NIS-2-Richtlinie: Teil 2 – Risikomanagement-Maßnahmen oder was jetzt zu tun ist

Fällt ein Unternehmen in den Anwendungsbereich der NIS-2-Richtlinie / des BSIG (siehe bereits NIS-2-Richtlinie: Teil 1 – Einführung und Status der Umsetzung) müssen sie bestimmte Mindest-Risikomanagementmaßnahmen (siehe nachfolgend „Risikomanagementmaßnahmen“) im Hinblick auf die IT-Sicherheit und die Cyberresilienz umsetzen und haben zudem weitere Pflichten (siehe nachfolgend „Sonstige Pflichten“).

Hinweis: Die nachfolgende Darstellung kann lediglich einen groben Überblick zu den wichtigsten Pflichten der Einrichtungen bieten. Im Einzelfall können sich je nach Sektor und Einrichtungsart abweichende – auch risikobasierte – Besonderheiten ergeben. Aktuell arbeiten wir im Rahmen unserer Legal Tech Tools an einem Workflow zu einfachen Bestimmung, ob ein Unternehmen unter das BSIG / die NIS-2-Richtlinie fällt und welche Pflichten sich daraus konkreter ergeben. Sprechen Sie uns gerne darauf an. Gerne beraten wir auch einzelfallbezogen.

Überblick

Riskomanagementpflichten im Überblick

Risikomanagementpflichten

Alle Einrichtungskategorien (ausführlich zu den Einrichtungskategorien siehe bereits „NIS-2-Richtlinie: Teil 1 – Einführung und Status der Umsetzung„) werden durch die NIS-2-Richtlinie / das BSIG auf ein adäquates Risikomanagement zur Implementierung geeigneter, verhältnismäßiger und wirksamer technischer und organisatorischer Maßnahmen (TOMs) verpflichtet.

Risikomanagement

Hinweis: Für die ordnungsgemäße Umsetzung dieser Risikomanagementpflicht hat die Einrichtung umfassende Dokumentationspflichten. Zwar besteht keine explizite Pflicht zum Führen eines Risikomanagementsystems, faktisch wird das Führen eines solchen aber aufgrund der umfassenden Nachweispflichten erforderlich sein.

Sonstige Pflichten

Neben der zentralen Pflicht, Mindest-Risikomanagementmaßnahmen zu implementieren, haben besonders wichtige und wichtige Einrichtungen auch Meldepflichten bei erheblichen Sicherheitsvorfällen sowie Registrierungspflichten:

Meldung von erheblichen Sicherheitsvorfällen

Die NIS-2-Richtlinie führt für erhebliche Sicherheitsvorfällen* Meldepflichten für alle Einrichtungskategorien gegenüber dem BSI sowie unter Umständen gegebenenfalls auch Unterrichtungspflichten gegenüber betroffenen Empfängern und / oder der Öffentlichkeit ein.  Betreiber kritischer Anlagen müssen zusätzliche Angaben zu Vorfall und Auswirkungen machen (§ 32 Abs. 3 BSIG n.F.).

*Ein Sicherheitsvorfall ist nach § 2 Nr. 40 BSIG n.F. (Art. 6 Nr. 6 NIS-2-Richtlinie)

„ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt“.  

Erheblich ist ein Sicherheitsvorfall nach § 2 Nr. 11 BSIG n.F. (Art. 23 Abs. 3 NIS-2-Richtlinie), der

  1. „schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder
  2.  andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

sofern durch die Rechtsverordnung nach § 56 Absatz 5 keine konkretisierende Begriffsbestimmung erfolgt.“

Die Meldungen erfolgen – in der Regel – in drei Stufen (im Falle einer etwaigen Zwischenmeldung in vier Stufen). An die Stufen sind kurze Fristen geknüpft:

Registrierungspflichten

Betreiber aller Einrichtungskategorien trifft zudem allgemeine eine Registrierungspflicht innerhalb von drei Monaten nachdem sie erstmals oder erneut als eine besonders wichtige oder wichtige Einrichtungen gelten. Diese Pflicht umfasst mindestens die folgenden Angaben:

  1. Name der Einrichtung, einschließlich der Rechtsform und falls einschlägig der Handelsregisternummer,
  2. Anschrift und aktuelle Kontaktdaten, einschließlich ©-Adresse, öffentliche IP-Adressbereiche und Telefonnummern,
  3. relevanter Sektor nach Anlage 1 oder 2 BSIG oder, falls einschlägig, die konkrete Branche,
  4. Auflistung derjenigen Mitgliedstaaten der EU, in denen die Einrichtung Dienste der in Anlage 1 oder 2 BSIG genannten Einrichtungsarten erbringt, und
  5. die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder.

Betreiber kritischer Anlagen müssen zudem Angaben

  • zur kritischen Dienstleistung,
  • der öffentlichen IP-Adressbereiche der von ihnen betriebenen Anlagen,
  • die für die von ihnen betriebenen kritischen Anlagen ermittelte Anlagenkategorie und ermittelte Versorgungskennzahlen gemäß der nach § 56 Abs. 4 BSIG erlassenen Rechtsverordnung,
  • den Standort der Anlagen und
  • eine Kontaktstelle übermitteln, über die sie auch jederzeit erreichbar sind,

übermitteln.

Hinweis – besondere Registrierungspflicht: DNS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider sowie für Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke werden nach Art. 27 Abs. 1 NIS-2-Richtlinie durch die ENISA in einem Register für Einrichtungen erfasst. Zu diesem Zweck müssen die vorgenannten Einrichtungen beim BSI weitere Angaben registrieren.

Verstöße

Verstöße gegen die Pflichten können sämtlich mit hohen Bußgeldern sanktioniert werden. Geschäftsleitungen (Vorstand und Geschäftsführer) sind für die Umsetzung der Mindest-Risikomanagentmaßnahmen persönlich verantwortlich.