Wann sind IT-Systemhäuser von NIS2 betroffen?
Ich wurde in letzter Zeit von mehreren IT-Systemhäusern nach meiner Einschätzung in Bezug auf die NIS-2-Richtlinie gefragt. Über NIS2 ist viel im Internet zu finden und u.a. openkritis.de kann gut als allgemeines Recherchemedium genutzt werden. In diesem Beitrag versuche ich jedoch konkret auf die Bedeutung der NIS-2-Richtlinie für IT-Systemhäuser einzugehen.
Da das Gesetzgebungsverfahren noch nicht abgeschlossen ist – und wohl auch in 2024 nicht mehr damit zu rechnen ist – basieren die nachfolgenden Informationen u.a. auf aktuellen Gesetzesentwürfen und spätere Veränderungen der Vorgaben sind durchaus möglich!
Was regelt NIS2?
Zuerst als kleine Wiederholung eine ganz knappe Zusammenfassung, was die NIS-2-Richtlinie von den betroffenen Unternehmen fordert:
Die NIS2-Vorgaben sollen für angemessene technische und organisatorische Maßnahmen im Bereich der Cyber-Security in den verpflichteten Unternehmen sorgen.
Im Rahmen des Risikomanagements müssen notwendige Maßnahmen eruiert und die Umsetzung und Wirksamkeit geprüft bzw. überwacht werden.
Die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung bzw. Wiederherstellung der eigenen Lieferfähigkeit stehen dabei im Fokus.
Zudem besteht bei Vorfällen eine Meldepflicht.
NIS2 – wann wird es akut?
Die NIS-2-Richtlinie ist vorhanden und am 27.12.2022 in Kraft getreten. Aber es fehlt nach wie vor am Umsetzungsgesetz. Das NIS2UmsuCG liegt als Entwurf vor. Allerdings wird gemunkelt, dass das Umsetzungsgesetz dieses Jahr nicht mehr in Kraft treten wird.
Damit riskiert Deutschland die Umsetzungsfrist zum Oktober 2024 zu verfehlen und ein Vertragsverletzungsverfahren der EU in Kauf zu nehmen. Eigentlich bereits Standard in derzeitigen Gesetzgebungsverfahren in Deutschland.
Zudem sind neben der rechtlichen Umsetzung auch organisatorische Maßnahmen durch die Mitgliedsstaaten zu erfüllen. Diese müssen einen Informationsaustausch mit der EU-Agentur für Cybersicherheit (ENISA) gewährleisten und innerhalb der Dachbehörden, bei uns wahrscheinlich eine Aufgabe für das BSI, entsprechende personelle Strukturen vorhalten, dabei wird z.B. häufig auf ein CSIRT („Computer Security Incident Response Team“) hingewiesen. Denn NIS2 sieht eine Meldepflicht für Unternehmen vor – entsprechende Meldungen müssen angenommen und verarbeitet werden können.
Für die Unternehmen bedeutet dies jedoch, dass die NIS-2-Richtlinie vorerst noch nicht umzusetzen ist, denn einer rechtlichen Grundlage fehlt es damit derzeit noch in Deutschland. Langfristig wird die Pflicht zur Umsetzung jedoch kommen, aufgeschoben ist nicht aufgehoben. Einige Punkte sind jedoch auch nach dem aktuellen Gesetzesentwurf noch unklar und werden wohl – wie auch schon beider DSGVO – erst durch gerichtliche Entscheidungen konkret werden.
Klar ist jedoch, dass der Fokus auf die Cybersicherheit der kritischen Infrastrukturen gelegt wird. Damit ist auch davon auszugehen, dass auch IT-Systemhäuser in den Fokus rücken werden.
Wann ist ein Systemhaus von NIS2 betroffen?
Wie konkret IT-Systemhäuser in den Fokus von NIS2 geraten, hängt von verschiedenen Faktoren ab. Gem. §28 des aktuellen Gesetzesentwurfes orientiert sich die Anwendbarkeit an der „size-cap-rule“ aus NIS2 und betrifft damit nur mittlere und große Unternehmen.
Für IT-Systemhäuser mit mehr als 50 Mitarbeitern bedeutet dies, dass §28 Abs. 7 Nr. 1 NIS2UmsuCG für eine verpflichtende Umsetzung der NIS2-Vorgaben sorgen wird.
Es gibt auch „Sonderfälle“. Die NIS2-Regelungen werden wohl beispielsweise für alle Unternehmen verpflichtend werden, deren Umsatz- UND Bilanzsumme die 10 Millionen EUR überschreitet. Auch „Vertrauensdiensteanbieter“ und Domain-Registrare dürften zukünftig NIS2-pflichtig sein.
Mit weniger als 50 Mitarbeitern ist das IT-Systemhaus jedoch nicht direkt von der NIS2-Umsetzung betroffen. Werden jedoch Kunden im KRITIS-Umfeld betreut, werden Anforderungen aus der NIS2-Umsetzung auch auf die IT-Systemhäuser einwirken. Wie konkret diese Anforderungen sein werden, wird sich zeigen müssen und hängt auch von der Art der NIS2-Umsetzung beim Kunden ab.
IT-Systemhäuser mit weniger als 50 Mitarbeitern, die bisher keine Berührung mit KRITIS-Unternehmen hatten, werden auch in naher Zukunft wahrscheinlich wenig von NIS2 mitbekommen – dies wird die Zukunft zeigen und kann derzeit wohl von niemanden abschließend beurteilt werden.
