Zum Inhalt springen

NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    Cover Themenfolge NIS2 in aller Kürze - Stephan Auge
    Moderation:
    avatar
    Heiko Gossen
    LinkedIn Icon Instagram Icon
    Zu Gast:
    avatar
    Stephan Auge
    Weitere Episoden mit Stephan Auge:

    Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?

    In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.

    Was du aus dieser Folge mitnimmst:

    Was ist NIS2?

    • Ziel: Harmonisierung der Cybersicherheitsstandards in der EU
    • Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft
    • Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)
    • Abgrenzung zur DSGVO und zum Cyber Resilience Act

    Für wen gilt NIS2?

    • Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie
    • Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.
    • Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein
    • BSI stellt ein Tool zur Betroffenheitsprüfung bereit

    Welche Pflichten entstehen?

    • Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten
    • Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)
    • Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001
    • Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen
    • Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung

    Was bedeutet das für bestehende KRITIS-Unternehmen?

    • Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren
    • Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre
    • Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar

    Herausforderungen beim Lieferkettenmanagement

    • Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle
    • Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben
    • Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen
    • Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister

    Sanktionen und Wettbewerbsvorteile

    • Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)
    • Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz
    • Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen
    • Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor

    Keywords, die in dieser Folge behandelt werden:

    • NIS2 Richtlinie 2025
    • NIS2 Anforderungen Unternehmen
    • Informationssicherheit Pflicht
    • Cybersecurity Gesetz EU
    • NIS2 Umsetzung Deutschland
    • Betroffenheitsanalyse NIS2
    • ISMS NIS2 ISO 27001
    • Datenschutz und NIS2
    • Vorfallmeldung BSI
    • Lieferkettensicherheit NIS2
    • Managementsystem Informationssicherheit
    • DORA vs. NIS2
    • Cyber Resilience Act EU

