IT-SICHERHEIT (cs)

11 Min. Lesezeit
Tippende Hände auf Tastatur und Datenschutzsymbol im Vordergrund
Foto: ©AdobeStock/adam121

Für die betroffenen Firmen stellen sich nun die Fragen nach den anwendbaren Gesetzen und Vorgaben, nach deren Geltungsbereichen im Unternehmen und schließlich nach den verschiedenen, nicht immer gleichen Anforderungen an Cybersecurity – von mehrfachen Pflichten zu Registrierung und Meldungen ganz zu schweigen. Wie kann man hier den Überblick behalten?

Anfang Mai hat das Bundesministerium des Innern und für Heimat (BMI) den ersten offiziellen Entwurf des Gesetzes zur Umsetzung der EU NIS-2-Richtlinie veröffentlicht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG). Das Gesetz soll im Oktober 2024 in Kraft treten und ändert als Artikelgesetz viele weitere deutsche Gesetze. Inhaltlich knüpft es an die bestehende Regulierung der Betreiber kritischer Infrastrukturen (KRITIS) an. Diese sind in Deutschland seit 2015 durch das BSI-Gesetz verpflichtet, für ein angemessenes Niveau von Cybersecurity
in ihren kritischen Anlagen zu sorgen. Die folgenden Ausführungen beruhen auf dem NIS-2-Entwurf vom Mai 2024.[1] Änderungen der Vorgaben im Rahmen des Gesetzgebungsverfahrens sind möglich.

Mit dem NIS-2-Umsetzungsgesetz erweitert sich die bisherige KRITIS-Regulierung beträchtlich. Die deutsche Gesetzgebung übernimmt die EU-Methodik zur Festlegung relevanter Unternehmen und definiert in Anlage 1 und 2 des Gesetzentwurfs dazu Sektoren (zum Beispiel „Transport und Verkehr“) und Einrichtungsarten (zum Beispiel „Eisenbahninfrastrukturbetreiber“) sowie einheitliche Firmengrößen für die Betroffenheit: Mitarbeiteranzahl, Umsatz und Bilanzsumme (§ 28 Abs. 1, 2 NIS2UmsuCG (BSIG-E)). Durch die neue Regulierung werden künftig etwa 30.000 Unternehmen in
Deutschland reguliert. Gleichzeitig bleibt die bisherige KRITIS-Methodik parallel bestehen, sodass Unternehmen sowohl NIS-2-Einrichtung als auch KRITIS-Betreiber – dann Betreiber kritischer Anlagen genannt – sein können.

Zusätzlich zu der großen Zahl an betroffenen Unternehmen erweitert das NIS-2-Umsetzungsgesetz auch den Geltungsbereich, in welchem Maßnahmen umgesetzt werden müssen. Im Gegensatz zum eher engen Geltungsbereich von KRITIS-Anlagen mit kritischer Dienstleistung treffen die NIS-2-Pflichten in Zukunft praktisch das gesamte Unternehmen, so die aktuelle Gesetzesbegründung.

Bei der Analyse der eigenen Betroffenheit sollten Firmen berücksichtigen, dass das NIS-2-Umsetzungsgesetz einige Ausnahmen für bestimmte Sektoren und Einrichtungsarten definiert. Diese führen dazu, dass manche Unternehmen von einigen NIS-2-Pflichten ausgenommen werden, da sie aufgrund anderer Gesetze inhaltlich ähnliche Anforderungen umsetzen müssen. Je nach genauer Betroffenheit müssen sie dann in verschiedenen Unternehmensteilen unterschiedliche Anforderungen realisieren: als NIS-2-Einrichtung im ganzen Unternehmen NIS-2-Pflichten sowie KRITIS- und
gegebenenfalls spezialgesetzliche Pflichten in einem Unternehmensteil.

