HINTERGRUND
Um welche Vorgaben geht es?
Bei der 2024 anstehenden Überführung von EU-Vorgaben in nationales Recht bedingen sich die folgenden Regulierungen gegenseitig:
KRITIS-REGULIERUNG DES BSI
Die KRITIS-Regulierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert, welche Einrichtungen und Anlagen wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit das Funktionieren des Gemeinwe - sens als Kritische Infrastrukturen gelten und bestimmte Verpflichtungen zu erfüllen haben.
KRITIS-DACHGESETZ = UMSETZUNG DER EUROPÄISCHEN CER- BZW. RCE-RICHTLINIE
Die CER-Richtlinie der EU verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren phy - sische Widerstandsfähigkeit gegenüber Bedrohungen zu stärken. In Deutschland wird die CER-Richtlinie mit dem KRITIS-Dachgesetz 2024 umgesetzt. Die KRITIS-Aufsicht liegt beim Bundesamt für Bevölkerungsschutz und Katas - trophenhilfe (BBK). Der Kreis der betroffenen Unternehmen wird gegenüber der KRITIS-Regulierung des BSI unter anderem um die Sektoren IT, Telekommunikation, Finanzen und Versicherungen erweitert. Das KRITIS-Dachgesetz schreibt den Betreibern kritischer Anlagen unter anderem Präventionsmaßnahmen, physische Schutzmaßnahmen, ein Risiko-, Krisen- und Business-Continuity-Management sowie Personalschulungen vor. Die Be - treiber müssen sich selbst identifizieren und registrieren, Planung und Umsetzung der Maßnahmen dem BBK in regel - mäßigen Abständen nachweisen und schwerwiegende Vorfälle unverzüglich an eine Kontaktstelle melden.
NIS-2-UMSETZUNGS- UND CYBERSICHERHEITSSTÄRKUNGSGESETZ (NIS2UMSUCG) = UMSETZUNG DER EUROPÄISCHEN NIS-2-RICHTLINIE
Mit der NIS-2-Richtlinie legt die EU einen Rahmen europäischer Mindeststandards für die Cybersicherheit in der EU fest. Das NIS2UmsuCG überführt 2024 die NIS-2-Richtlinie in die deutsche Gesetzgebung. Das Gesetz ändert die deutsche KRITIS-Regulierung deutlich. Für etwa 30.000 Unternehmen in Deutschland steigen die Cybersecurity- Pflichten, unter anderem hinsichtlich Risikomanagement, Vorfallsmeldungen, technischer Maßnahmen und entspre- chender Behörden. Erweitert wird ebenso die staatliche Aufsicht durch das BSI mittels Registrierungs-, Nachweis- und Meldepflichten. Hinzu treten erweiterte Sanktionsvorschriften mit neuen Tatbeständen und erhöhten Bußgeldern. Der Gesetzgeber veranschlagt den jährlichen Erfüllungsaufwand für die deutschen Unternehmen mit 1,65 Milliarden Euro, hinzu trete ein einmaliger Aufwand von 1,37 Milliarden Euro. Die NIS-2-Richtlinie gilt für Unternehmen (und öffentliche Einrichtungen) der nachfolgenden Branchen bzw. Sektoren mit mindestens 50 Mitarbeitern oder mindestens zehn Millionen Euro Jahresumsatz und Jahresbilanzsumme. Ab dem 18. Oktober 2024 gelten Meldepflichten und Vorgaben zu notwendigen Sicherheitsmaßnahmen. Werden diese nicht eingehalten, drohen hohe Geldstrafen. Die Richtlinie wird aktuell in natio- nales Recht umgesetzt, wobei die Mindeststandards der Richtlinie auch erweitert werden dürfen. Umsetzungsmaßnah- men können und sollten also bereits jetzt auf Grundlage der Richtlinie begonnen werden.
UNTER www.bsi.bund.de/dok/kritis-kompakt können Betriebe erfahren, ob sie von der ab 2024 geltenden Richtlinie betroffen sind.
ANSPRECHPARTNER
Martin Preil