Cybersecurity-Talk : NIS2: Der Unterschied zwischen „MUSS“ und „KANN“
Herr Bußjäger, diesmal wollen wir uns anschauen, was von der Cybersecurity-Richtlinie NIS2 in Deutschland und Österreich schon umgesetzt wurde, wie sich die Ansätze unterscheiden, und wie es vielleicht besser ginge. Beginnen wir mit der Unterscheidung in 10 „wesentliche“ und 6 „wichtige“ Branchen laut NIS2. Wie ist das in Deutschland rechtlich abgebildet?
Jens Bußjäger: Im ITSiG 2.0 (IT-Sicherheitsgesetz) unterscheiden wir zwischen 10 kritischen Sektoren (KRITIS) und 3 Unternehmensbereichen von besonderem öffentlichem Interesse (UBI). Als Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen benannt, die bei einem Ausfall nachhaltige Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben würden. Dazu gehören Energie, Wasser, Gesundheit, IT/TK, aber auch Transport und Verkehr, Ernährung, Finanz- und Versicherungswesen und neuestens auch Siedlungsabfallentsorgung. Die Sektoren Staat und Verwaltung sowie Medien und Kultur sind auch KRITIS, unterliegen jedoch nicht der Regulierung durch das BSIG. In der NIS 2 Richtlinie sind achtzehn Sektoren definiert, die über diese hinausgehen, sich aber mit den KRITIS-Sektoren und den Unternehmen von besonderem öffentlichem Interesse (UBI) überschneiden. Interessant, auch im Hinblick auf NIS 2 sind die UBI. Hier sind es Hersteller/Entwickler von Gütern im Sinne von § 60 AWV (insb. Wehrtechnik, Verschlusssachen), Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (Wertschöpfung) sowie Betreiber von Betriebsbereichen der oberen Klasse im Sinne der Störfall-Verordnung. Die konkreten Pflichten der UBI sind die Registrierung und Nennung einer Kontaktstelle, Meldepflicht bei Sicherheitsvorfällen sowie die Pflicht zur Selbsterklärung zur IT-Sicherheit.
Wo kam es zu echten Änderungen durch NIS2?
Bußjäger: Die Pflichten der KRITIS Unternehmen sind in der aktuellen in der Kritis-VO zum ITSiG 2.0 definiert. So sind Anlagen zu definierten Dienstleistungen (kDL) der Sektoren genau beschrieben und Schwellenwerten (> 500 Tsd. versorgte Personen) als die Kriterien zur Bestimmung der Pflichten genannt. Hier kommt mit der EU NIS 2 eine erste gravierende Änderung. Die Unternehmensgröße definiert nun die Betroffenheit: Unternehmen und Organisationen der Sektoren mit >50 Mitarbeitern und >10 Mio. EUR Umsatz sind kritisch und müssen reguliert werden. Es kann zukünftig sein, dass die Methodik des ITSig 2.0 (Anlagen und Schwellenwerte) beibehalten und erweitert, oder aber durch die NIS 2 Methodik ergänzt wird. Das ist noch offen. Vorstellbar wäre KRITIS bleiben nach den bestehenden Sektoren und Anlagen und als KRITIS reguliert. Die hinzukommenden Sektoren und Unternehmen werden nach NIS 2 Methodik nach Unternehmensgröße reguliert. Für die UBI bleibt es bei den mit KRITIS-light Pflichten, es werden um die Branchen/Gruppen erweitert oder wie NIS2 behandelt.
Wie gut bildet das die Intention von NIS 2 Ihrer Meinung nach ab?
Bußjäger: Die Änderungen der NIS 2 werden erfüllt werden. Die Herausforderung ist jetzt, für die Unternehmen klare Anforderungen zu formulieren und die Einführung der Änderungen schnell zu erreichen. Es gilt eine robuste Infrastruktur für die Bürger sicherzustellen und zeitgleich die Digitalisierung zu forcieren. Ohne Security geht es da halt nicht.
Herr Lussnig, sind die Deutschen mit dem ITSiG schon weiter als wir beim Schutz der kritischen Infrastruktur, oder täuscht das?