Die folgenden Beispiele beleuchten das mehrfache Betroffensein unter NIS-2 in Deutschland. Die Referenzen stützen sich auf Paragrafen des für die NIS-2-Umsetzung geänderten BSI-Gesetzes (BSIG-E).

Unabhängig von der konkreten mehrfachen Betroffenheit unter NIS-2 empfiehlt es sich, relevante Vorgaben im Detail zu analysieren und die Geltungsbereiche klar abzugrenzen. Folgende Fragen sollten dabei mindestens beantwortet werden:

  • Ist das Unternehmen eine NIS-2-Einrichtung nach § 28 BSIG-E in einem NIS-2-Sektor (Anlage 1 und 2)?
  • Ist das Unternehmen von NIS-2-Ausnahmeregelungen in § 28 Abs. 4 oder 5 betroffen?
  • Welche sektorspezifischen Gesetze gelten zusätzlich oder alternativ zu NIS-2?
  • Auf welche Unternehmensteile und Geltungsbereiche wirkt sich welche Regulierung aus?
  • Welche Legaleinheiten in Konzerngruppen sind genau betroffen?
  • Welche konkreten Pflichten ergeben sich in den verschiedenen Geltungsbereichen?

NIS-2 und KRITIS

Die bisherigen KRITIS-Betreiber werden in der kommenden NIS-2-Gesetzgebung zu Betreibern kritischer Anlagen (§ 28 Abs. 6), wenn sie (wie bisher auch) eine in der KRITIS-Verordnung definierte Anlage über definierten Schwellenwerten betreiben (§ 28 Abs. 7). Als Betreiber kritischer Anlagen gelten sie unabhängig von ihrer Größe auch als besonders wichtige Einrichtung – sie vereinen also zwei regulierte Unternehmenstypen in sich.

  1. Als besonders wichtige Einrichtung unterliegen diese Unternehmen der NIS-2-Regulierung. Im Geltungsbereich des gesamten Unternehmens (der Legaleinheit) müssen sie unter anderem Risikomanagement, Informationssicherheitsmanagement, Incident Management, Business Continuity Management oder Lieferantenmanagement nach Stand der Technik wirksam implementieren (§ 30). Daneben müssen sie ein Meldewesen für Sicherheitsvorfälle (§ 32) einrichten und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren (§ 33).
  2. Als Betreiber kritischer Anlagen müssen Unternehmen im Geltungsbereich ihrer KRITIS-Anlage zusätzlich erhöhte Anforderungen umsetzen. Dass für KRITIS-Anlagen auch aufwendigere Maßnahmen als verhältnismäßig gelten, muss im Risikomanagement berücksichtigt werden (§ 31 Abs. 1). Im Geltungsbereich der kritischen Anlage müssen Prozesse und Systeme zur Angriffserkennung (§ 31 Abs. 2) implementiert werden. Prozesse zur Meldung von Sicherheitsvorfällen müssen angepasst werden, da für KRITIS-Anlagen zusätzliche Angaben zur Art der betroffenen Anlage, zu den kritischen Dienstleistungen sowie zu den Auswirkungen eines Vorfalls auf die Dienstleistung notwendig sind. Auch bei der Registrierung von KRITIS-Anlagen müssen zusätzliche Informationen angegeben werden. Die Maßnahmen im KRITIS-Geltungsbereich müssen alle drei Jahre geprüft und gegenüber dem BSI nachgewiesen werden (§ 39). Außerdem gilt für
    den Geltungsbereich der kritischen Anlage vermutlich auch das künftige KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement und bei der Ausgestaltung dedizierter Maßnahmen zu Resilienz, Business Continuity Management, Personalsicherheit, physischer Sicherheit et cetera, die hier nicht weiter betrachtet werden.
  3. Für Betreiber kritischer Anlagen ergeben sich durch NIS-2 mindestens zwei Geltungsbereiche mit unterschiedlichen Anforderungen: Im gesamten Unternehmen gelten (wahrscheinlich) die NIS-2-Pflichten, während der bisherige KRITIS-Geltungsbereich in der kritischen Anlage mit leicht erweiterten Pflichten, die über die NIS-2-Pflichten hinausgehen, bestehen bleibt. Darüber hinaus könnte in diesem Geltungsbereich zukünftig noch das KRITIS-Dachgesetz hinzukommen (siehe Abbildung 1).

