Skip to main content

KRITIS vor dem Hintergrund europäischer Gesetztgebungsinitiativen

KRITIS

KRITIS vor dem Hintergrund europäischer Gesetzgebungsinitiativen

Mit verschiedenen Initiativen zwingt der europäische Gesetzgeber einen immer größer werdenden Unternehmenskreis sich mit Regularien zu Datenschutz und Datensicherheit zu befassen. Hier ein Überblick über den aktuellen Stand.

BSIG und KritisV
Mit dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in seiner aktuellen Fassung vom 23.Juni.2021 hat der deutsche Gesetzgeber den rechtliche Rahmen für das Wirken des Bundesamtes für Sicherheit in der Informationstechnik vorgegeben. Ein wesentliches Ziel ist die Sicherheit in der Informationstechnik Kritischer Infrastrukturen gemäß § 8a. Die Kriterien für die Einordnung eines Unternehmens als Betreiber Kritischer Infrastrukturen sind in den Anhängen der BSI-KritisV hinterlegt. Auf eine möglichst kurze Formel gebracht ist ein Unternehmen Betreiber Kritischer Infrastrukturen wenn es etwa 500.000 Mitbütgerinnen und Mitbürger mit Leistungen in einem der von der BSI definierten 10 Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen, Siedlungsabfallentsorgung oder Staat und Verwaltung versorgt. Ist der Gesetzgeber anfangs von einer Zahl von etwa 2000 betroffenen Unternehmen ausgegangen könnte sich diese signifikant erhöhen, wenn in absehbarer Zeit der europäische Gesetzgeber die NIS2 (Directive on Security of Network and Information Systems), die RCE (Directive on the resilience of critical entities) sowie die DORA (Regulation on Digital Operational Resilience for the financial sector) beschließt. Last but not least erarbeitet die EU den Cyber Resilience Act welcher sich mit Sicherheitsapsekten von Hardware- und Software-Produkten beschäftigt. All diese Gesetzgebungsvorhaben befassen sich mit der Datensicherheit und lassen den Bereich des Datenschutzes unberücksichtigt, welcher in der GDPR (General Data Protection Regulation) beziehungsweise in der deutschen Entsprechung DSGVO (Datenschutz-Grundverordnung) Niederschlag findet und unabhängig einschlägig ist.

NIS2
Die NIS2 bildet das Fundament für RCE und DORA. Nachdem in Artikel 2 die Kriterien für die Auswahl der betroffenen Unternehmen festgelelgt werden definieren die folgenden Artikel maßgeblich die Zusammenarbeit der europäischen und nationalen Behörden. Hierbei geht es um die Bestimmung sogenannter competent authorities, single point of contacts und CSIRTs, also die Aufsichtsbehörden, die nationalen Kontaktstellen und Cyber Security Incedent Response Teams, sowie deren Kooperation mit der ENISA als europäische Dachorganisation. Ab Artikel 17 werden die durch die betroffenen Unternehmen umzusetzenden Maßnahmen zusammengestellt, zum Beispiel die betriebsinterne Governance sowie das Cybersecurity Risk Management in Artikel 17 und 18 oder Meldepflichten in Artikel 20.
Gemäß Artikel 2 soll die NIS2 für alle großen und mittleren Unternehmen nach EU Klassifizierung (2003/361/EC, Anhang, Artikel 2) gelten, die in den genannten Sektoren tätig sind, wobei ein mittleres Unternehmen mehr als 50 Mitarbeiter beschäftigt sowie €43mio Bilanzvolumen oder €10mio bis €50mio Jahresumsatz ausweist. Zieht man eine Studie von Statista mit Zahlen aus 2020 heran, trifft dies anhand der zugrunde gelegten Mitarbeiterzahl auf bis zu 90.000 Unternehmen in Deutschland zu, immerhin noch knapp 30.000 wenn auch nur 30% dieser Unternehmen in den definierten Sektoren tätig sind und einen Umsatz von über €10mio per Anno erwirtschaften. Für diese Unternehmen ändern sich ein paar wesentliche Punkte hinsichtlich Ihrer IT-Sicherheitsmaßnahmen.

Erweiterte Meldepflichten bei Sicherheitsvorfällen, siehe Artikel 20
Ergreifen von "geeigneten und verhältnismäßigen technischen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen bei der Erbringung ihrer Dienste nutzen, zu beherrschen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist.
Nachweispflicht über die Einhaltung der einschlägigen Anforderungen zum Datensicherheit.