Wenn jedoch Ambitionen bestehen, künftig mit KRITIS-Unternehmen zu arbeiten, sollten die weitere Entwicklung der NIS2-Vorgaben genau im Blick behalten werden.
Wie könnten NIS2-Pflichten auf kleine IT-Systemhäuser durchschlagen?
NIS2 wirkt sich direkt auf das Risikomanagement der verpflichteten Unternehmen aus und zwingt, ähnlich der DSGVO, angemessene und wirksame technische und organisatorische Maßnahmen zu ergreifen, womit die Risiken minimiert werden können und auch im Krisenfall ein Weiterbetrieb sichergestellt werden kann.
Zur Umsetzung können sich die Unternehmen an anerkannten Zertifizierungen orientieren. Welche Zertifizierung angemessen ist, wird der Einzelfall entscheiden, jedoch werden sich gerade große KRITIS-Unternehmen wahrscheinlich an der ISO27001 orientieren.
Gem. den Vorgaben der ISO27001 muss das zertifizierte Unternehmen die wesentlichen Vorgaben zur Einhaltung auch von seinen Zulieferern einfordern und die Einhaltung der Maßnahmen müssen überwacht werden. Dies kann natürlich anhand von Audit-Fragebögen erfolgen, mit ansteigendem Auditaufwand könnten entsprechende Unternehmen jedoch auch dazu übergehen, nur ebenfalls nach ISO27001 zertifizierte Unternehmen in die Lieferantenauswahl aufzunehmen und zu beauftragen. Damit wird der Auditaufwand aus Sicht des Unternehmens auf eine Mindestüberwachung reduziert.
Was passiert bei Nichteinhaltung der Vorgaben?
Für alle Unternehmen, die kritische oder (besonders) wichtige Unternehmen sind und damit von NIS2 erfasst werden, gelten die Sanktions- und Bußgeldregelungen aus dem Umsetzungsgesetz (derzeit im §60 zu finden):
Die Nichteinhaltung der NIS2-Richtlinie bzw. des Umsetzungsgesetzes kann mit einem Bußgeld belegt werden. Vorgesehen sind verschiedene Bußgeldrahmen, wobei das höchste mögliche Bußgeld für besonders wichtige Einrichtungen vorgesehen ist und bis zu 10 Millionen Euro oder 2% vom Umsatz betragen kann, eine Grenze, die auch aus der DSGVO bekannt ist.
Wichtiger könnte jedoch §38 sein, worin die vorgesehene mögliche Haftung für Leitungsorgane von KRITIS-Unternehmen definiert wird. Die Regelung sieht die Möglichkeit vor, dass die Geschäftsleitung persönlich haftend ist. Da diese Haftung gegenüber dem Unternehmen gelten wird, betrifft dies vor allem Unternehmen, wo Gesellschafter und Geschäftsführer nicht übereinstimmend sind. Übrigens soll nach dem aktuellen Gesetzentwurf die Möglichkeit zum Verzicht oder Vergleich unwirksam sein.
An dieser Stelle könnte eine Information eines befreundeten Versicherungsfachmannes interessant sein: Auch wenn in vielen Versicherungsverträgen (hier sind vor allem D&O-Versicherungen relevant) dies nicht explizit regeln und kein Ausschluss besteht, ist die Versicherbarkeit von Bußgeldern rechtlich unklar und umstritten. Nach vorherrschender Meinung sind Bußgelder nicht versicherbar, da dies dem gesetzlichen Präventionszweck des Bußgeldes vereiteln würde.
Als weitere Interventionsmaßnahme bekommt das BSI möglicherweise sogar die Berechtigung konkrete Maßnahmen anzuordnen und damit die Kontrolle über die IT-Sicherheit des KRITIS-Unternehmens zu übernehmen.
Zuletzt noch eine Randnotiz
Zudem – zur Vollständigkeit – sei erwähnt, dass es neben der NIS-2-Richtlinie und dem entsprechenden Umsetzungsgesetz noch folgende Regelungen gibt: Seit Dezember 2022 existiert auch die RCE-Richtlinie, die Resilienzmaßnahmen kritischer Infrastrukturen genauer unter die Lupe nimmt. Und zuletzt gibt es noch das KRITIS-DachG, welches im Entwurf vorliegt und den physischen Schutz kritischer Infrastrukturen im Fokus hat. Da beides eher die KRITIS-Unternehmen direkt betrifft, werden die Regelung für IT-Systemhäuser, die keine kritische Infrastruktur sind, eher weniger interessant sein.
Sobald neue und belastbare Informationen vorliegen, werde ich ggf. wieder einen Hinweis dazu veröffentlichen. Fragen, Meinungen oder Anregungen zum Thema sind jederzeit gerne willkommen!
Beste Grüße
René Floitgraf
Datenschutzbeauftragter bei der CompliPro GmbH
Berater für Datenschutz und Informationssicherheit
Interessante Quellen
Referentenentwurf zum NIS2UmsuCG – Stand 12/2023
Erklärung der NIS2-Size-Cap-Rule (nis2-navigator.de)
Anforderungen an die InfoSec beim Einsatz von Lieferanten und Dienstleistern (activeMind.de)
Der Beitrag Wann sind IT-Systemhäuser von NIS2 betroffen? erschien zuerst auf CompliPro GmbH.