Anforderungen der NIS-2 an den öffentlichen Sektor

Ihre Expertin für Fragen

Mailin von Knobelsdorff
Manager bei PwC Deutschland
E-Mail

Was die NIS-2 für die öffentliche Verwaltung bedeutet

NIS-2UmsuCG steht für das Gesetz zur Umsetzung der EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union.

Dieses Gesetz zielt darauf ab, die Cybersicherheit zu stärken und kritische Infrastrukturen in Deutschland zu schützen. Dabei schafft es die rechtliche Grundlage, um die Integrität und Sicherheit digitaler Systeme zu gewährleisten und somit die digitale Souveränität unseres Landes zu sichern. Die öffentliche Verwaltung zählt zu den im Referentenentwurf als Einrichtungen der Bundesverwaltung bezeichneten Betroffenen und fällt damit unter die Anforderungen der NIS-2. Damit gilt:

Jede Einrichtung der Bundesverwaltung muss einen Informationssicherheitsbeauftragten oder eine Informationssicherheitsbeauftragte vorweisen sowie Voraussetzungen zur Gewährleistung der Informationssicherheit schaffen.

Pflichten und Sanktionsrisiken

Compliance

Die Informationssicherheitsbeauftragten sind verantwortlich für den Informationssicherheitsprozess sowie die Erstellung eines Konzepts nach BSI IT-Grundschutz und dessen Umsetzung.

Billigungs- und Überwachungs-Pflichten

Zudem agieren Sie als Berater für die Leitung der Einrichtung in allen Belangen der Informationssicherheit und halten die Einrichtungsleitung regelmäßig auf dem Laufenden.

Sanktions-Vorschriften

Im Hinblick auf Sanktionen ist ein Stufenkonzept für Bußgeldtatbestände mit einer Spanne von bis zu 20 Millionen EUR vorgesehen. Ausgenommen sind Institutionen der Sozialen Sicherung.

Keine Haftung der Einrichtungsleitung

Es gilt zu beachten, dass für die Einrichtungsleitung keine Amtshaftung besteht.

Sie haben Fragen?

Kontaktieren Sie uns

Kontakt aufnehmen

Für wen die NIS-2 in der Bundesverwaltung gilt

1. Stellen des Bundes: Dies bezieht sich auf die verschiedenen Behörden und Organisationen, die auf Bundesebene tätig sind.

2. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts: Dies sind rechtliche Entitäten, die vom Staat gegründet oder unterstützt werden und öffentliche Aufgaben wahrnehmen. Sie können verschiedene Formen haben, wie beispielsweise Körperschaften des öffentlichen Rechts, Anstalten des öffentlichen Rechts oder Stiftungen des öffentlichen Rechts.

3. Vereinigungen von Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts: Dies bezieht sich auf Organisationen oder Zusammenschlüsse von öffentlich-rechtlichen Körperschaften, Anstalten und Stiftungen auf Bundesebene.

4. Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und IT-Dienstleistungen für die Bundesverwaltung erbringen: Dies betrifft Unternehmen, die im Besitz des Bundes sind und spezielle IT-Dienstleistungen für die Bundesverwaltung erbringen. Diese Unternehmen spielen eine wichtige Rolle bei der Bereitstellung von Informationstechnologie und Informationssicherheit für die Bundesbehörden.

Diese Definitionen sind im Kontext der Cybersicherheit und des Schutzes von Netz- und Informationssystemen relevant, um sicherzustellen, dass Einrichtungen der Bundesverwaltung angemessene Sicherheitsmaßnahmen ergreifen, um die Integrität und Verfügbarkeit ihrer IT-Systeme zu gewährleisten und Cyberbedrohungen abzuwehren.

Hinweis: Der Öffentliche Sektor kann auch unter die strengeren Anforderungen für besonders wichtige Einrichtungen fallen, dies gilt insbesondere für Betreiber Kritischer Infrastruktur und Bundesministerien.

Risikomanagement

Betroffene Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische sowie organisatorische Maßnahmen zu ergreifen, um Störungen der IT-Sicherheitsziele zu vermeiden. Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und sollen sich am BSI IT-Grundschutz orientieren.

Die NIS-2 in Kombination mit BSI IT-Grundschutz

Das Umsetzungsgesetz zur NIS-2 impliziert einige Aspekte wie die Multi-Faktor-Authentifizierung, die mit den Anforderungen des BSI IT-Grundschutz einhergehen. § 30 Abs.4 Nr. 10 NIS-2UmsuCG des Referentenentwurfs vom Juli 2023 sieht die „Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung“, vor.

Anforderungen der NIS-2 an das Informationssicherheitsmanagement

Die Anforderungen der NIS-2UmsuCG an das Informationssicherheitsmanagement umfassen eine Vielzahl von Pflichten und Verantwortlichkeiten für betroffene Einrichtungen und Anlagen, die unter diese Regelungen fallen. Diese Anforderungen zielen darauf ab, die Informationssicherheit auf höchstem Niveau zu gewährleisten und Risiken im Zusammenhang mit Netz- und Informationssystemen zu minimieren. Im Einzelnen sind folgende Pflichten festgelegt:

Diese Anforderungen sind integraler Bestandteil der NIS-2UmsuCG und tragen dazu bei, die Sicherheit und Integrität von Netz- und Informationssystemen in Deutschland auf höchstem Niveau zu gewährleisten. Die genaue Umsetzung und Einhaltung dieser Anforderungen sind von entscheidender Bedeutung, um die Cybersicherheit in Deutschland zu stärken und Risiken im digitalen Raum zu minimieren.

