NIS-2-Richtlinie für den digitalen Sektor

Die Geschäftsleitung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen hat eine besondere Verantwortung in Bezug auf das Risikomanagement. Sie muss die ergriffenen Maßnahmen zur Risikominimierung billigen und deren Umsetzung überwachen. Dabei ist es nicht zulässig, Dritte mit dieser Aufgabe zu beauftragen.

Die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen für digitale Infrastrukturen und IT-Dienste ist für die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von drei Monaten, nach Beginn der Wirksamkeit von NIS-2, verantwortlich. Bei Betreibern Kritischer Infrastrukturen ist die Geschäftsleitung dafür verantwortlich, ihre Organisation umgehend zu registrieren. Wird dies versäumt, können hohe Bußgelder drohen.

Gemäß der NIS-2-Richtlinie müssen Einrichtungen für digitale Infrastrukturen und IT-Dienste innerhalb von spätestens vier Jahren nach Inkrafttreten der Richtlinie dem BSI geeignete Maßnahmen durch Audits, Zertifizierungen oder Prüfungen nachweisen. Dieser Nachweis muss im zweijährlichen Rhythmus fortgeführt werden. Das BSI hat die Möglichkeit, die genauen Verfahren zur Nachweisführung konkret festzulegen. Es ist von großer Bedeutung, dass diese Maßnahmen eingehalten und regelmäßig überprüft werden, um die Sicherheit der digitalen Infrastrukturen und IT-Dienste zu gewährleisten.

Kritische, besonders wichtige und wichtige Einrichtungen für digitale Infrastrukturen und IT-Dienstleister, mit Ausnahme der Betreiber von öffentlichen Telekommunikationsnetzwerken, sind verpflichtet, sich an ein 4-stufiges Modell für Meldezeitpunkte zu halten. Im Falle von Sicherheitsvorfällen müssen diese Einrichtungen Meldungen an das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erstatten. Es ist von großer Bedeutung, dass diese Meldepflichten eingehalten werden, um eine effektive Reaktion auf Sicherheitsvorfälle zu gewährleisten und die digitale Infrastruktur sowie die IT-Dienstleistungen zu schützen.

Wesentliche und besonders wichtige Einrichtungen sind verpflichtet, bei erheblichen Sicherheitsvorfällen die Empfangenden ihrer Dienste darüber zu informieren. Dies betrifft insbesondere IT-Dienstleister sowie Einrichtungen für digitale Infrastruktur und Telekommunikation. Um angemessen auf solche Vorfälle zu reagieren, müssen diese Einrichtungen Maßnahmen oder Abhilfemaßnahmen sowohl dem BSI, als auch den Empfangenden ihrer Dienste mitteilen.

Besonders wichtige und wichtige Einrichtungen müssen regelmäßige Schulungen für Geschäftsleitung und Mitarbeitende anbieten. Diese Schulungen dienen dazu, das Bewusstsein für Sicherheitsrisiken zu schärfen und die Kenntnisse im Umgang mit möglichen Angriffen zu verbessern.

Für Betreiber kritischer Anlagen besteht eine Verpflichtung zur Schulung zum Einsatz von Angriffserkennungssystemen. Diese Schulungen sollen sicherstellen, dass die Betreiber in der Lage sind, potenzielle Angriffe frühzeitig zu erkennen und angemessen darauf zu reagieren.

Zusätzlich ist es erforderlich, eine geeignete Kontaktstelle beim BSI zu registrieren. Diese Kontaktstelle soll sicherstellen, dass die betreffende Einrichtung über ausreichendes Fachwissen verfügt, um angemessen auf Sicherheitsvorfälle reagieren zu können. Die Registrierung dient somit der Sicherstellung der fachlichen Eignung der Einrichtung.

Betreibende von Kritischen Infrastrukturen müssen zusätzlich besondere Punkte beachten. Der Einsatz von Systemen zur Angriffserkennung ist relevant, um potenzielle Bedrohungen im laufenden Betrieb frühzeitig zu identifizieren. Diese Systeme ermöglichen es, verdächtige Aktivitäten zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.

Zusätzlich ist es wichtig, geeignete Beseitigungsmaßnahmen zu ergreifen, um die Auswirkungen eines Angriffs zu minimieren und die Sicherheit der Einrichtung zu gewährleisten.

Ein weiterer Teil der Nachweisanforderung beinhaltet die Möglichkeit von ad hoc Prüfungen. Dies bedeutet, dass unangekündigte Überprüfungen durchgeführt werden können, um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen.

Beim erstmaligen Einsatz einer kritischen Komponente ist es erforderlich, dies dem Bundesministerium des Innern (BMI) anzuzeigen. Dadurch wird sichergestellt, dass potenzielle Risiken erkannt werden und angemessen darauf reagiert werden kann. Das BSI hat zudem das Recht, den Einsatz einer solchen Komponente zu untersagen, wenn eine Gefahr von Spionage oder Terrorismus besteht.