Abbildung 1: Geltungsbereich NIS-2 und KRITIS

Geltungsbereich NIS-2 und KRITIS
Bild: OpenKRITIS, Mai 2024

NIS-2 und Sektor-Regulierung

Bereits jetzt unterliegen Unternehmen in einigen Sektoren sektorspezifischen Regulierungen, die Anforderungen an Cybersicherheit beinhalten, konkret das Telekommunikationsgesetz (TKG), das Energiewirtschaftsgesetz (EnWG) oder für Finanzinstitute der Digital Operational Resilience Act (EU DORA). Die NIS-2-Regulierung nimmt daher Unternehmen in bestimmten Sektoren und Einrichtungsarten von einigen Pflichten aus, § 28 Abs. 4 und 5 BSIG-E:

„(4) Die §§ 31, 32, 35 und 39 gelten nicht für: 1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie a) ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, und b) den Regelungen des Telekommunikationsgesetzes unterliegen; 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes […], soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen.

(5) Die §§ 30, 31, 32, 35, 36, 38 und 39 gelten nicht für […] Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 [DORA] und Unternehmen, für welche die Anforderungen
der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten.“

NIS-2-Einrichtungen, die als Energiebetreiber unter das EnWG fallen, und NIS-2-Einrichtungen, die als TK-Anbieter unter das TKG fallen, sind von einigen NIS-2-Pflichten ausgenommen. DORA-
regulierte Finanzunternehmen sind von allen NIS-2-Pflichten bis auf die Registrierung beim BSI ausgenommen.

Die genannten Einrichtungsarten werden neben NIS-2 in bestimmten Anlagen oder Unternehmensteilen durch das TKG, das EnWG oder EU DORA „spezialgesetzlich reguliert“. Diese Regelungen enthalten die Anforderungen aus NIS-2 sowie zusätzliche sektorspezifische Anforderungen für diese Einrichtungen. Im TKG und im EnWG sind die Anforderungen noch im Entwurf enthalten – diese sollen analog zum BSIG durch das NIS2UmsuCG als Artikelgesetz geändert werden.

Firmen, die von den Ausnahmen in NIS-2 betroffen sind, müssen damit nicht unbedingt weniger tun – sie erben äquivalente Vorgaben für bestimmte Anlagen und einzelne Sektoren aus anderer Quelle. Interessant ist die Erklärung des Gesetzgebers zu den NIS-2-Ausnahmen bei spezialgesetzlicher Regulierung: Im TKG und im EnWG beziehen sich diese nur auf jene IT-Systeme, die zur Erbringung der kritischen Versorgungsdienstleistung notwendig sind, zum Beispiel IT-Systeme für einen sicheren Netz- beziehungsweise Anlagenbetrieb oder Datenverarbeitungssysteme für den Betrieb von TK-Netzen.

Für alle anderen IT-Systeme, Komponenten und Prozesse außerhalb der spezialgesetzlichen Regelung gelten nach wie vor die allgemeinen NIS-2-Anforderungen und die Zuständigkeit des BSI (Abschnitt B. Besonderer Teil, Anmerkung zu § 28 Abs. 4, NIS2UmsuCG-Entwurf, Stand Mai 2024).

Die Ausnahmen von den NIS-2-Pflichten gelten nur für die Organisationsteile beziehungsweise konkret die Anlagen, in denen spezialgesetzliche Regelungen angewendet werden – und dort auch nur für die spezifisch ausgeschlossenen NIS-2-Pflichten. In den übrigen Unternehmensteilen müssen alle NIS-2-Anforderungen umgesetzt werden.

