Häufiger erreicht uns die Frage, was dieses „NIS-2“ für Unternehmen bedeutet. Grundsätzlich möchte die EU damit den Schaden begrenzen, den Cyberterroristen, Hacker und Industriespione in europäischen Unternehmen anrichten können. Der Gedanke dahinter: wenn bei VW Entwicklungspläne gestohlen werden und dann (beispielsweise) in Fernost genutzt und umgesetzt werden, dann gehen in der EU Arbeitsplätze, Wohlstand und Steuereinnahmen „flöten“. Also gibt es für NIS-2 einen substanziellen Bedarf.
Die NIS-2 erweitert die bereits existierende NIS-1. Neu ist nun unter anderem, dass andere Branchen erfasst werden:
- Digitale Infrastrukturen
- KRITIS-Bereiche (wie Wasser, Abwasser, Strom, Gas, Krankenhäuser)
- Verkehr und Mobilität (Häfen, Flugverkehr, Bahn, Bus, ÖPNV)
- Banken und Zahlungsdienstleister
Es werden Bereiche genannt, die Auswirkungen auf die Gesellschaft, öffentliche Sicherheit und Ordnung sowie die Wirtschaft hat.
Kritik gibt es an der Richtlinie, weil unter anderem Behörden nicht genannt werden.
Wann erfolgt die Umsetzung in nationales Recht?
Eine EU-Richtlinie tritt grundsätzlich in Kraft und muss dann von den EU-Ländern umgesetzt werden. Das heißt, der Bundestag muss erst ein entsprechendes Gesetz beschließen. Die NIS-2 trat im Januar 2023 in Kraft und muss vom Bundestag bis zum Oktober 2024 durch ein deutsches Gesetz umgesetzt sein.
Ist jedes Unternehmen von der NIS-2 betroffen?
Nein. In erster Linie sind die bereits in Deutschland als KRITIS bezeichneten Unternehmen betroffen. Allerdings sind die Branchen aus BSI-Gesetz und IT-Sicherheitsgesetz nicht ganz deckungsgleich mit der NIS-2. Es wird also 3 Arten von Unternehmen geben: die, die nur KRITIS sind. Die, die nur NIS-2 erfüllen müssen und die, die beides erfüllen müssen.
Es wird von einer Größenordnung von 25.000 bis 35.000 Firmen und Institutionen in Deutschland ausgegangen. Bei rund 3,5 Mio. Unternehmungen in Deutschland betrifft das also nur etwa 1% der Firmen.
Wer überwacht in Deutschland die Maßnahmen der NIS-2?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI). Unternehmen können sich gemäß dem NIS-2-Umsetzungsgesetz (nach dessen Verabschiedung) beim BSI registrieren. Wie dann allerdings eine Prüfung ausfällt, ist noch nicht bekannt. Zudem kann man von einem längeren Zeitraum ausgehen, bis das BSI in der Lage ist, diese Prüfungen durchzuführen. Alternativ könnte das BSI auf die Umsetzungen von Normen mit Zusatzauflagen setzen, z.B. „ISO 27001 plus Sondermaßnahmen“ und die Prüfung über die ISMS-Zertifizierungen laufen lassen.
Erfüllt eine ISMS nach ISO 27001 bereits die NIS-2?
Leider nicht, allerdings ist die ISO 27001 ein sehr guter Anker, um die Richtlinie umzusetzen. So benötigt man für die ISO 27001 ebenfalls ein Risiko-Management und technische und organisatorische Sicherheitsmaßnahmen.
Die geforderten Meldungen von Sicherheitsvorfällen an Behörden könnte man schon heute unter der ISO-Anforderung „A 5.5 Kontakt mit Behörden“ sowie „A 5.31 Juristische, gesetzliche, regulatorische und vertragliche Anforderungen“ verorten, auch wenn es nicht explizit ist. So gesehen, fordert eine eingerichtete ISO 27001 die entsprechenden neuen Maßnahmen sogar ein.