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/

    Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk. Mein Name ist Heiko Gossen und ich begrüße euch wieder recht herzlich zu einer Themenfolge. Und ja, es geht bei den Themenfolgen Schlag auf Schlag dieses Frühjahr, auch wenn die Pause jetzt ein bisschen länger war. Wir haben heute ein Thema, das schon seit längerem in vieler Munde ist, aber tatsächlich in Deutschland noch auf dem Weg quasi. Es geht um das Thema NIS 2 und da habe ich gedacht, da frage ich doch mal einen Experten, den wir sogar im Haus haben, nämlich Stefan. Stefan Auge ist bei uns Teamleiter Management-Systeme, verantwortlich für die Beratung zu insbesondere den ISO-Standards ISO 9001, also Qualitätsmanagement. Aber, und da liegt der Schwerpunkt, das weiß ich sogar, ISO 27001 und alles, was da auch quasi dranhängt, also Kritis und ISO 270019, also einige Derivate, die noch mit dranhängen, 17, 18 glaube ich auch noch. Und bist auch noch TÜV-Auditor, schon seit neun Jahren beim TÜV Rheinland. Daher freut es mich sehr, dass wir heute die Zeit finden, um über das Thema NIS II zu sprechen. Herzlich willkommen, Stefan Auge. Vielen Dank, mich freut es auch. Ich freue mich. Lass uns vielleicht für die, die jetzt auch bei dem Thema noch nicht so viele Berührungspunkte hatten oder die sich zurückgelehnt haben und gesagt haben, warten wir doch erstmal ab, was da jetzt wirklich kommt. Was ist genau die NIS-2-Richtlinie, was bezweckt sie, was ist quasi der Hintergrund? Ja, auf die NIS-2-Richtlinie können wir natürlich gerne eingehen, was soll wir oder sonst anderes tun. Auf die nationale Gesetzgebung kommen wir gleich noch zu sprechen. Da wird es nämlich dann ein bisschen komplizierter als bei der Richtlinie selber. Die NIS-2-Richtlinie ist erstmal zum Beispiel eine EU-Richtlinie, welche im Jahr 2023, nein 2022, nämlich am 27.12., also kurz vorm Jahreswechsel, veröffentlicht wurde. Und wer sich mit der Gesetzgebung so ein bisschen auskennt, wird wissen, eine EU-Richtlinie muss in ein nationales Gesetz von den Mitgliedstaaten umgewandelt werden. Und dafür haben die Mitgliedstaaten zwei Jahre Zeit. Und es gab schon Vorgänge, deswegen NIS-2. Auch das 2 hat eine Bedeutung, nämlich es gibt die sogenannte NIS-Richtlinie, NIS, da können wir ganz kurz auf die Abkürzung eingehen, heißt Netzwerk- und Informationssicherheit. So einfach ist es. Und das sind auch die Themen, die dann geregelt werden. Und Ziel ist es, dass wir eben in der EU ein gemeinsames Cyber-Sicherheitsniveau bei den Mitgliedstaaten haben. Da haben wir heute ein sehr großes Gefälle, kennen wir auch von anderen Themen. Und Ziel ist es, dass wir da wirklich ein gemeinsames Niveau erreichen. Du hast schon gesagt, es ist eine Richtlinie, die nationales Recht umgesetzt werden muss, also entgegen zum Beispiel einer Verordnung, wie jetzt die Datenschutzgrundverordnung oder auch die KI-Verordnung, die direkt wirksames Recht in allen Mitgliedstaaten sind. Und es ist halt bei der Richtlinie, so wie wir das damals mit der 95er-Datenschutzrichtlinie auch kannten, die dann erstmal in nationales Recht überführt werden muss. Ich sag mal so, toi toi toi für die EU, dass es halt bei der Nächstenrichtlinie besser harmonisiert ist danach als beim Datenschutz. Aber gut, das ist nicht unsere Baustelle. Wir setzen das ja um, was der Gesetzgeber vorgibt. Und wenn es eine Richtlinie ist, ist es halt eine Richtlinie. Jetzt, wie ist denn, also du hattest schon gesagt, eigentlich zwei Jahre Zeit, Ende 2022. Wenn ich jetzt Mathematik nicht ganz schlecht aufgepasst habe, würde ich sagen, die zwei Jahre sind eigentlich schon um. Und ich weiß, wir hatten auch schon mal Anfang des Jahres das Thema, dass es jetzt irgendwie eigentlich fast fertig sein soll. Aber da sind wir noch nicht, oder? Jetzt kommt der komplizierte Teil. Ich behaupte, wir wären schon soweit, weil, wie das immer so ist, es gibt eine EU-Richtlinie. Dann müssen sich die Mitgliedstaaten auch wieder in Deutschland darauf vorbereiten. Und dann startet halt das nationale Gesetzgebungsverfahren. Das sind eigentlich überall erstmal gleich, losgelöst vom Thema NIST 2. Das heißt, es gibt dann irgendwann einen Referentenentwurf, dann werden Branchenverbände, Interessenverbände werden angehört, da kann man sich dann mit einbringen. Und dann startet eben auch dann das Gesetzgebungsverfahren im Bundestag und im Bundesrat. Und wir haben es eigentlich genau bis dahin geschafft. Das heißt, die erste Lesung im Bundestag hat es auch schon gegeben und dann hat der Bundeskanzler eben die Vertrauensfrage gestellt und Neuwahlen angesetzt. Und damit war das Thema eigentlich schon vom Tisch. Weil wenn man sich die Gesetzgebungsverfahren anschaut, werden halt Gesetzgebungsverfahren, welche in einer Legislaturperiode nicht abgeschlossen werden von einem Bundestag, werden quasi wieder auf den Stand Null zurückgesetzt. Und genau das ist hier passiert, weil, und das werden wir alle mitbekommen haben, es gab dann wichtigere Themen kurz vor dem Wahlkampf, dass das Thema NIST 2 über die Wupper geworfen wurde. Und deswegen muss dieses ganze Verfahren, Bundestag und Bundesrat mit der neuen Regierung dann wieder gestartet werden. Aktuell ist der Plan, bis Mitte des Jahres soll es dann das nationale Gesetz geben. Ich