§ 28 BSIG-E benennt zwei Kategorien von Einrichtungen, für die Anforderungen zu erfüllen sind: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.

Damit eine Einrichtung eine besonders wichtige Einrichtung ist, muss ihre Einrichtungsart in Anlage 1 aufgeführt sein. Die Anlage ist umfangreich, aber folgende Sparten gehören u.a. dazu :

Energie, Transport und Verkehr Finanz- und Versicherungswesen, Gesundheit, Wasser, Informationstechnik und Telekommunikation, Weltraum.

Zusätzlich muss die Organisation entweder

• mindestens 250 Mitarbeitende beschäftigen oder
• einen Jahresumsatz von über 50 Mio. Euro und eine Jahresbilanzsumme von
• über 43 Mio. € aufweisen.

Betreiber kritischer Anlagen gemäß BSI-KritisV sind unabhängig von diesen Kriterien immer besonders wichtige Einrichtungen.

Damit eine Einrichtung eine wichtige Einrichtung ist, muss ihre Einrichtungsart in Anlage 1 oder Anlage 2 BSIG-neu aufgeführt sein.  

Zusätzlich muss die Organisation entweder
    mindestens 50 Mitarbeitende beschäftigen oder
    einen Jahresumsatz und eine Jahresbilanzsumme von über 10 Mio. Euro aufweisen.

Bin ich betroffen?

Ob Ihr Unternehmen voraussichtlich unter den Anwendungsbereich der NIS-2-Richtlinie der EU fallen wird, können Sie mit der NIS-2-Betroffenheitsprüfung (Bundesamt für Sicherheit in der Informationstechnik) unverbindlich und selbständig prüfen. Zusätzlich veröffentlicht ist der Entscheidungsbaum, der der NIS-2-Betroffenheitsprüfung zugrunde liegt.

Die im BSIG-E aufgestellten Anforderungen sind grundsätzlich von besonders wichtigen Einrichtungen und wichtigen Einrichtungen gleichermaßen zu erfüllen. Unterschiede ergeben sich in der Bewertung der zu bestimmenden Sicherheitsmaßnahmen.

Betreiber kritischer Anlagen müssen – wie auch bisher im § 8a BSIG-alt – Maßnahmen für Systeme, Komponenten und Prozesse umsetzen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen bzw. Anlagen maßgeblich sind.

Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen Maßnahmen für Systeme, Komponenten und Prozesse umsetzen, die zur Erbringung ihrer Dienste verwendet werden. Eine Einschränkung auf bestimmte Dienste ist nicht erkennbar, daher gehen wir davon aus, dass die Maßnahmen für die gesamte Einrichtung umzusetzen sind.

Die umzusetzenden Sicherheitsmaßnahmen richten sich nach einer Risikoanalyse durch die Einrichtung. „Dabei sind das Ausmaß der Risikoexposition[,] die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“ (§ 30 Abs. 1 Satz 2 BSIG-E)

Um diese Frage beantworten zu können, sollten Sie sich vorerst folgende Fragen stellen:
Was passiert, wenn vertrauliche Dateien / Dokumente meiner Kunden durch eine Schwachstelle auf meinen Systemen veröffentlicht bzw. gehackt wurden? (Zugangs- und Zugriffskontrolle)
Wie lange kann ich auf die wichtigsten Dateien / Programme / Webseiten / Datenbanken / Server verzichten? (Verfügbarkeitskontrolle)
Bin ich vor einer Infektion mit einem Verschlüsselungstrojaner/Ransomware optimal geschützt?

Falls Sie noch nicht mit den Fragen bezüglich des Schutzwertes Ihrer Daten und möglichen Gefährdungen auseinandergesetzt haben, sollten Sie dies dringend nachholen.

Im Rahmen einer Risikoanalyse werden die relevanten Gefährdungen (z. B. Brand, Wassereinbruch, Diebstahl der Server, Hackerangriffe) ermittelt und bewertet. Zu diesem Zweck werden in einer Strukturanalyse u. a.

die Infrastruktur (Gebäude, Serverräume),
die Netzkomponenten (Firewall, Switches, Router) und Verbindungen (Ethernet, Backbone-Technik, Internet- und Remote-Anbindung),
die IT-Systeme (Client, Server, Laptop, Smartphones) und die Anwendungen erfasst.