Klaus Lussnig: Absolut. Das ITSiG 2.0 von 2021 hat einige Themen der heutigen NIS 2.0 Richtlinie bereits vorgezogen. Ich meine damit die Erweiterung der KRITIS Sektoren rund um die Siedlungsabfallentsorgung und die UBI (Unternehmen im besonderen öffentlichen Interesse). Die aktuellen Rahmenbedingungen sind im Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (NISG, § 17 (1) bereits vorhanden und für die Betreiber wesentlicher Dienste vorgeschrieben. Zusammen bilden das NISG und die Netz- und Informationssystemsicherheitsverordnung (NISV) einen umfassenden Rechtsrahmen, der die Cybersicherheit für Betreiber kritischer Dienste bzw. kritischer Infrastruktur in Österreich regeln soll.
Reicht das Ihrer Meinung nach schon?
Lussnig: Meiner Meinung nach sollte die Definition: „Sicherheitsvorkehrungen technischer und organisatorischer Art“ in diesem Rechtsrahmen klarer und verbindlicher definiert werden. Sicherheitsvorkehrungen haben laut diesem den „Stand der Technik“ zu berücksichtigen, dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein. Aber was sagt das denn schon aus? In Deutschland wurde daher im ITSig. 2.0 genau definiert, wie diese Sicherheitsvorkehrungen auszusehen haben. In Österreich verlangt der Gesetzgeber Stand der Technik, gibt aber keine Vorgehensweise oder technische Methode zur Angriffserkennung vor. Die Anforderungen sind zu allgemein formuliert. Betreiber wesentlicher Einrichtungen können Empfehlungen mit den Sektorenverbänden im Bereich wesentlicher Dienste vorschlagen, müssten dann aber wiederum vom BMI auf Eignung geprüft werden.
Einzelfallprüfungen kosten wiederum Zeit …
Lussnig: Was bei der allgemeinen Thematik vergessen wird, ist der Zeitfaktor der Umsetzung. und die Abhängigkeit der Industrie von der Versorgung mit Energie und Wasser. Oktober 2024 kommt rasch! Die Ausrichtung an die potenziellen Folgen eines erfolgreichen Cyberangriffes, dass nachhaltige Versorgungsengpässe entstehen oder erhebliche Störungen der öffentlichen Sicherheit folgen, passt doch auch für Österreich. Ich persönlich sehe daher die Anforderung der Einstufung und die Aufforderung zur Umsetzung, eine genauere Definition der Sicherheitsvorkehrungen beim Staat Österreich (so wie in Deutschland) als „MUSS“ – Aufforderung und nicht als „KANN“- Definition.
Sollte Österreich also die deutsche Sektorenaufteilung übernehmen, oder sehen Sie da Lösungen, die der heimischen Situation besser entsprechen?
Lussnig: Ganz klar: Ich sehe die Sektoraufteilung als „MUSS“-Aufforderung des Landes Österreich an die österreichischen Unternehmen und die Kritischen Infrastrukturen. NIS2 reguliert über die Größe eines Unternehmens mittels size cap rules, welche nach mittleren und großen Unternehmen unterscheidet und auch Kleinunternehmen in bestimmten Ausnahmefällen berücksichtigt. Dazu wird noch auf das Level-playing-Field eingegangen, geschaut, ob das Unternehmen seine Leistung in der EU erbringt, zusätzlich noch die Unterscheidung öffentlich und private Einrichtung getroffen und nach Art der Einrichtung nach Spalte 3 von Anhang I & II der Tabelle der wesentlichen oder wichtigen Einrichtungen entschieden. Ist doch eine klare Vorgabe, oder?
Viele Unternehmen oder Betreiber kritischer Infrastrukturen meinen, unter „Kleinunternehmen“ zu fallen und daher von NIS2-Anforderungen ausgenommen zu werden. Stimmt das?
Lussnig: Die Empfehlung der EU-Kommission für ein Kleinunternehmen 2003/361/EG sagt aus, dass ein kleines Unternehmen nur dann „KLEIN“ ist, wenn sie weniger als 50 Personen beschäftigen UND der Jahresumsatz bzw. die Jahresbilanz 10 Mio EUR nicht übersteigt. Viele Unternehmen wissen aber sowieso gar nicht, dass sie – anders als in NIS 1 – jetzt unter NIS 2 fallen. Steinmetze zum Beispiel, durch den Einsatz chemischer Mittel. Unter NIS1 gab es 100 Betreiber wesentliche Dienste, unter NIS 2 werden 5.000 Betreiber erwartet.
Serie über die NIS2-Richtlinie
In der nächsten Folge (AUTlook 3/2023): Das KRITIS-Dachgesetz, der Cyber-Resilience-Act und erste konkrete Umsetzungsbeispiele für Unternehmen.