tippe eher, wir reden über Ende des Jahres. Was aber ja nicht heißt, dass die Unternehmen nicht schon mal sich damit auseinandersetzen sollten. Viele haben es ja auch schon getan. Wie gesagt, viele diskutieren auch schon über das Thema. Es gibt auch schon, ich sag mal durch die Richtlinie selber ja, eine Idee davon, was umzusetzen ist. Aber bevor wir dahin kommen, was inhaltlich letztendlich zu tun ist, sollten wir trotzdem einmal vorneweg vielleicht klären, für wen ist das denn nachher anwendbar? Also wie ist so die Tendenz oder was es ergibt, auch aus der Richtlinie sich schon, für welche Unternehmen ist diese nachher verbindlich, welche müssen da auch handeln? Also ich sage immer, ein gesundes Mittelmaß ist wichtig. Man muss jetzt nicht den Stress verfallen, weil man sagt, um Gottes Willen, es kommt hier ein neues Gesetz. Man darf es ordentlich auf die Langebank schieben. Natürlich, wir haben jetzt noch kein nationales Gesetz, aber die EU-Richtlinie, die gilt trotzdem schon. Und die Themen, auch wenn wir jetzt nochmal neu in die Bundestags- und Bundesratsverhandlungen gehen, das Gesetz gibt es ja trotzdem schon. Und deswegen weiß man heute schon, was auf einen zukommt. Und da können sich Unternehmer eigentlich schon ganz gut drauf vorbereiten. Nur zur Einordnung, wo stehen wir eigentlich in Deutschland? Es gibt ein paar Länder wie Italien, Kroatien, Dänemark, die sind schon fertig. Da gibt es schon ein Gesetz. Da gibt es einige Länder, da ist es fast final. Deutschland, Österreich. Es gibt auch Länder wie Frankreich, Spanien, Portugal. Da gibt es noch gar keinen Entwurf. Und die hatten keine Neuwahlen. Von daher stehen wir nicht ganz alleine da in der EU. Deswegen, das Gesetz wird auf jeden Fall kommen. Die Grundzüge stehen auch schon fest. Das heißt, man kann sich heute schon darauf vorbereiten. Da wäre es auf keinen Fall in den Stress verfallen, dass man sagt, wir müssen jetzt in den nächsten zwei Monaten Maßnahmen umsetzen, aber man sollte das auch nicht bis zwei raus schieben. Für wen gilt es? Auch da wird es wieder kompliziert. Da können wir gleich mal ein bisschen genauer einsteigen. Man tippt, dass rund 30.000 Unternehmen davon betroffen sein werden. Wonach kann ich mich denn jetzt orientieren, um festzustellen, wie hoch ist die Wahrscheinlichkeit, dass ich zu den 30.000 gehöre? Gibt es doch bestimmt irgendwelche Parameter, die da zugrunde gelegt werden müssten? Das Thema ist nicht ganz einfach. Also um wirklich für sich selber zu beurteilen, bin ich nur betroffen oder bin ich nicht betroffen? Man könnte es ganz einfach sagen und geht einfach auf die Seite Betroffenheitsanalyse BSI, einfach bei Google eingeben, kommt auf eine Homepage und da kann man seine ganzen Daten eintippen. So einfach ist es dann aber doch nicht. Das Ergebnis ist nicht immer ganz verlässlich und man muss natürlich, bevor man das macht, sich vorher mit den Grundlagen beschäftigt haben. Und da ist das BSI hingegangen, was ja maßgeblich auch in der Gesetzgebung beteiligt ist und auch nachher die zuständige Behörde für das Thema sein wird und hat Unternehmen nach wichtigen und besonders wichtigen Sektoren aufgeteilt. Da gibt es dann Anlagen, Anlage 1 und Anlage 2 und da gibt es dann wieder Sektoren drunter. Und so muss man sich dem Thema immer weiter ran nähern. Wir haben ja schon Kritis-Anforderungen, also wir gucken ja gleich nochmal drauf, was halt inhaltlich die Unternehmen einhalten müssen. Wenn wir jetzt einerseits gucken, Kritis haben wir schon, ist auch schon seit einigen Jahren ja verpflichtend dort, je nachdem in welchem Sektor und welchem Bereich ich bin, sich sogar zertifizieren zu lassen. Sind die, die von Kritis betroffen sind und da schon was gemacht haben, jetzt durch die NIS-2-Richtlinie eventuell nochmal verpflichtet, mehr andere Dinge zu machen oder ist das zwei nebeneinander stehende Dinge, die entweder oder zutreffen? Ich würde sagen, sie greifen ineinander. Wir müssen die Themen auf jeden Fall zusammen behandeln, weil wir Richtung kritische Infrastrukturen gehen. Da gibt es heute ein BSI-Gesetz. Auch das wird es in Zukunft geben. Es muss natürlich verändert werden, weil einige Themen, die im NIS2-Gesetz geregelt werden, heute schon im BSI-Gesetz drin sind. Die müssen dann herausgenommen werden. Und eine Kritis-Verordnung, die ja ganz konkret sagt, wer ist eigentlich ein kritisches Unternehmen, wer bringt kritische Dienstleistungen, die wird es weiterhin geben. Auch mit den Schwellwerten, alles, was mit dazugehört. Okay, du sagst, da kann man also beim BSI nachschauen, da gibt es Sektoren und so weiter, wichtig, unwichtig. Das heißt, es kann aber jetzt zum Beispiel auch ein KMU-Unternehmen betreffen. Das sind jetzt nicht nur große Unternehmen und es ist auch nicht nur kritische Infrastruktur, die das betrifft, sondern da kann es auch andere betreffen. Was wären beispielsweise jetzt Sektoren, die da betroffen sind, wo man sagt, da kann man sich auf jeden Fall schon mal darauf einstellen, dass man höchstwahrscheinlich davon betroffen ist? Ja, also wie eben schon gesagt, gibt es ja Anlagen 1 und Anlagen 2. Die unterscheiden nach besonders wichtigen und wichtigen Unternehmen. Und wer auf jeden Fall betroffen sein wird, sind alle, die heute schon kritische Infrastruktur betreiben. Die sind vor