Mit der zunehmenden Digitalisierung und den damit verbundenen Risiken für die Informationssicherheit werden Unternehmen und Organisationen in Deutschland und Europa mit immer strengeren gesetzlichen Anforderungen konfrontiert. Zwei zentrale Regelwerke sind dabei die NIS 2-Richtlinie der EU und das deutsche KRITIS-Dachgesetz.
Wofür gilt die NIS 2-Richtlinie?
Die NIS 2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Vorgabe, die die Cybersicherheit von sogenannten „systemrelevanten“ und „wichtigen“ Einrichtungen verbessern soll. Sie verpflichtet Unternehmen und Organisationen aus bestimmten für das öffentliche Leben besonders wichtige Sektoren. u. a. Energie, Wasser und Telekommunikation, umfangreiche Maßnahmen zur IT-Sicherheit zu ergreifen und Cybervorfälle zu melden.
Zu den Pflichten gehören: Umsetzung von Maßnahmen zur Cybersicherheit, Vorfallsmeldung, Risikomanagement und regelmäßige Überprüfungen.
Wofür gilt das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz (Gesetz zur Umsetzung der EU-Richtlinie zur Resilienz kritischer Einrichtungen) ist die nationale Umsetzung der EU-Resilienzrichtlinie (CER-Richtlinie) und ergänzt die NIS 2-Richtlinie. Es zielt darauf ab, die physische und organisatorische Widerstandsfähigkeit („Resilienz“) von besonders wichtigen Infrastrukturen in Deutschland zu stärken.
Das Gesetz gilt für Betreiber kritischer Infrastrukturen (KRITIS) in Deutschland. Ab einem gewissen Schwellenwert, abhängig von Größe, Bedeutung oder Funktionalität der Einrichtung zählen Einrichtungen und Unternehmen zur KRITIS – Details werden in Verordnungen festgelegt. Zu den Pflichten der KRITIS gehörten dann: Schutz vor physischen und hybriden Bedrohungen, Notfallpläne, Risikoanalysen, Zusammenarbeit mit Behörden/Meldepflichten.
Zielsetzungen
Sowohl die NIS 2-Richtlinie als auch das KRITIS-Dachgesetz verfolgen das Ziel, die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen zu erhöhen. Während NIS 2 den Fokus auf die digitale und IT-bezogene Sicherheit legt, adressiert das KRITIS-Dachgesetz die physische und organisatorische Resilienz. In der Praxis müssen viele Unternehmen und Organisationen beide Regelwerke beachten und umsetzen.
Kritikpunkte
Kritik an der NIS 2-Richtlinie und KRITIS-Dachgesetz bezieht sich insbesondere auf die Komplexität der Umsetzung und den hohen administrativen Aufwand für Unternehmen. Viele Organisationen bemängeln, dass die Anforderungen sehr detailliert und teilweise unklar formuliert sind, was Unsicherheiten bei der praktischen Anwendung verursacht. Zudem wird kritisiert, dass kleine und mittlere Unternehmen (KMU) durch die erweiterten Pflichten teilweise überfordert werden könnten, insbesondere was die Durchführung von Risikoanalysen und die Umsetzung umfangreicher IT-Sicherheitsmaßnahmen betrifft.
Stichwort: Netzbetreiber
Vor allem von Energie- und Wasserversorgungsunternehmen bzw. Netzbetreibern kommt Kritik. Fachleute sagen, dass die gesetzlichen Vorgaben zu allgemein gehalten sind und nicht genug auf die besonderen Risiken und Eigenschaften der einzelnen Branchen eingehen. Das Problem ist, dass sehr unterschiedliche Unternehmen mit verschiedenen Strukturen und Technologien derzeit noch nach denselben Regeln bewertet werden, da branchenspezifische Ergänzungen fehlen. Dadurch wird es schwieriger, die Vorgaben in der Praxis umzusetzen, und es herrscht Unsicherheit, wie die Anforderungen genau zu erfüllen sind.
Gerade in der Energiebranche gibt es spezielle Risiken, zum Beispiel in Bezug auf die Versorgungssicherheit, die Stabilität der Netze und den Schutz vor Angriffen auf Steuerungssysteme. Zudem ist es unmöglich, alle Mastenleitungen, Umspannwerke oder auch Gastransportinfrastrukturen gleichermaßen zu schützen – so gibt es mehrere Millionen Kilometer Leitungen aller Art. Auch der Sektor Wasserwirtschaft steht vor besonderen Herausforderungen wie dem Schutz vor Sabotage, biologischen und chemischen Gefahrenstoffen sowie der Gewährleistung einer kontinuierlichen Trinkwasserversorgung. Diese branchenspezifischen Risiken verlangen nach differenzierten und klar adressierten Schutzmaßnahmen, die den betrieblichen Abläufen, der Netzstruktur und den eingesetzten Technologien Rechnung tragen.
Zur Erhöhung der Wirksamkeit und Praxistauglichkeit des KRITIS-Dachgesetzes wird daher empfohlen, die branchenspezifischen Risiken und Prozesse stärker zu berücksichtigen. Nur durch eine solche differenzierte und praxisnahe Ausgestaltung kann die Resilienz kritischer Infrastrukturen in diesen sensiblen Sektoren wirksam gestärkt werden.
Und Fernmeldenetze?
Fernmeldenetzbetreiber werden im aktuellen Entwurf des KRITIS-Dachgesetzes nicht explizit aufgeführt, weil für sie bereits spezifische sektorale Regelungen existieren, insbesondere im Rahmen des Telekommunikationsgesetzes (TKG) und der NIS 2-Richtlinie. Diese Gesetze und Richtlinien adressieren die Anforderungen an die Sicherheit und Resilienz von Telekommunikationsinfrastrukturen und enthalten bereits umfangreiche Vorgaben zu Meldepflichten, Schutzmaßnahmen und Risikomanagement. Die bereits bestehenden branchenspezifischen Regelungen für Fernmeldenetzbetreiber gelten weiterhin und werden durch das KRITIS-Dachgesetz nicht ersetzt oder erweitert.
Markus Heinrich, Rechtsanwalt und Justiziar des VST-KRITIS:
Deutschland hat kein Erkenntnis-, sondern ein Umsetzungsproblem: Solange es zwischen Behörden und Unternehmen keine Klarheit über Zuständigkeiten gibt, bleibt die Sicherheit unserer kritischen Infrastrukturen ein Wunschtraum. Denn woran fehlt es wirklich? Angesichts einer zunehmend angespannten Sicherheitslage in Deutschland durch innere und äußere Bedrohungen mangelt es aktuell vor allem an einer umfassenden, sektorenübergreifenden Koordination und einem effizienten Krisenmanagement, das alle kritischen Infrastrukturen einschließt. Es mangelt an klaren, einheitlichen Vorgaben für die Zusammenarbeit zwischen Behörden, Unternehmen und Organisationen, insbesondere im Bereich der Prävention, Detektion und Reaktion auf komplexe Bedrohungslagen. Zudem fehlt vielfach eine ausreichende Einbindung der Bevölkerung in Krisenvorsorge und -kommunikation, um die Resilienz der Gesellschaft insgesamt zu stärken.“
Justizieriat des VST-KRITIS >>>