Beispiel: Stadtwerk mit Mehrfachregulierung durch NIS-2 und EnWG Zur Verdeutlichung der Mehrfachregulierung dient beispielhaft ein Stadtwerk, bei dem wir davon ausgehen, dass alle Dienstleistungen in einer Legaleinheit erbracht werden also in einer GmbH oder AöR. Teilen sich die Dienstleistungen auf verschiedene Legaleinheiten auf, ist die Betroffenheit noch kleinteiliger und teilt sich analog auf. Mit über 50 Mitarbeitern erbringt das Stadtwerk unterschiedliche Dienstleistungen in der Entsorgung (NIS-2-relevanter Sektor und Einrichtungsart) und im öffentlichen Personennahverkehr (ÖPNV) (nicht NIS-2-relevante Einrichtungsart).

Zusätzlich betreibt es ein Stromverteilnetz, das einer NIS-2-Einrichtungsart aus einem NIS-2-Sektor entspricht. Das Stromverteilnetz ist gleichzeitig eine Anlage nach KRITIS-Verordnung und überschreitet die Schwellenwerte aus der Verordnung – wird deshalb kritische Anlage im Energiesektor. Als Energieanlage fällt es ebenfalls unter die Regelungen des EnWG.

Abbildung 2: Geltungsbereich NIS-2 und EnWG

Abbildung 2: Geltungsbereich NIS-2 und EnWG

In dieser Konstellation ist das Unternehmen durch die Entsorgung mindestens eine wichtige NIS-2-Einrichtung; durch den Betrieb einer kritischen Anlage erhält es jedoch die zuvor beschriebene Doppelrolle „Betreiber kritischer Anlagen und besonders wichtige NIS-2-Einrichtung“. Das Stromverteilnetz wiederum stellt eine besondere Form von kritischen Anlagen dar, mit sektorspezifischer Regulierung durch das EnWG, weshalb die Ausnahmeregelung aus § 28 Abs. 4 angewendet wird.

  1. Als besonders wichtige Einrichtung unterliegt das Stadtwerk der NIS-2-Regulierung und muss, wie zuvor für Betreiber kritischer Anlagen dargestellt, die NIS-2-Pflichten erfüllen.
  2. Als Betreiber eines Stromverteilnetzes mit EnWG-Regulierung muss das Stadtwerk im Geltungsbereich des Stromverteilnetzes nur grundlegende NIS-2-Pflichten erfüllen: Risikomanagementmaßnahmen (§ 30), Registrierung beim BSI (§ 33) sowie Billigungs-, Überwachungs- und Schulungspflichten (§ 38). Darüber hinaus gelten die Anforderungen aus dem EnWG und dem zugehörigen IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA):
  • ein ISMS nach ISO/IEC 27001 implementieren mit Governance, Risikomanagement, regelmäßiger Überprüfung und kontinuierlicher Verbesserung (IT-Sicherheitskatalog BNetzA)
  • einen Netzstrukturplan erstellen (IT-Sicherheitskatalog BNetzA)
  • Prozesse zum Incident Management, Business Continuity Management, Lieferantenmanagement nach Stand der Technik implementieren – spezifisch für den Netzbetrieb (inhaltlich recht deckungsgleich zu den NIS-2-Anforderungen, § 5c Abs. 3 EnWG-E)
  • Prozesse zum Meldewesen implementieren, die inhaltlich vermutlich ähnlich zu den NIS-2-Anforderungen aus § 32 sind, formal aber aus § 5c Abs. 6 EnWG abgeleitet sind
  • Prozesse zum Nachweis der Erfüllung der Anforderungen implementieren (§ 5c Abs. 4 EnWG-E)

Zusätzlich zu NIS-2 und dem EnWG gilt für den Geltungsbereich der kritischen Anlage vermutlich auch das künftige KRITIS-Dachgesetz.