Registrierung der Einrichtung
Bestellung eines Informationssicherheitsbeauftragten
Gewährleistung der Informationssicherheit
Nachweis der Erfüllung der Anforderungen
Aufbau und Aufrechterhaltung des Informationssicherheitsprozesses
Bestellung eines Koordinators für die Informationssicherheit

Registrierung der Einrichtung

Innerhalb von spätestens 3 Monaten nach dem Inkrafttreten des Gesetzes ist die Registrierung der betroffenen Einrichtung erforderlich. Diese Verpflichtung liegt in der Verantwortung der Einrichtungsleitung. Die Überwachung und Prüfung der Registrierung erfolgt durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Bestellung eines Informationssicherheitsbeauftragten

Die Bestellung eines Informationssicherheitsbeauftragten ist unmittelbar mit dem Inkrafttreten des Gesetzes erforderlich. Die Einrichtungsleitung ist verantwortlich für die Auswahl und Benennung dieser Schlüsselperson. Die Aufgabe des Informationssicherheitsbeauftragten ist von großer Bedeutung, da er oder sie für die Sicherheit der Informationssysteme der Einrichtung verantwortlich ist. Die Tätigkeiten des Informationssicherheitsbeauftragten unterliegen der Überwachung durch die Einrichtungsleitung und die jeweils oberste Bundesbehörde.

Gewährleistung der Informationssicherheit

Die Einrichtung muss die notwendigen Voraussetzungen zur Gewährleistung der Informationssicherheit schaffen. Dazu gehören angemessene finanzielle Ressourcen – 20 % der IT-Ausgaben –, personelle Kapazitäten und Sachmittel. Diese Anforderungen müssen bis spätestens 31. März des auf das Berichtsjahr folgenden Jahres erfüllt sein. Die Verantwortung für die Erfüllung dieser Anforderungen liegt erneut bei der Einrichtungsleitung, während die Überwachung durch die jeweils oberste Bundesbehörde erfolgt.

Nachweis der Erfüllung der Anforderungen

Ein zentraler Punkt ist der Nachweis über die Erfüllung der Anforderungen zur Gewährleistung der Informationssicherheit. Dieser Nachweis muss innerhalb von 2 Jahren nach dem Inkrafttreten des Gesetzes erbracht werden und erfolgt gemäß den Vorgaben des BSI. Auch hier liegt die Verantwortung bei der Einrichtungsleitung, während die Überwachung durch das BSI durchgeführt wird.

Aufbau und Aufrechterhaltung des Informationssicherheitsprozesses

Die betroffene Einrichtung ist verpflichtet, den Informationssicherheitsprozess nach den Vorgaben des BSI IT Grundschutz kontinuierlich aufzubauen und aufrechtzuerhalten. Diese Maßnahme ist entscheidend, um eine robuste Informationssicherheitsinfrastruktur zu gewährleisten. Der Informationssicherheitsbeauftragte ist für den Aufbau und die Aufrechterhaltung dieses Prozesses verantwortlich, wobei die Fachaufsicht des Informationssicherheitsbeauftragten des Ressorts und die Einrichtungsleitung die Umsetzung überwachen.

Bestellung eines Koordinators für die Informationssicherheit

Die Bundesregierung ist dazu verpflichtet, einen Koordinator für die Informationssicherheit zu bestellen. Auch diese Bestellung muss unmittelbar mit dem Inkrafttreten des Gesetzes erfolgen. Die Bundesregierung ist für die Überwachung dieser Bestellung verantwortlich und stellt sicher, dass ein Koordinator für die Informationssicherheit ernannt wird.

Unterschiedliche Akteure des Informations-sicherheitsmanagement

Im Bereich des Informationssicherheitsmanagements in der Bundesverwaltung treten verschiedene Schlüsselakteure in Erscheinung, die jeweils spezifische Verantwortlichkeiten tragen:

1. Koordinator des Informationssicherheitsmanagements des Bundes:
Diese zentrale Figur ist für die übergreifende Koordination und Leitung der Informationssicherheitsbemühungen auf Bundesebene verantwortlich. Ihr Aufgabenfeld erstreckt sich über die gesamte Bundesregierung und umfasst die Entwicklung und Umsetzung von Sicherheitsrichtlinien und -maßnahmen.

2. Informationssicherheitsbeauftragte der Ressorts:
Die Informationssicherheitsbeauftragten der Ministerien und Ressorts spielen eine entscheidende Rolle bei der Sicherung der Informationssysteme innerhalb ihrer Zuständigkeitsbereiche. Sie sind für die Umsetzung von Sicherheitsmaßnahmen, die Schulung des Personals und die Identifizierung von Sicherheitsbedrohungen verantwortlich.

3. Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung:
Diese Beauftragten gewährleisten die Umsetzung der zentralen Informationssicherheitsrichtlinien auf Institutionsebene. Sie stellen sicher, dass die Sicherheitsziele vor Ort erreicht werden und lokale Sicherheitsanforderungen erfüllt werden.

Zusammen bilden diese Akteure ein gut abgestimmtes Netzwerk, das die Informationssicherheit in der Bundesverwaltung auf höchstem Niveau sicherstellt. Ihre enge Zusammenarbeit gewährleistet den Schutz der sensiblen Informationen und digitalen Ressourcen der Bundesrepublik Deutschland.

Hide

Contact us

Mailin von Knobelsdorff

Senior Manager, PwC Germany

E-Mail

Andre Moll

Manager, Cyber Security & Privacy, PwC Germany