allem in Anlage 1 mit drin. Energiebetreiber, Netzversorger, Transportunternehmen, die auch teilweise jetzt noch hinzukommen, wie zum Beispiel Unternehmen, die ein ÖPNV betreiben. Unternehmen aus dem Finanzwesen, aus dem Gesundheitssektor, sind alles schon Unternehmen, die wir heute bei Kritis schon kennen, die aber jetzt noch mit hinzukommen, weil jetzt noch mehrere Faktoren hinzukommen. Und dann kommt noch die Anlage 2, das sind die sogenannten wichtigen Unternehmen, die hinzukommen, die aus den gleichen Sektoren kommen. Aber da gibt es die Besonderheit, nämlich dass wir das Thema öffentliche TK-Netze, TK-Dienste losgelöst von Kritis auch noch mit drin haben. Okay, also auch wahrscheinlich so Zulieferer oder die heute einfach noch nicht unter die Kritis-Voraussetzungen fallen. Absolut, Zulieferer, wobei es Thema Lieferantenmanagement kommt, bei den Maßnahmen drauf zu sprechen. Und es gibt ja auch noch neben den Einrichtungen oder den Kategorien und den Sektoren noch weitere Kriterien wie Mitarbeiteranzahl und Umsatz. Aber das gilt nicht für alle Sektoren. Da muss man ein bisschen aufpassen, weil das kann auch wirklich Kleinstunternehmen treffen. Okay, also man darf sich da jetzt nicht, nur weil man ein kleines Unternehmen ist, in der Sicherheit wiegen. Das ist schon mal eine wichtige Information. Und jetzt hast du gesagt, okay, können auch Kritis-Unternehmen von betroffen sein, also müssen die jetzt dann erwartbar mehr machen, neue Dinge tun. Worin unterscheidet sich dann am Ende auch NIS2 von den Kritis-Anforderungen? Also für Grittes-Unternehmen ändert sich gar nicht so viel. Nehmen wir als Beispiel den Netzbetreiber, die ja schon seit Januar 2018 sich zertifizieren lassen müssen oder auch den Wasserversorger, für den Auffristen seit 2019 gelten, für ein BSI-Nachweisverfahren, für die ändert sich gar nicht so viel. Ich sage auch immer, wenn ich gefragt werde von solchen Kunden oder Interessenten oder Ansprechpartnern, ihr seid eigentlich die, die am wenigsten machen müssen. Weil die kennen die Maßnahmen schon aus ihrem vorherigen branchenspezifischen Sicherheitsstandard. Die werden heute schon geprüft. Deswegen von den Maßnahmen her ändert sich gar nicht so viel. Eher zum Positiven, was die Prüffrist betrifft. Aber ich glaube, da kommen wir später auch noch drauf zu sprechen. Interessant wird aber auf das Thema, wenn ich gerne nochmal kurz eingehen, die wirklich Kleinstunternehmen. Das trifft nicht auf alle Sektoren zu, aber wir können ja mal gerne ein Beispiel machen, wo man sieht, es ist selten, aber auch wirklich ganz, ganz kleine Unternehmen können betroffen werden. Nehmen wir zum Beispiel die Anlage 2 für wichtige Unternehmen, wo wir auch den Bereich TK-Netze, TK-Dienste mit drin haben und das Thema Telekommunikation. Das heißt, wenn ich ein Ein-Mann-Unternehmen habe und vielleicht trotzdem als Vertrauensdienstanbieter auftrete oder aber auch TK-Netze anbiete im Bereich Telekommunikation, gelten alle Schwellwerte nicht mehr für mich und ich muss Maßnahmen umsetzen. Auch wenn ich nur ein Einzelkämpfer in einer Einwandfirma bin. Okay, das ist natürlich nachvollziehbar, dass da dann vielleicht auch die Freude nicht ganz so groß ist bei so kleinen Unternehmen. Aber du sagst, das ist auch die Ausnahme. Es ist jetzt auch nicht so, dass da regelmäßig Unternehmen betroffen sind, die damit einfach auch nicht umgehen können aufgrund der Anforderungen. Absolut. Aber auch da muss man schauen, dass es ein gangbarer Weg wird, die Maßnahmen umzusetzen. Ich kann, ich glaube, es ist eigentlich ganz klar, von einem Einzelkämpferunternehmen, ich nenne es mal so, nicht verlangen, dass ich ein tausendseitiges Sicherheitskonzept aufbaue mit sämtlichen Maßnahmen zur Informationssicherheit. Da ist auch irgendwas gefragt, dass das Ganze halt wirklich passgenau umgesetzt wird. Okay, verstehe. Also, wir haben Kritisanforderungen, die werden sich gar nicht großartig ändern. Vielleicht sogar, gibt es vielleicht auch sogar Erleichterungen bei den Prüffristen und ansonsten kommen halt weitere Unternehmen hinzu. Die müssen sich dann im Zweifelsfall schlau machen, ob sie davon betroffen sind oder nicht. Orientierung bietet das BSI unter dem Suchbegriff Betroffenheitsanfrage NIST 2. Genau, ganz konkret Betroffenheitsprüfung NIST 2 einfach bei Google eingeben und da kommt man direkt auf den entsprechenden Link. Dann gehen wir mal inhaltlich rein. Welche Maßnahmen sind denn jetzt konkret gefordert und was ist erforderlich und wo müssen die Unternehmen im Zweifelsfall vor allen Dingen darauf achten? Ja, das sind ganz viele Fristen, die anfallen. Also Fristen oder auch Maßnahmen. Das fängt an, dass man sich erstmal selber registrieren muss als NIST 2 betroffenes Unternehmen. Da wird das BSI oder andere Bürger nicht auf einen zukommen und sagen, du bist jetzt NIST 2, sondern man hat die Pflicht, dies selber zu tun. Das heißt, man muss die Betroffenheitsprüfung für sich selber machen und muss dann drei Monate nach Inkrafttreten des Gesetzes sich selber beim BSI registrieren. Das ist eine Maßnahme, die von Unternehmen gefordert wird. Wenn wir in Richtung technische Maßnahmen schauen oder auch organisatorische Maßnahmen, ist nur die ganz klar definiert. Das fängt an bei einer Risikoanalyse, die man für die Informationssicherheit