NIS-2: Die Verpflichtung der Geschäftsleitung und die Konsequenzen einer Nichteinhaltung
15.07.2024 | NIS-2
NIS-2 macht die Mitglieder der Geschäftsleitung direkt und persönlich für Sicherheitsverletzungen verantwortlich.
Damit soll eine von der Unternehmensleitung ausgehende Cybersicherheitskultur erreicht und Investitionen zur Erhöhung der Cyberresilenz gefördert werden.
Geschäftsleitungen von wesentlichen und wichtigen Einrichtungen müssen
- die Risikomanagement-Maßnahmen für Cybersecurity billigen (d. h. insbesondere auch die damit verbundenen Investitionen zu genehmigen) und
- die Umsetzung in der Einrichtung überwachen. §20(1)
- regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen. §20(3)
Ein proaktiver Ansatz gegen Cyberbedrohungen ist ein wesentlicher Bestandteil!
NIS-2-Compliance
NIS-2 verlangt von Einrichtungen angemessene technische und organisatorische Maßnahmen, um die Sicherheit von Netzwerken und Informationssystemen sowie von Lieferketten und Lieferantenbeziehungen zu gewährleisten. Dazu zählen Maßnahmen zu:
- Vorbeugung und Schutz (Härtung der IT-Systeme, Schulungskonzepte).
- Erkennung und Reaktion (ISMS [Informationssicherheitsmanagementsystem], effektiver Notfallplan).
- Wiederherstellung und Anpassung (Wiederherstellen des Normalbetriebs).
Dies alles eingebettet in den Prozess kontinuierlicher Verbesserung, um die eigene Sicherheitslage regelmäßig zu bewerten und zu verbessern.
Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. Wesentliche Einrichtungen müssen jederzeit mit einer Kontrolle durch das BSI, Bundesamt für Sicherheit in der Informationstechnologie, rechnen.
NIS-2-Governance
„Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von §21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können“. §20(1)
Mit NIS-2 entstehen umfangreiche Sanktionsrisiken durch die nationale Aufsichtsbehörde (BSI). Bei wesentlichen Einrichtungen wird die Wirksamkeit der getroffenen Maßnahmen regelmäßig überprüft werden, bei wichtigen Einrichtungen nur nach Sicherheitsvorfällen. Zum Umfang der NIS-2-Prüfungen zählen gem. §32 (2) und §33 (2) u. a.:
- Nachweise und Tests: Behörden sollen Nachweise erhalten, einsehen und eigene Tests, Audits und Untersuchungen durchführen.
- Random Checks durch Experten (trained professionals).
- Regelmäßige und ad-hoc Security-Audits durch unabhängige Dritte oder Behörden.
- Security Scans.
Mindest-Maßnahmenkatalog nach NIS-2 §21(2)
Für wesentliche und wichtige Einrichtungen wird mit NIS-2 §21(2) ein Mindest-Maßnahmenkatalog verbindlich als „gefahrenübergreifender Ansatz (…), der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen (…)“ erstellt:
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
- Bewältigung von Sicherheitsvorfällen;
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall und Krisenmanagement;
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Management und Offenlegung von Schwachstellen;
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
„Die Mitgliedstaaten stellen sicher, dass eine Einrichtung, die feststellt, dass sie den in §21(2) genannten Maßnahmen nicht nachkommt, unverzüglich alle erforderlichen, angemessenen und verhältnismäßigen Korrekturmaßnahmen ergreift.“ §21(4)
Bei der Auswahl und Umsetzung der Maßnahmen sollen Einrichtungen einen Allgefahrenansatz[1] (all hazards approach) einsetzen[2].
Unmöglich? Dazu eine gute Nachricht: Ein Mapping von NIS-2 auf ISO 27001 erleichtert Einrichtungen die Umsetzung dieser umfangreichen Mindest-Vorgaben.
Meldepflichten
Im Falle eines erheblichen Sicherheitsvorfalls gilt nach §23 für wesentliche und wichtige Einrichtungen ein neuer, vierstufiger Meldeprozess an das BSI:
- Frühe Erstmeldung binnen 24 Stunden
- Aktualisierung der Meldung binnen 72 Stunden mit Bewertung der Erstmeldung (Schwere, Auswirkungen und Kompromittierung)
- Ad-hoc Antworten auf Anfragen des BSI
- Abschlussmeldung binnen eines Monats
Die Meldewege sind noch nicht festgelegt.
Konsequenzen bei Nichteinhaltung
Werden Pflichten der NIS-2-Compliance verletzt, ergibt sich schon allein aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung.
Für Verstöße gegen die Anforderungen von NIS-2 sollen nationale Strafen, Geldbußen und Sanktionen erlassen werden. §34, §35, §36.
Im Rahmen der neuen Verordnung können nationale Behörden bei Verstößen gegen Artikel 21 oder 23 (d. h.: Mindest-Maßnahmen und Meldepflichten) wesentliche Einrichtungen mit einer maximalen Geldbuße in Höhe von 10 Millionen Euro oder 2 % des weltweiten Umsatzes belegen, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen beträgt die maximale Höhe der Geldbußen 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.
Werden Sanktionen erlassen, so müssen diese wirksam, verhältnismäßig und abschreckend sein. §36. Die zuständigen Behörden sollen befugt sein, (…) zu verlangen, dass natürliche Personen die Ausübung von Leitungsaufgaben auf Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters vorübergehend untersagt wird. (NIS-2, Erwägungsgründe 133).
NIS-2-Compliance – Jetzt handeln!
Wir beraten und unterstützen Sie bei der GAP-Analyse, Planung und Umsetzung Ihrer angemessenen und verhältnismäßigen NIS-Compliance.
Unsere praxisbewährten Methoden und erfahrenen Berater erarbeiten mit Ihnen genaue technischen, operativen und organisatorische Maßnahmen, so wie diese für Ihre Einrichtung mindestens notwendig sind.
Ihren Weg zur NIS-2-Compliance begleiten wir von Anfang bis Ende auf Augenhöhe und unterstützen Sie in der Kommunikation mit den Aufsichtsbehörden.
Autor: Dr. Peter Samulat
[1] Berücksichtigung aller denkbaren Gefahrenarten (zum Beispiel Naturgefahren, technologische Gefahren) im Rahmen des Risiko- und Krisenmanagements. Auch Basis für das KRITIS-Dachgesetz.
[2] Quelle: https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
In unserem Blogartikel liegt uns die Gleichberechtigung aller Geschlechter am Herzen. Wir formulieren unsere Blogs stets genderneutral, um alle LeserInnen gleichermaßen anzusprechen und zu inkludieren.