Auf Grundlage dieser Aufstellung werden dann die relevanten Gefährdungen festgestellt und die Relevanz für das Unternehmen ermittelt.

Gemäß § 30 Abs. 1 BSIG-E müssen die aus der Risikoanalyse erfolgenden Maßnahmen „geeignet, verhältnismäßig und wirksam“ sein. Maßnahmen können technischer oder organisatorischer Art sein. Die Auswahl der Maßnahmen anhand der Risikobetrachtung und ihre Umsetzung muss dokumentiert werden.

Gemäß § 30 Abs. 2 BSIG-E „sollen [sie] den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.“

§ 30 Abs. 2 BSIG-E benennt zehn Themen, die mindestens in Maßnahmen umgesetzt werden müssen. In eigenen Worten sind diese:

• Konzepte für Risikoanalyse und Sicherheit in der Informationstechnik;
• Bewältigung von Sicherheitsvorfällen;
• Backup und Restore, Notfall- und Krisenmanagement;
• Sicherheit der Lieferkette;
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, einschließlich Schwachstellenmanagement;
• Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen;
• grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen;
• Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung;
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen;
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Aus der Risikoanalyse sollte sich ergeben, in welchem Umfang die Maßnahmen durchzuführen sind. Diese werden sich nach Wichtigkeit Ihrer Einrichtung und der „Risikoexposition“ unterscheiden.

1. Benennen Sie zuständige Personen
Suchen, benennen und befähigen Sie mindestens zwei Personen Ihres Unternehmens, eine koordinierende Rolle für die Informationssicherheit zu übernehmen

2. Übernehmen Sie als Leitung die Verantwortung
Bereiten Sie sich als Unternehmensleitung darauf vor, Verantwortung im Bereich Risikomanagement übernehmen zu können und informieren Sie sich über entsprechende Schulungsangebote

Auf der Webseite Management von Cyber-Risiken der Allianz für Cyber-Sicherheit finden Sie ein Handbuch und ein Toolkit für Unternehmensleitungen.

3. Machen Sie eine (erste) Bestandsaufnahme Ihrer Informationssicherheit
Als KMU führen Sie einen CyberRisikoCheck durch.
Informationen finden Sie unter www.cyberrisikocheck.de.
Einen Einstieg bietet der NIS-2  CyberRisikoCheck nach DIN SPEC 27076.
Als großes Unternehmen nehmen Sie bitte professionelle Hilfe in Anspruch.

4. Verbessern Sie Ihre Informationssicherheit kontinuierlich
Beziehen Sie sich dabei auf die unter Welche Maßnahmen müssen mindestens umgesetzt werden? genannten Themen.

5. Bereiten Sie sich auf die Meldepflicht und den Empfang von Warnungen / Lageberichten vor
Eine Meldepflicht für Sicherheitsvorfälle wird kommen. Legen Sie Prozesse und Rollen fest, damit es im Fall der Fälle dann schnell geht.

Vor diesem Hintergrund müssen Unternehmen

• rechtssicher beurteilen, inwieweit sie von den NIS2-Vorgaben betroffen sind,
• sich einen Überblick verschaffen, welche Maßnahmen bereits umgesetzt sind,
• die Umsetzung der Maßnahmen konsequent priorisieren,
• die damit verbundenen finanziellen und personellen Aufwendungen bestimmen,
• die Umsetzbarkeit der Maßnahmen unter Einbeziehung interner und externer Ressourcen, wie etwa Managed Service Providern, gemeinsam sicherstellen,
• Rollen und Verantwortlichkeiten einschließlich Kommunikation unter Einbeziehung interner und externer Ressourcen, wie etwa Managed Service Providern, vollständig definieren und
• alle getroffenen Maßnahmen und Regelungen ausführlich dokumentieren.

Für einen adäquaten Schutz ist zu erörtern, welche Risiken es gibt, welche Bereiche besonders gefährdet sind und wie diese sich bestmöglich schützen lassen. So setzen medizinische Unternehmen die NIS2 zuverlässig um.