im Unternehmen machen muss, geht weiter über das Thema Regeln von Informationssicherheitsvorfällen oder Incidents, geht auf das Thema Entwicklung weiter, Personalsicherheit, physische Sicherheit und wer sich mit der Informationssicherheit schon ein bisschen auskennt, dem werden diese Begriffe alle bekannt vorkommen, nämlich aus der ISO 27001. Das heißt, es wird eigentlich ein ISMS gefordert, ein Informationssicherheitsmanagementsystem. Die Maßnahmen sind nicht so ganz konkret definiert wie in der Norm, aber es sind genau die gleichen Themen. Jetzt haben wir ja bei der ISO 27001 und bei Management System ja in der Regel immer, dass wir ja diesen Management System Anforderungen haben. Also ja nicht nur die Umsetzung von Einzelmaßnahmen, sondern Kern ist ja immer erstmal ich brauche das Management System, was mir nachher Hilfestellung gibt. Wie muss ich eine Maßnahme umsetzen? Welche sind auch erforderlich und welche halt auch nicht? Das heißt, ich habe sowas wie Risikomanagement, Management Review, Audits, muss Dokumentenlenkung haben und so weiter. Ist das auch alles Bestandteil dann von den zwei Anforderungen oder sagst du, genau da liegt letztendlich dann der Unterschied und da ist es halt nicht ganz so streng? Eigentlich ist es genau das, nämlich ein Management-System. NIS II und auch das nationale Gesetz schreiben wir jetzt nicht so konkret rein, aber wenn man sich die Maßnahmen durchliest, die Fristen, die dahinter stehen, was man beim BSI nachher einreichen muss, es ist ein Management-System. Es fängt, wie gesagt, beim Risikomanagement an, aber auch das Thema Management von Schwachstellen, das sind alles Themen, die in der Norm gefordert sind. Was natürlich jetzt nicht gefordert wird, ist die Prüfung, dass man sich verpflichtend nachher prüfen muss, wie man es bei einem ISO 17001 Audit macht, aber es wird im Managementsystem gefordert, es ist nichts anderes. Und muss ich das dann gegenüber dem BSI zum Beispiel irgendwie nachweisen? Muss ich das irgendwie bestätigen, dass ich es habe? Muss ich gegebenenfalls regelmäßig irgendwelche Fragen beantworten? Hier gibt es eigentlich eine ganz einfache Trennung. Wir haben, wie wir es heute schon haben, die Betreiber von kritischen Infrastrukturen. Die müssen ja heute schon alle zwei Jahre sich dem BSI-Nachweisverfahren unterziehen. Ist nichts anderes wie ein Audit, eine Prüfung. Das müssen die auch weiterhin tun. Aber, und hier kommt eine Erleichterung, nur alle drei Jahre. Ja, deswegen da hat man dann ein Jahr gespart. Wenn man das Ganze auf sechs Jahre sieht, hat man eine Prüfung gespart, weil auf jeden Fall schon mal Kostenersparnis und dafür, dass man nicht noch zusätzliche Maßnahmen erfüllen muss, haben die schon mal eine minimale Erleichterung. Das Thema Systeme zur Angriffserkennung ist jetzt zwar letztes Jahr neu hinzugekommen, was für eine zusätzliche Prüfung ist, aber das lassen wir, glaube ich, hier erst mal weg, also dass da quasi wieder mehr Aufwand kommt, aber erst mal gespart. Bei den anderen Unternehmen, die unter die Sektoren Anlage 1 und 2 fallen, gibt es keine Prüfpflicht. Das heißt, es wird für Unternehmen keine verpflichtende Prüfung geben, sondern das BSI, also man muss sich erstmal registrieren, das ist auf jeden Fall der Fall nach drei Monaten, muss dem BSI dann auch wahrscheinlich nachweisen, das ist natürlich ganz klar geregelt im Gesetzentwurf, das war so ein kleiner Streitpunkt, ob man die Umsetzung der Maßnahmen noch bestätigen muss. Und das BSI kann dann Prüfungen anordnen. Das ist aber auch ganz klar definiert, wann das der Fall ist. Okay, kannst du noch ein bisschen ausführen, wie das genau definiert ist? Ja, das kann ich auf jeden Fall machen. Wie gesagt, Kritis, Prüfpflicht alle drei Jahre. Bei den Unternehmen, die besonders wichtig sind, Anlage 1 Kategorien, die können aufgefordert werden, risikobasiert. Das heißt, das BSI geht dann wirklich hin, gucke ich das Unternehmen an, gibt es ein erhöhtes Risiko für Cyberangriffe und wenn ja, können wir eine Prüfung anordnen und bei den Anlage-2-Kategorien, also die wichtigen Einrichtungen, ist es immer vorfallsbasiert. Das heißt, sollte es mal zu einem Vorfall kommen, kann im Nachhinein das BSE die Prüfung anordnen. Aber ansonsten gibt es keine Prüfpflichten. Thema Vorfall heißt, es gibt auch eine Meldepflicht, ähnlich wie bei Datenschutzvorfällen auch, dass ich das dann gegebenenfalls dem BSI mitteilen muss, wenn was passiert ist? Absolut. Wichtig ist natürlich, dass man vorher den Prozess für sich selber definiert. Wie wir es auch an dem ISMS-Informationen-Sicherheitsmanagementsystem kennen. Das heißt, man muss natürlich vorher ganz klar regeln, wie gehe ich mit Sicherheitsereignissen um? Wann ist es ein Vorfall? Wie müssen Sie mittlerweile an die verantwortlichen Personen melden? Und auch dann muss man das BSE informieren. Da gibt es aber auch Schwellgrenzen. Also ähnlich wie bei Datenschutzvorfällen gucken wir ja auch, es gibt da ein Risiko. Wenn ja, wie hoch ist das? Danach richtet sich, ob ich die Aufsichtsbehörde informieren muss oder gegebenenfalls sogar die Betroffenen. Ist das hier ähnlich? Oder muss ich da jeden verlorenen USB-Stuhr, jedes verlorene Handy im Zweifelsfall melden? Nee, muss man nicht. Aber auch das ist wichtig, dass man in seinem eigenen