NIS 2: Übergeordnetes EU-Recht

Für die Zukunft setzt Andersson vor allem auf übergeordnete Rechtsgrundlagen wie die ab 2023 gültige NIS-2-Richtlinie der EU, die binnen 21 Monaten in nationales Recht umgesetzt werden muss. Das wird wohl zu einer neuen BSI-KritisV führen, um die schärferen Schwellenwerte einzuführen. Ziel ist ein gleichmäßig hohes Sicherheitsniveau in Kritischen Infrastrukturen in der gesamten EU. NIS 2 definiert 18 KRITIS-Sektoren in zwei Kategorien (wesentliche und wichtige Einrichtungen) und verzichtet auf Schwellenwerte. Die strengeren Vorgaben treffen dann auch mittlere Firmen ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro. „Einige Betreiber sollen unabhängig von der Größe reguliert werden, etwa Teile der digitalen Infrastruktur und öffentliche Verwaltung. Werden all diese Vorgaben umgesetzt, erhöht sich die Zahl der KRITIS-Betreiber in Deutschland von rund 2000 Unternehmen auf mehr als 10.000“, so Kent Andersson. Neben NIS 2 hat die EU auch die „Richtlinie über die Resilienz kritischer Einrichtungen“ (CER-Richtlinie) mit Fokus auf physischer Sicherheit verabschiedet. Sie soll die Widerstandsfähigkeit gegen Bedrohungen wie Naturgefahren, Terroranschläge oder Pandemien stärken.

Auch Holger Berens, Vorstandvorsitzender des Bundesverbands für den Schutz Kritischer Infrastrukturen e. V. (BSKI), begrüßt die neue europaweite Gesetzgebung: „Regulatorisch sind wir jetzt auf einem sehr guten Weg. Wenn etwa NIS 2 hierzulande gilt, fallen auch Verwaltungen von Kommunen oder kleinere KRITIS-Betreiber, die derzeit noch unter den Schwellenwerten liegen, unter das KRITIS-Gesetz. Diese Firmen sind sicherheitstechnisch noch nicht gut aufgestellt. Hier gibt es ein großes Delta zu den Anforderungen – und einen Mangel an Budget und Fachpersonal. Das Problem wird also die Umsetzung sein.“

Die Anforderungen an KRITIS-Betreiber sind alles andere als trivial. „Normale“ Unternehmen denken bei der Planung der Sicherheitssysteme primär betriebswirtschaftlich und evaluieren die Eintrittswahrscheinlichkeit eines Bedrohungsszenarios und dessen Auswirkungen für das Unternehmen selbst. „KRITIS-Betreiber hingegen müssen bei der Risikoanalyse die Auswirkungen auf die Versorgung der Bevölkerung einbeziehen. Daraus ergeben sich deutlich höhere Sicherheitsstandards und tiefgreifendere Maßnahmen“, betont Holger Berens.

Sie müssen etwa Störungen und Angriffe beim BSI melden, ein Information Security Management System (ISMS) aufbauen und Business Continuity Management umsetzen. Ein ISMS verfolgt einen ganzheitlichen Ansatz zur Informationssicherheit: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. So werden notwendige Sicherheitsmaßnahmen systematisch identifiziert, die dem Stand der Technik in der jeweiligen Branche entsprechen.

Ab Mai 2023 sind zudem Systeme der Angriffserkennung wie IDS/IPS (Intrusion-Detection-Systeme/Intrusion- Prevention-Systeme) oder SIEM-Lösungen (Security Information and Event Management) verpflichtend. Die getroffenen Maßnahmen müssen zertifiziert, gegenüber dem BSI nachgewiesen und alle zwei Jahre erneuert werden.

„Prüfungsgrundlagen sind beispielsweise die Norm ISO/IEC 27001 mit IT-Grundschutz oder branchenspezifische Sicherheitsstandards. Bei der Umsetzung sollten die KRITIS-Betreiber genau prüfen, welche Standards für sie sinnvoll sind“, erläutert André Glenzer, Partner und Leiter des KRITIS Center of Excellence bei PwC Deutschland. „Grundsätzlich stehen bei KRITIS die Verfügbarkeit und das Business Continuity Management im Mittelpunkt, um die Versorgungssicherheit der Bevölkerung zu gewährleisten. Daher müssen Firmen auch Maßnahmen umsetzen, bei denen die Kosten nicht im direkten Verhältnis zum wirtschaftlichen Ertrag stehen, da sie unabdingbar sind, um Menschenleben zu schützen.“ Als Beispiel nennt er die Notstromaggregate etwa in Krankenhäusern.