verfasst von: André Glenzer, Partner Cyber Security & Privacy bei PwC Deutschland, und Mailin von Knobelsdorff, Expertin für Cybersicherheit im öffentlichen Sektor bei PwC Deutschland
Hohe Bußgelder, komplexe Vorgaben und strenge Meldepflichten: Mit der 2024 geplanten Umsetzung der europäischen NIS-2-Richtlinie in nationales Recht steigt auf viele Einrichtungen der öffentlichen Verwaltung der Druck, die Cybersicherheit zu stärken. Die neuen Anforderungen bieten betroffenen Organisationen aber auch die Gelegenheit, sich nachhaltig resilienter aufzustellen.
Die Umsetzung der europäischen NIS-2-Richtlinie in nationales Recht beschert Organisationen viele Pflichten. Dadurch werden sie aber auch resilienter.
janews094/stock.adobe.com
Wenn Einrichtungen der öffentlichen Verwaltung von Cyberattacken getroffen werden, kann es mitunter chaotisch zugehen. Webseiten für die Terminvergabe sind nicht mehr erreichbar, wichtige Anträge bleiben liegen und E-Mails laufen ins Leere. Die Wiederherstellung der Systeme dauert oft Wochen und beeinträchtigt damit häufig auch spürbar das öffentliche Leben. In Deutschland erleben wir solche Angriffe jedes Jahr aufs Neue, manchmal sogar mehrere pro Quartal. Die Häufung dieser Vorfälle zeigt, dass gut organisierte Banden von Cyberkriminellen die IT-Abteilungen öffentlicher Organisationen im Wettlauf um die digitale Vorherrschaft vielerorts abgehängt haben.
Mit der Umsetzung der NIS-2-Richtlinie soll sich das ändern. Sie will die Cyber- und Informationssicherheit von Institutionen und Unternehmen stärken sowie entsprechende Risiken abbauen. Bereits im Januar 2023 in Kraft getreten, gilt es nun, die Richtlinie hierzulande bis Oktober 2024 in nationales Recht zu überführen. Der Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS-2UmsuCG, liegt seit Juli 2023 vor und soll den Weg für die neuen Regeln ebnen.
Weite Teile der öffentlichen Verwaltung betroffen
Neben den Betreibern von kritischen Anlagen (KRITIS) kommen in Zukunft auf zwei Gruppen von Organisationen neue Pflichten zu: auf „wichtige“ und „besonders wichtige“ Einrichtungen. Mit der Umsetzung der NIS-2-Richtlinie weitet der Staat den Geltungsbereich bestehender Gesetze grundsätzlich aus. Dazu trägt auch die so genannte „Size Cap“-Regel bei, die als Maßstab zu den bereits bekannten Schwellenwerten hinzukommt. Entscheidend ist dabei die Größe einer Institution oder eines Unternehmens. Organisationen mit mindestens 250 Mitarbeitenden oder einen Jahresumsatz von 50 Millionen Euro und mehr gelten per Definition als besonders wichtige Einrichtungen. Wer mindestens 50 bis 249 Mitarbeitende beschäftigt oder einen Jahresumsatz von bis zu 50 Millionen Euro erzielt, zählt zu den wichtigen Einrichtungen. Organisationen, die weniger als 50 Mitarbeitende beschäftigen, fallen ebenfalls in den Anwendungsbereich der wichtigen Einrichtungen, sobald sie einen Jahresumsatz von 10 bis 50 Millionen Euro erwirtschaften.
Neben bestimmten kommunalen Akteuren wie Stadtwerken und Entsorgungsunternehmen ist auch eine Reihe von Bundeseinrichtungen von NIS 2 betroffen. So müssen sich beispielsweise Behörden und Organisationen, die auf Bundesebene tätig sind, Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen oder IT-Dienstleistungen für die Bundesverwaltung erbringen, an die Richtlinie halten.
Viele Pflichten, hohe Bußgelder
Was auf alle betroffenen Organisationen gleichermaßen zukommt, ist ein proaktives Risikomanagement. Dafür gilt es, technische und organisatorische Maßnahmen zu ergreifen, um Schwachstellen zu identifizieren und die Wahrscheinlichkeit für Cybervorfälle bestmöglich zu reduzieren. Zugleich sind belastbare Ablaufpläne für Sicherheitsvorfälle gefordert, die im Ernstfall ein schnelles Handeln ermöglichen und klare Prozesse für Krisenmanagement, Back-up und Wiederherstellung vorgeben. Häufig kommen technische Anforderungen hinzu, etwa die Implementierung bestimmter Verschlüsselungs- oder Authentifizierungsverfahren.
Die eigenständige Identifizierung und Registrierung von Cybervorfällen sowie Melde- und Unterrichtungspflichten sind ebenfalls für betroffene Unternehmen obligatorisch. So müssen auch bestimmte Einrichtungen der öffentlichen Verwaltung Sicherheitsvorfälle innerhalb der ersten 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. In besonders kritischen Lagen kann das BSI die Behörden dazu auffordern, betroffene Bürgerinnen und Bürger über Vorfälle zu unterrichten. Verstöße gegen die Richtlinie können richtig teuer werden: Bis zu 20 Millionen Euro betragen die möglichen Bußgelder je nach Tatbestand und Jahresumsatz – ausgenommen sind Institutionen der sozialen Sicherung.
Umsetzung gemeinsam angehen
Weil sowohl kleinere Einrichtungen der Daseinsvorsorge auf kommunaler Ebene, aber auch Teile der Bundesverwaltung oft nicht die Ressourcen für eine umfangreiche Transformation haben, sind Synergien der Schlüssel für die Adaption der neuen Vorgaben. Plattformen für den Austausch von Fachwissen, Technologien, Best Practices und Fachpersonal bieten dafür eine ideale Grundlage. Aber auch Weiterbildungsmaßnahmen können in Zusammenarbeit entstehen und somit einen weitaus größeren Effekt als hermetisch geschlossene Schulungen erzielen. So werden aus Pflichten schnell Chancen. Denn das übergeordnete Ziel der NIS-2-Richtlinie ist Resilienz – und in der öffentlichen Verwaltung bedeutet Widerstandsfähigkeit mehr Vertrauen der Bürgerinnen und Bürger.