Prozess in seiner Richtlinie genau definiert. Und wir müssen natürlich immer schauen, aus den bisherigen Kritis-Bereichen kennen wir das ja schon. Und das können wir gerne als Beispiel nehmen, wenn wir die Netzbetreiber haben. Wenn jetzt in der NetOffice-Welt ein USB-Stick verloren geht, wo aber für den kritischen Bereich, für den Netzbetrieb keinerlei Dateninformationen drauf sind, ist das nicht so streng zu bewerten, als wenn wir wirklich Netzdaten verloren gehen. Und genauso gilt das auch bei den neuen Anlagen 1 und 2. Das heißt, wir haben auch da und wir nehmen zum Beispiel diese Siedlungsabfallentsorgung. Wenn ich jetzt Daten habe, die wirklich mit einem konkreten Geschäftsprozess zusammenhängen, was ja dann aus List 2 wirklich der kritische Prozess ist, dann muss ich das deutlich strenger risikobasiert bewerten, als wenn es der USB-Stick mit dem Speiseplan ist. Verstehe. Also das heißt, wenn ich jetzt mal aus einer Managementperspektive gucke und sehe, okay, wir haben einerseits Datenschutzmanagement, vielleicht habe ich auch schon Informationssicherheitsmanagement etabliert, dann, ich meine, das ist ja sowieso immer unser Mantra, macht es natürlich Sinn, das auch zu nutzen, wo ich halt Schnittmengen habe, gleiche Prozesse, also jetzt Thema beispielsweise Vorfälle, egal ob ich jetzt einen Datenschutzvorfall habe, Informationssicherheitsvorfall, das über einen Meldestell, über einen Prozess abzubilden. Und dann muss ich jetzt halt im Zweifelsfall natürlich zwei Dinge prüfen. Einerseits habe ich ein Datenschutzrisiko, muss ich eventuell der Aufsichtsbehörde melden, muss ich eventuell den Betroffenen informieren und gleichzeitig muss ich aber dann auch prüfen, ist es eventuell ein meldepflichtiger Vorfall im Sinne der NIST-2-Richtlinie und muss es dann gegebenenfalls den BSI melden. Genau. Das ist sowieso auch immer die Prüfung, wenn man auch nicht unter NIST-2 fällt, man trotzdem ein informationssicheres Management-System betreibt. Wir haben natürlich, ich glaube, warum hier gar nicht ins Detail gehen, zwei unterschiedliche Schwerpunkte. Das heißt, wir haben einmal Datenschutzumfeld, DSGVO, natürlich den Schutz der Person bezogen in Daten. Bei NIST-2 eher die Cybersicherheit und die Informationssicherheit. Die beiden Themen gehören aber heute ja schon trotzdem irgendwie zusammen. Das heißt, wenn ich über Informationssicherheit rede, gehört der Datenschutz irgendwie schon mit dazu. Man muss natürlich genau schauen und es ist eigentlich eine Doppelprüfung, welchen Vorfall habe, was ist genau passiert, sind personenbezogene Daten betroffen abhandengekommen oder nicht und was ist im Bereich der Informationssicherheit passiert und muss sich eben dann für zwei Meldewege entscheiden, das heißt im Worst Case zwei Meldungen, ja. Dazu eben schon angeteasert, das Thema Lieferketten-Sicherheit. Wir haben natürlich auch da Datenschutzperspektive, AV-Verträge etc. pp. Dann haben wir aber auch noch sowas wie Lieferketten-Gesetz. Jetzt ist das aber auch nochmal eine Anforderung, wahrscheinlich ja in NIS 2. Kannst du uns da mal einsortieren? Gibt es da Anforderungen, die jetzt auch für die Unternehmen vielleicht sehr herausfordernd sein können und sortiere uns das da einfach mal ein. Das ist für mich mit eines der schwierigsten Themen, die jetzt bei NIS2 gefordert werden. Vor allem, wenn ich mich mit dem Thema Informationssicherheit, Informationssicherheitsmanagementsystem und Lieferantendienstleistungssteuerung bisher noch gar nicht auseinandergesetzt habe. Und da ist NIS2, wie gesagt, NIS2 kann selber die wichtigsten Regelungen für uns Risikomanagement, Notfallmanagement und eben das Lieferantenmanagement. Und sobald ich in meinem kritischen Bereich, bleiben wir ruhig wieder bei der Siedlungsabfallentsorgung, ich habe einen Hersteller, der meine Abholfahrzeuge zum Beispiel mit einem Tourenplan versorgt. Dann habe ich einen Softwarehersteller und NIST2 sagt ganz konkret, diesen Softwarehersteller, der liefert in meinem Bereich eine kritische Anwendung, in diesem kritischen Bereich und den muss ich ganz klar steuern. Das heißt, ich muss meinem Dienstleister klare Vorgaben machen in Richtung Informationssicherheit. Und eigentlich heißt das nichts anderes, das kennen wir aus mittlerweile anderen Gesetzen oder Verordnungen wie der DORA-Verordnung zum Beispiel, dass ich meinem Dienstleister die Maßnahmen, die NIST2 von mir fordert, In Teilen, wenn sie für ihn relevant sind, weitergeben muss. Vertraglich. Und das Ganze eventuell auch auditieren muss. Das heißt, das ist aber auch wieder etwas, was ich halt im Zweifelsfall für mich selber nach Kriterien dann einmal definieren muss. Wann ist diese Schwelle erreicht und wo habe ich das Risiko, was ich so hoch sehe, dass es dann auch angemessen ist zu auditieren? Genau, man sollte für sich selber eine Richtlinie schreiben, also aus der Practice-Erfahrung, eine Richtlinie zum Thema Lieferantensicherheit, Dienstleister-Sicherheit und dort klar reinschreiben, was erwarte ich eigentlich für meine Lieferanten und Dienstleistern. Und das muss ich ja nicht für alle Lieferanten und Dienstleister machen. Wenn wir jetzt den Lieferanten und Dienstleister nehmen, der mir alle zwei Wochen die Kisten Wasser vor die Haustür stellt, der ist für die Informationssicherheit nicht so