Im jüngsten Entwurf zur Umsetzung der EU-NIS2-Richtlinie ist festgelegt, dass bei der Einstufung von Organisationen als „wichtig“ oder „besonders wichtig“ lediglich deren Haupttätigkeiten maßgeblich sind. Randbereiche oder unwesentliche Nebengeschäfte sollen bei dieser Bewertung außer Acht gelassen werden. Dies soll verhindern, dass Institutionen wegen marginaler Tätigkeitsfelder unter umfangreiche Sicherheitsauflagen fallen.
In vielen anderen, vergleichbaren Szenarien (wie beim Datenschutz) findet man in der Rechtsprechung die Bemessung von „unwesentlich“ mit einem Prozentsatz von 1% angesetzt. Neu ist also bei der Prüfung auf „Betroffenheit“: Liegen die Umsätze in #NIS2 relevanten Produktkategorien im Vergleich zum Gesamt-Umsatz unter 1%, wäre man (wenn das Gesetz so umgesetzt wird) nicht mehr betroffen und die Meldepflicht entfällt auch.
Dennoch gelten in vielen Szenarien (z.B. für Versicherungen und Kreditvergabe) die Erfüllung des BSI Grundschutz als Mindestkriterien und alle Unternehmen, ob betroffen oder nicht, sollten diese erfüllen.
Mitspracherechte der Wirtschaft reduziert
Im Vergleich zu früheren Fassungen wurde die formale Einbindung von Unternehmen, Branchenverbänden und wissenschaftlichen Einrichtungen bei der Festlegung sicherheitsrelevanter Dienstleistungen und Systeme gestrichen. Auch bei der Definition dessen, was künftig als bedeutender Sicherheitsvorfall gilt, entfällt eine verpflichtende Beteiligung dieser Gruppen. Diese Änderungen könnten zu einem geringeren Einfluss externer Fachkreise auf die zukünftige Ausgestaltung der Cybersicherheitsarchitektur führen.
Neuer Maßstab für Sicherheitsvorfälle
Der Entwurf beschreibt sicherheitsrelevante Zwischenfälle nun umfassender. Als „erheblich“ gelten solche Vorfälle, die den Geschäftsbetrieb stark beeinträchtigen, hohe wirtschaftliche Verluste verursachen oder zu gravierenden Schäden für Dritte führen – sei es materiell oder immateriell. Unternehmen mit besonders kritischer Infrastruktur müssen solche Ereignisse melden und betroffene Kundinnen und Kunden aktiv informieren.
Stärkere Rolle des BSI im Energiesektor
Im Bereich der Energieversorgung wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig enger mit der Bundesnetzagentur (BNetzA) zusammenarbeiten. Ziel ist es, die Sicherheitsanforderungen im Energiesektor besser zu koordinieren und einheitlich durchzusetzen. Dies verschafft dem BSI in diesem Bereich eine erweiterte Zuständigkeit.
IT-Grundschutz wird zur Pflicht für Bundesbehörden
Der bisher nur für Teile der Bundesverwaltung empfohlene IT-Grundschutz des BSI erhält nun gesetzlichen Status für alle Einrichtungen des Bundes. Diese Maßnahme soll das Sicherheitsniveau innerhalb der staatlichen IT-Infrastruktur nachhaltig erhöhen.
Trotz einiger inhaltlicher Anpassungen bleibt Kritik bestehen – etwa hinsichtlich der Beteiligung von Fachkreisen und der weiterhin als ungenau empfundenen Formulierungen in zentralen Abschnitten des Entwurfs.
Kommentare