Für das Stadtwerk ergeben sich also unter NIS-2 zwei verschiedene Geltungsbereiche mit unterschiedlichen Anforderungen und Maßnahmen. Zum einen bestehen für den Geltungsbereich des (wahrscheinlich) gesamten Unternehmens die NIS-2-Pflichten. Zum anderen gibt es den (KRITIS-)Geltungsbereich für den Betrieb der kritischen Anlage „Stromverteilnetz“, in dem das EnWG und der zugehörige (noch für NIS-2 anzupassende) IT-Sicherheitskatalog der BNetzA gelten. In diesem Bereich greift die Ausnahmeregelung von den NIS-2-Pflichten nach § 28 Abs. 4, sodass nur einzelne NIS-2-Pflichten umgesetzt werden müssen. Darüber hinaus gelten in diesem Bereich künftig gegebenenfalls die Pflichten aus dem KRITIS-Dachgesetz.

NIS-2 und EU DORA

Einige Finanzunternehmen können nach den NIS-2-Definitionen von besonders wichtigen und wichtigen Einrichtungen in § 28 und den Einrichtungsarten in Anhang 1 grundsätzlich als NIS-2-Einrichtungen gelten. Sofern sie auch durch EU DORA reguliert werden, gilt für sie die Ausnahmeregelung in § 28 Abs. 5. Sie sind dann von fast allen Pflichten befreit. Lediglich die Verpflichtung zur Registrierung beim BSI nach § 33 bleibt bestehen.

Eine umfangreiche Doppelregulierung durch DORA und NIS-2 ist allerdings für Unternehmen im Sektor IT und TK möglich, die als NIS-2-Einrichtung gelten und als kritische IKT-Drittdienstleister in DORA eingestuft werden. Das kann zum Beispiel Cloud Provider, Anbieter von TK-Lösungen oder Managed Services Provider betreffen. Auch gruppeninterne IT-Dienstleister sind im aktuellen NIS-2-Entwurf nicht ausgenommen und könnten damit sowohl DORA- als auch NIS-2-Pflichten umsetzen müssen. IKT-Drittdienstleister erhalten durch DORA teils eigene Pflichten mit EU-Aufsicht, sofern
sie kritisch eingestuft werden. Ferner werden Finanzunternehmen viele eigene Pflichten vertraglich an ihre Dienstleister weitergeben (müssen) – unabhängig davon, ob diese als kritische Dienstleister gelten oder nicht. Neben den DORA-Pflichten bleiben die NIS-2-Pflichten für besonders wichtige oder wichtige Einrichtungen im Sektor IT und TK bestehen.

Empfehlungen für betroffene Unternehmen Mit dem NIS-2-Umsetzungsgesetz wird für viele betroffene Unternehmen eine Mehrfachregulierung entstehen. Die dadurch entstehenden Fragen nach den anwendbaren Vorgaben, deren Geltungsbereichen und schließlich nach den unterschiedlichen Anforderungen an Cybersecurity sind zum Teil sehr komplex. Im Rahmen des Gesetzgebungsverfahrens der NIS-2-Umsetzung insbesondere auch für das EnWG und das TKG können sich durchaus noch Änderungen an den Vorgaben ergeben.

Unternehmen sollten aufgrund des Umfangs der Regulierung bereits damit begonnen haben, sich auf die vielschichte Umsetzung vorzubereiten. Vor den Herausforderungen von Mehrfachregulierung erleichtern folgende Vorgehensweisen die Arbeit bei der Umsetzung der verschiedenen Pflichten:

  1. Eine genaue Analyse der Anforderungen der anwendbaren Gesetze je nach Sektor und Einrichtungsart sowie die klare Festlegung der jeweiligen Geltungsbereiche zum Beispiel beim Betrieb kritischer Anlagen schaffen eine belastbare Basis für die nachfolgenden Aktivitäten. Der Tätigkeitsrahmen ist dann für alle Beteiligten klar. Die Rechtsabteilung hilft hier sicherlich mit der juristisch notwendigen Expertise.
  2. Ein Mapping der verschiedenen Anforderungen der unterschiedlichen Regulierungen und die Analyse der Abdeckung erleichtert die spätere risikoorientierte Implementierung von Maßnahmen und das Schließen notwendiger Lücken. Wenn es im Unternehmen bereits ein internes Kontrollsystem oder ein passendes Managementsystem (ISMS) gibt, können die externen Anforderungen diesem zugeordnet werden.