relevant wie eben der Software-Lieferant. Sehen, wo ich da prozessual schon klar unterscheiden und dann dort schon genau festlegen, wie gehe ich mit meinen Dienstleistern um. Also auch da sind so klassische Dinge wie eine Business Impact Analyse ja sinnvoll zu sagen, was sind meine wichtigsten Prozesse im Sinne der Kritikalität meiner Leistungserbringung, welche Systeme sind dafür besonders relevant, welche Dienstleister sind dafür besonders relevant und da kann ich dann auch gut natürlich Risikobewertungen dran ansetzen zu sagen, okay, wenn der ausfällt oder wenn der Bockmist baut, dann habe ich halt ein höheres Risiko und dann gehe ich halt im Zweifelsfall auch natürlich intensiver an die Vorgaben oder auch an die Prüfungen. Ja, absolut. Also BIA ist ein gutes Stichwort. Ich habe eben schon gesagt, das Thema Notfallmanagement hat beim Thema NS2 eine sehr hohe Priorität und auch von den eingeforderten Maßnahmen. Und eine BIA ist ein absolut super Mittel, um sich genau diesem Thema zu nähern. Weil ich muss ja schon, und das ist auch beim Risikomeldung, nichts anderes, genau schauen, wo sind eigentlich meine Kroniwellen und wo sind die Themen, wo ich wirklich darauf achten muss. Und das Gleiche gilt auch für die Dienstleisterlieferanten. Also ich gehe prozessbasiert ran, schaue, wo sind meine kritischen Prozesse, in einer BIA zum Beispiel, und schaue dann, welche Ressourcen brauche ich eigentlich, wenn dieser Prozess funktioniert. Und bei Ressourcen reden wir nicht nur eben über einen Server oder einen Laptop, sondern auch über Dienstleister. Jede Menge neue Gesetze, NIS 2 ist eins davon. Aber wir haben ja, du hast es eben auch schon mal kurz erwähnt, natürlich DORA, die zumindest die Finanzindustrie natürlich sehr beschäftigt derzeit. Dann haben wir noch den Cyber Resilience Act. Und wie sieht es da aus? Also gibt es Synergien? Gibt es eventuell Dinge, die vielleicht sogar konträr sind? Glaube ich jetzt wahrscheinlich nicht, aber gibt es zumindest irgendwo noch Synergien? Ja, also bei DORA und bei NIST 2 würde ich jetzt nicht unbedingt von Synergien sprechen. Da müssen wir schon klar unterscheiden. sind zeitlich relativ nah beieinander. Die DORA gilt ja seit Januar 2025 verpflichtend für Unternehmen aus dem Finanzsektor, die unter die Aufsicht der BaFin fallen. Das ist aber ganz klar geregelt, damit es eben keine Doppelumsetzung gibt. Wenn ein Unternehmen unter die DORA-Vorgaben fällt, die in die gleiche Richtung gehen wie die NIS 2, muss das Unternehmen nicht jetzt auch noch die NIS 2-Anforderungen erfüllen, sondern die sind ganz klar davon ausgenommen. Also entweder oder? Entweder oder. Entweder DORA oder NIS 2, aber nicht beides zusammen. Das ist ganz klar abgegrenzt, weil die DORA, wie gesagt, es ist eigentlich das gleiche wie die NIST 2 unter einem anderen Namen und nur mehr auf den Finanzsektor zugeschnitten. Wenn wir uns aber den, ja, schwieriges Wort, Cyber Resilience Act, ich habe es geschafft, anschaut, da geht es in der Tat um das Thema physische Sicherheit. Das heißt, wie schütze ich eigentlich Anlagen vor genau Angriffen? Und da muss man wirklich, ja ganz mal schauen, das ist davon auf jeden Fall ein krittes Unternehmen unter diese Vorgaben. Das heißt, wie schütze ich wirklich einzelne Anlagen vor Angriffen? Und die müssen auch umgesetzt werden, weil es einen etwas anderen Schwerpunkt hat. Jetzt hast du eben schon gesagt, wir müssen uns als Unternehmen, wenn wir davon betroffen sind, wenn wir also feststellen, wir fallen unter NIST 2, dann beim BSI melden innerhalb von drei Monaten, nachdem das Gesetz in Kraft getreten ist, dann kann es sein, wenn ich Vorfälle melde, dass vielleicht sogar auch nochmal eine zusätzliche Prüffpflicht kommt. Und wenn ich jetzt aber sage, will ich alles gar nicht machen, will mich schon gar nicht melden, vielleicht muss ich dann auch gar nicht registrieren, vielleicht muss ich dann auch nichts machen, wie sehen da die Sanktionskonsequenzen aus? Dann wird es teuer. Also, wir kennen das schon aus der DSGVO. Auch da gibt es ja klar Sanktionen. Es ist das Beinens 2 ein bisschen komplizierter, was man generell sagen kann. Es gibt die Sanktionsmöglichkeit. Hier wird allerdings nach Tatbeständen und verschiedenen Verstößen unterschieden. Und dann auch noch nach der Unternehmensgröße in Anlage 1 und Anlage 2. Das heißt, hier muss man ganz genau hinschauen. Das ist auch ganz klar im Gesetz definiert. Wirklich mit konkreten Beispielen. Kann man sich mal anschauen. Sehr interessant an der Stelle. Ich mache ein Beispiel. Wir haben jetzt eine besonders wichtige Einrichtung. Wir haben einen Netzbetreiber, der unter die Anlage 1 fällt und er setzt diese Maßnahmen nicht um. Für ihn könnte dann im Höchstfall eine Strafe von 10 Millionen Euro oder aber 2 Prozent vom weltweiten Umsatz anfallen. Nehmen wir dagegen eine wichtige Einrichtung aus der Anlage 2, zum Beispiel Unternehmen der Siedlungsabfallentsorgung. Die fallen unter Anlage 2, eine wichtige Einrichtung. Für die würde dann für den gleichen Verstoß würden 7 Millionen maximal anfallen, 7 Millionen Euro oder halt 1,4 Prozent des weiten Umsatzes. Macht den Braten jetzt nicht fett bei den Summen, muss man auch ganz ehrlich sagen, da wird es unterschieden. Aber es bleibt festzuhalten, Strafen sind vorgesehen, Sanktionen, ab