Der Countdown zu NIS2 : Diese Pflichten kommen auf die Industrie zu

Naturkatastrophen, Cyberattacken und nicht zuletzt der Angriffskrieg Russlands gegen die Ukraine verdeutlichen die Bedeutung kritischer Infrastrukturen für eine funktionsfähige Gesellschaft und Staat. Mit der NIS2-Richtlinie hat die Europäische Union einen weiteren Schritt in die Widerstandsfähigkeit der Gemeinschaft geschaffen. Die Mitgliedstaten haben nun bis zum Oktober 2024 Zeit, die technischen Entwicklungen zu monitoren und die rechtlichen Anforderungen umzusetzen.

Die NIS2 normiert die Pflicht für Mitgliedsstaaten Cybersicherheitsstrategien zu verabschieden und nationale Reaktionsteams für IT-Sicherheitsvorfälle zu benennen. Es wurden Pflichten zum Austausch von Cybersicherheitsinformationen definiert. Der Fokus auf hohe Schwellenwerte bei der Einordnung kritischer Infrastrukturen entsprach nicht dem Handlungsbedarf. Mit der finalen Fassung der NIS2 ergeben sich zukünftig zahlreiche Änderungen für die Einordnung kritischer Infrastrukturen.

Die Bestimmung der Kritikalität und der kritischen Infrastrukturen birgt Komplexität. Oft wird „das Kritische“ an Infrastrukturen als gegeben vorausgesetzt. Kann eine Infrastruktur unkritisch sein? Mit der Kennzeichnung der Kritikalität wird es genauer, Infrastrukturen als kritisch zu erkennen, während alles reibungslos funktioniert. Oft wird die Kritikalität nur durch eine Störung „sichtbar“. Der risikobasierte Ansatz führt zum Ziel, vermag jedoch erst im Schadensfall Gewissheit bringen. Somit wird die solide Risikoanalyse im Prozess gefordert.

Die aktuell genannten Sektoren mussten durch die zunehmende Digitalisierung angepasst werden. Nun kommen wesentliche und wichtige Einrichtungen hinzu: Bei den wesentlichen Einrichtungen wird die Abwasserwirtschaft, die Verwaltung von IKT-Diensten, die öffentliche Verwaltung und der Sektor Weltraum als kritisch definiert; neu dazugekommen ist der Teilsektor Wasserstoff. In den Sektoren der Gesundheit und der digitalen Infrastruktur sind bisher nicht erfasste Einrichtungen benannt.

Weitere Sektoren, die den wichtigen Einrichtungen zugeordnet werden sind Post- und Kurierdiensten, der Abfallbewirtschaftung, der Produktion, Herstellung und dem Handel mit chemischen Stoffen, der Vertrieb von Lebensmitteln, das verarbeitende Gewerbe, Anbieter digitaler Dienste sowie Forschung. Unklarer sind die Anforderungen im Sektor der öffentlichen Verwaltungen, Sicherheitsbehörden mit Justiz, Parlamenten und Zentralbanken.

Zwischen „wesentlichen“ und „wichtigen“ Einrichtungen gibt es ein Rangverhältnis: Dieses ist abhängig vom „Grad der Kritikalität des Sektors [...] sowie dem Grad der Abhängigkeit anderer Sektoren.“ Die NIS2 fokussiert somit erstmalig eine systemische Kritikalität. Zwischen den wesentlichen und wichtigen Einrichtungen besteht kein Unterschied hinsichtlich der Risikomanagementanforderungen und Meldepflichten, jedoch beim Aufsichts- und Sanktionsregime. Wesentliche Einrichtungen haben deutlich mehr Aufsichtsmaßnahmen zu erfüllen.

Als einziges Kriterium für das Überschreiten einer Kritikalitätsschwelle dient nun die unionsrechtliche KMU-Definition. Nach Art. 2 der europäischen KMU-Definition liegt die Grenze bei 50 Mitarbeitern oder einem Jahresumsatz oder einer Jahresbilanz ab 10. Mio. Euro. Im ländlichen Raum, auch aufgrund zunehmender Automatisierung, könnten kritische Infrastrukturen durchs Raster fallen.

Auch wenn oft das Verhältnismässigkeitsprinzip für kleiner Organisation von kritischen Infrastrukturen und Aufwendungen zu Cybersicherheit diskutiert werden, die Notwendigkeit staatlicher Beteiligung ist hier oft das Indiz, dass ein wirtschaftlicher Betrieb nicht möglich ist. Die betroffenen, oft ländlich geprägten, Regionen würde ein Ausfall der Infrastruktur besonders hart treffen. Die Anforderungen an ausreichende IT-Sicherheit ist somit verhältnismäßig. So hilft die Bestimmung der systemisch erfassten Kritikalität auch hier.

Für die anstehende Überarbeitung des NIS-Gesetz wird es zu massiven Ausweitungen bei IT- Sicherheitspflichten kommen. Die NIS2 wird die von Risikomanagementanforderungen und Meldungen betroffenen Organisationen ausweiten. Es ist zu begrüßen, dass große Teile der öffentlichen Verwaltung künftig zu kritischen Infrastrukturen zählen und mit der Wahl der KMU-Definition können kritische Infrastrukturen systematisch und umfassend identifizieren werden. Es besteht die Chance eine gute Antwort darauf zu finden, was an kritischen Infrastrukturen genau kritisch ist, somit die Cybersicherheit und folgend die Verfügbarkeit der Versorgung abzusichern.