Unternehmen in Sektoren mit bestehender und zukünftiger Sektor-Regulierungen stehen mit NIS-2 vor vielfältigen Herausforderungen. Die bestehenden Vorgaben, Kontrollen und Zertifizierungen reichen möglicherweise für die erweiterten Geltungsbereiche von NIS-2 und Sektor-Regulierungen sowie die neuen Cybersecurity-Pflichten nicht mehr aus. Bestehende Nachweise für KRITIS-Anlagen (beziehungsweise EnWG-/TKG-Anlagen) bilden voraussichtlich nur noch eine Untermenge der notwendigen Anforderungen ab. Hier sind Betreiber gut beraten, die notwendigen Analysen basierend
auf den aktuellen Gesetzesentwürfen baldmöglichst abzuschließen, um Programme für die erweiterte Umsetzung zu starten

Literaturhinweis

[1] Bundesministerium des Innern und für Heimat, Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE.html, 7. Mai 2024

Porträt Paul Weissmann

Paul Weissmann begleitet als Geschäftsführer der Insignals GmbH und Gründer von OpenKRITIS Betreiber beim Weg durch KRITIS und EU NIS-2 mit dem Schwerpunkt ISMS. Er hat über 20 Jahre Berufserfahrung in der Informationssicherheit und der IT.
E-Mail: paul@insignals.net

Porträt Hanna Lurz

Hanna Lurz ist als Senior Beraterin bei der Insignals GmbH für die Schwerpunkte kritische Infrastrukturen und zertifizierungsreife ISMS verantwortlich. Sie hat über zehn Jahre Beratungserfahrung und war lange Fachbereichsleiterin ISM in einer Zertifizierungsorganisation.
E-Mail: hanna@insignals.net

Weitere Artikel zum Thema:

NIS-2: Es wird ernst

NIS-2 ist alles andere als ein Papiertiger

Viele deutsche Unternehmen nicht auf NIS-2 vorbereitet

Andere interessante Fachbeiträge

Eine digitale Kette mit pixeligen Details zerbricht an einem Glied und setzt leuchtend blaue Partikel frei. Der dunkle Hintergrund verstärkt den Kontrast und betont die dynamische Bewegung und symbolische Darstellung von Störungen im Schwachstellenmanagement oder unterbrochenen Verbindungen.

Werkzeugkasten, um Software-Schwachstellen zu bekämpfen

Neu bekannt gewordene Sicherheitslücken zeitnah, nachhaltig und priorisiert zu schließen, ist Alltagsgeschäft für IT-Sicherheitsverantwortliche. Kompetente Hacker wissen schnell üb...

Security Management
Ransomware-Warnung auf Bildschirm mit beunruhigtem Mitarbeiter

Kein Platz für Ermüdungserscheinungen

Kleinen und mittleren Unternehmen (KMU) ist mit ständigen Mahnungen kaum geholfen. Sie benötigen ein smartes Security-Ökosystem, das sich an ihren Bedürfnissen orientiert und proak...

Security Management
Hand greift nach einem KI-generierten Gesicht auf einem Bildschirm

Die KI-Flüsterer

Die Integration von künstlicher Intelligenz (KI) hat die Cybersicherheitsstrategien weltweit neu definiert. KI-gestützte Angriffe entwickeln sich rasant, was traditionelle Abwehrte...

Security Management