Artikel 25 legt fest, daß die ENISA ein Register der betroffenen Unternehmen führt. Es ist aber nicht festgelegt, wie die Unternehmen erfasst werden. Es ist daher aktuell davon auszugehen, dass die Unternehmen sich selbst bei der ENISA melden müssen wenn nicht die BSI in Zukunft andere Regelungen nachliefert.
Artikel 33 überläßt es den nationalen Gesetzgebern Sanktionen festzulegen, die "wirksam, verhältnismäßig und abschreckend sein" sollen. Es steht zu vermuten, daß sich der Gesetzgeber am Saktions-Regime der DSGVO orientiert.

RCE
mit Einführung der RCE ändert sich die Systematik der Identifikation relevanter Unternehmen. Galten bisher die in der KritisV aufgestellten sektorspezifischen Schwellwerte so kommt mit der RCE ein in Artikel 4 definierter Mechanismus zum tragen der über die Aufstellung kritischer Dienste und deren Risikobewertung auf als kritisch einzustufende Unternehmen gemäß Artikel 5 und 7 schließen lässt, die für die Aufrechterhaltung dieser Dienste erforderlich sind. Nach einer abschließenden Risikobewertung gemäß Artikel 10 durch die Unternehmen selbst erfolgt dann die Umsetzung der erforderlichen Resilienzmaßnahmen, Artikel 11. Sollte sich ergeben, daß ein Unternehmen in mehr als einem Drittel der EU Mitgliedsländer kritische Dienste erbringt, was sicherlich nur für wenige gilt, wird diese, wie in Artikel 14 definiert, einer besonderen Aufsicht durch europäische Behörden unterworfen.

DORA
Eine genauere Betrachtung der DORA würde diesen Rahmen sprengen. Festzuhalten bleibt, dass die BaFin mit der MaRisk und MaGo sowie den daraus abgeleiteten BAIT und VAIT umfangreiche Regelungen zum IT Betrieb vorhält. Wichtig bleibt festzuhalten, daß Artikel 2 den Geltungsbereich auf alle Unternehmen des Finanzdienstleistungssektors einschließlich Versucherungsvermittler in Nebentätigkeit ausdehnt und IKT Drittanbieter einschließt.

Für eine finale Bewertung ist der Abschluß des Gesetzgebungsverfahrens abzuwarten. Zu erwarten ist,

daß mit der NIS2 die Erweiterung der Zielgruppe kommen wird, für die die Umsetzung geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen gefordert werden, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen bei der Erbringung ihrer Dienste nutzen, zu beherrschen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist.

der Gesetzgeber seinem Vorhaben, wie schon bei der GDPR (DSGVO), erhebliche finanzielle Sanktionsandrohungen an die Seite stellt.

die Aufsicht bei den nationalen Behörden, in Deutschland BSI und BaFin verbleibt.

Es bleibt abzuwarten, welche Anpassungen die deutschen Aufsichtsbehörden nach Abschluß des Rechtsgebungsverfahrens einführen werden. Mit der Novelle des BSIG und der KritisV in 2021 hat der deutsche Gesetzgeber einige Anpassungen vorweggenommen. Unklar bleibt auch, welche technischen und organisatorischen Maßnahmen als angemessen angesehen werden. Den von der NIS2 betroffen Unternehmen ist zu empfehlen, die Anlehnung and den IT-Grundschutz der BSI, gegebenenfalls eine ISO27001 Zertifiziereung auf Basis IT-Grundschutz zu erwägen. Generell sind die Vorhaben vor dem Hintergrund zunehmender internationaler Spannungen und der "Professionalisierung" der Hacker-Szene zu begrüßen. Allen Unternehmen, die gegebenenfalls von den neuen Regelungen betroffen sein könnten, muss empfohlen werden die aktuellen Entwicklungen zu beobachten und sich entsprechend vorzubereiten. Vieles deutet darauf hin, daß die Gesetzgebungsverfahren zum Jahresende abgeschlossen werden.

Quellen:

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV)
RICHTLINIE über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie 2016/1148/EC (NIS2)
RICHTLINIE über die Resilienz kritischer Einrichtungen
VERORDNUNG über die Betriebsstabilität digitaler Systeme des Finanzsektors und zur Änderung der Verordnungen Nr. 1060/2009/EC, Nr. 648/2012/EC, Nr. 600/2014/EC, Nr. 909/2014/EC und (EU) 2016/1011
Bankaufsichtliche Anforderungen an die IT, BAIT
Versicherungsaufsichtliche Anforderungen an die IT, VAIT