Welche Unternehmen müssen sich zum NIS zertifizieren und bis wann?

Geschrieben von Laura Stöhr, veröffentlicht am 05.02.2024

NIS2-Zertifizierung in Deutschland: Ab 2024 tritt das Gesetz zur Implementierung der EU-Richtlinie NIS2 und zur Stärkung der Cybersicherheit (NIS2UmsuCG) in Kraft. Es integriert die EU-weiten Mindeststandards für Cybersicherheit gemäß der Richtlinie über Netz- und Informationssicherheit (NIS2) in die deutsche Gesetzgebung. Derzeit befindet sich der Gesetzesentwurf in der Form eines Referentenentwurfs und muss bis Oktober 2024 den bundesweiten Gesetzgebungsprozess durchlaufen.

Welche Änderungen werden erwartet?

Das Gesetz zur Umsetzung der NIS2 bringt dabei bedeutende Veränderungen in der deutschen Regulierung mit sich. Es betrifft nicht nur die Betreiber kritischer Infrastrukturen, sondern führt auch besonders wichtige Einrichtungen ein.

Die Sicherheitsmaßnahmen für diese Unternehmen werden umfassender und vertiefter gestaltet. Dabei werden unter anderem Aspekte wie Risikomanagement, Vorfallsmeldungen, technische Schutzmaßnahmen und Governance verstärkt berücksichtigt.

Darüber hinaus werden auch staatliche Befugnisse durch die Einführung von Registrierungspflichten, Nachweisverfahren, Meldepflichten und verbindlichem Informationsaustausch erweitert.

Die Sanktionen erfahren ebenfalls eine Verschärfung durch neue Bußgeldtatbestände und erhöhte Geldstrafen im Bereich von 100.000 bis 20 Millionen Euro. Diese können teilweise von weltweiten Umsätzen der betroffenen Unternehmen abhängig sein.

Pflichten zur Zertifizierung

Es ist bisher jedoch noch nicht klar, wie genau die EU, das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder entsprechende Verbände die Maßnahmen gemäß NIS2 konkretisieren werden. Es steht jedoch fest, dass Betreiber in regelmäßigen Abständen dem BSI nachweisen müssen, dass sie die NIS2-Vorschriften einhalten und umsetzen.

Nach dem aktuellen Stand müssen Betreiber von kritischen Anlagen alle drei Jahre vor dem BSI Nachweise für ihre Maßnahmen und Angriffserkennung durch Audits, Prüfungen oder Zertifizierungen erbringen. Besonders wichtige Einrichtungen sollen zusätzlich dazu verpflichtet sein, angemessene, ausgewogene und effektive technische sowie organisatorische Maßnahmen umzusetzen. Diese sollen dazu dienen, die IT-Systeme und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren.

Die erforderlichen Maßnahmen sollten auf einem umfassenden Ansatz basieren, der verschiedene Gefahren berücksichtigt und dabei europäische sowie internationale Normen in Betracht zieht. Zu den Mindestanforderungen gehören die folgenden Themen:

• Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
• Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleistersicherheit
• Sicherheit in der Entwicklung, Beschaffung und Wartung
• Management von Schwachstellen
• Bewertung der Effektivität von Cybersicherheit und Risikomanagement
• Schulungen zu Cybersicherheit und Cyberhygiene
• Kryptografie und Verschlüsselung
• Personalsicherheit, Zugriffskontrolle und Anlagenmanagement
• Mehrfaktorauthentifizierung und kontinuierliche Authentifizierung
• Sichere Kommunikation (Sprach-, Video- und Textkommunikation)
• Sichere Notfallkommunikation

Bisher gibt es jedoch noch keine offiziellen Ableitungen an bestehende Cybersecurity-Standards wie ISO 27001 oder C5, die die NIS2-Maßnahmen in konkrete Rahmenwerke integrieren. Es scheint jedoch, dass vorhandene Zertifizierungen für Informationssicherheitsmanagementsysteme (ISMS) aller Voraussicht nach nicht automatisch ausreichend für die Anforderungen von NIS2 sind. Der Geltungsbereich von NIS2 könnte über die bestehenden Zertifikate hinausgehen, da die genannten Maßnahmen teilweise tiefer und weiter reichen als übliche Rahmenwerke.

Fazit

Insgesamt ist die NIS-Zertifizierung in Deutschland von großer Bedeutung, um die Cybersicherheit zu stärken und die digitale Infrastruktur des Landes vor Cyberbedrohungen zu schützen. Ein vierter Referentenentwurf der NIS2-Umsetzung ist jedoch noch abzuwarten. Bis dahin sollten Unternehmen, die als Betreiber wesentlicher Dienste oder als digitale Dienstleister eingestuft sind, die spezifischen Vorschriften und Fristen in ihrem jeweiligen Sektor und Bundesland sorgfältig prüfen und die erforderlichen Maßnahmen zur Sicherung ihrer IT-Systeme und Netzwerke rechtzeitig ergreifen.