wann die dann greifen, wird man in der Praxis sehen. Okay, also es lohnt sich dann schon, das auch einzuhalten. Okay, vielleicht dann noch zum Schluss. Beim Datenschutz haben wir das ja auch immer wieder den Unternehmen gesagt, dass halt das durchaus von Vorteil sein kann, auch im Wettbewerb, wenn man sich halt nicht nur an die Regeln hält, sondern wenn man das halt auch aktiv rausstellt und auch klar macht, dass man da halt nicht nur gerade so die Latte schafft, sondern dass man halt vielleicht ein bisschen mehr macht. Wie sieht das so bei NIST 2 aus? Siehst du da irgendwo Chancen für Wettbewerbsvorteile oder ist es am Ende sowieso nur so, dass alle das Mindestmaß machen und dann hoffen, dass sie nicht irgendwann mal geprüft werden? Ich würde gar nicht sagen, NIST 2 ist der Wettbewerbsvorteil, sondern das Informationssicherheitsmanagementsystem ist der Wettbewerbsvorteil. Und den kann ich bereits heute schon ziehen, ohne dass ich NIST 2 relevant bin. Natürlich kommt es eine NIST 2-Richtlinie oder ein Gesetz und fordert genau die Umsetzung von einem Informationssicherheitsmanagementsystem von mir. Ich bin aber losgelöst davon der festen Überzeugung, dass eine Zertifizierung in dem Bereich oder auch schon, wenn ich nur ein ESMS implementiert habe, durchaus ein Wettbewerbsvorteil sein kann, sogar ist. Es gibt mittlerweile immer mehr Kunden, die es von ihren Dienstleistern verlangen, auch vertraglich einfordern. Wenn ich erst mit der Umsetzung anfange, wenn es in einem Vertrag drin steht, das kann schief gehen, weil der Kunde es vielleicht relativ zeitnah fordert, dann habe ich Zeitdruck. Das kann aber schon bei Ausschreibungen relevant sein. Das heißt, dass auf dieses Thema Cybersicherheit, was immer wichtiger wird, mein Kunde Wert legt und schon Ausschreibungen genau solche Zerfizierungsnachweise fordert. Und hinzu kommt natürlich, ein informationssicheres Management-System kann auch vor Vorfällen schützen. Das heißt, wenn ich erstmal Schaden erlitten habe und muss dann meine Kunden informieren, dass vielleicht auch Daten vom Kunden weg sind, wird es meistens sehr unangenehm, auch die Gespräche sehr unangenehm. Und deswegen ist generell die Umsetzung von einem Informationssicherungsmanagementsystem meiner Überzeugung nach ein absoluter Wettbewerbsvorteil. Und S2 fordert eben genau das von mir. Von daher, ganz klares Ja von mir. Ich glaube, das ist nochmal ein sehr guter Appell ja auch an die Unternehmen, die vielleicht auch nicht betroffen sind. Und das, was wir ja auch beobachten, ist, alle, die das Thema stiefmütterlich behandeln, nicht vernünftig sich mit Risiken auseinandersetzen, früher oder später halt irgendeine Art von Vorfall haben. Manchmal geht es vielleicht auch glimpflich aus, vielleicht nur ein, zwei E-Mail-Konten betroffen, aber auch das sehen wir ja nicht selten, dass dann plötzlich doch alles verschlüsselt ist oder größere Schäden durch Fischung entstehen. Und deswegen kann ich das nur unterstreichen, dass das Thema Informationssicherheitsmanagement-System, also strukturiertes Auseinandersetzen mit Risiken, Umsetzen von Maßnahmen, risikoorientiert, definitiv jedem Unternehmen eigentlich anzuraten, ist egal, ob es jetzt halt unter kritische Infrastruktur fällt, unter den Zwei-Richtlinien fällt oder DORA, ist es am Ende völlig wurscht. Am Ende muss halt jedes Unternehmen für sich abwägen, gehe ich das Risiko ein, später erst betroffen zu sein und dann das SMS einzuführen. Also am Ende zahlen die Unternehmen, die nichts tun, höchstwahrscheinlich sowieso doppelt. Es ist ja nur die Frage, gebe ich das Geld jetzt aus oder gebe ich es nachher nochmal aus nach einem Vorfall, wo ich den Vorfall erst zu stemmen habe und dann auch nochmal eine SMS einführe. Also wirklich dringende Empfehlung, das Thema nicht zu lange zu schieben, weil dann ist es nämlich nur eine Frage des Wann und nicht mehr des Opfers passiert. Das würde ich genauso unterschreiben, ja. Wunderbar. Stefan, ich glaube, du hast uns damit schon mal einen sehr guten ersten Überblick über die NS2-Richtlinie gegeben und das, wo wir gerade stehen. Ich lade unsere Zuhörer natürlich ein, wenn es darüber hinaus noch weitergehende Fragen gibt, uns die einfach zu stellen. Ihr findet in den Shownotes natürlich den Link zur Themenfolge und dann auch zur Webseite mit der Kommentarmöglichkeit. Stellt uns gerne die Fragen. Wir kümmern uns dann um eine zeitnahe Antwort. Und je nachdem, wenn es sich lohnt, wenn es mehrere Fragen sind, dann können wir natürlich auch gerne nochmal einen Follow-up machen. Also es gibt ja nochmal vielleicht auch einen zweiten Teil. Ich wollte jetzt nicht reingreitschen, Heiko, aber das war jetzt wirklich so ein bisschen an der Oberfläche kratzen. NIST 2, DORA und die ganzen Vorgaben, die jetzt kommen, auch das Cyber Resilience Act, bietet noch so viele Themen. Ja, da haben wir locker noch Platz für eine Folge 2 und 3. Okay. Also, dem kann ich ja nur anfügen, wie gesagt, fühlt euch frei, die Fragen zu stellen in den Kommentaren oder schickt sie uns gerne auch per E-Mail, podcast.migosens.de. Wir freuen uns und natürlich auch, wenn ihr, wie gesagt, doch Anregungen, Ideen dazu habt, schreibt sie gerne in die Show-Nows. In diesem Sinne, ganz herzlichen Dank, Stefan. Gerne. Und danke euch, bleibt uns gewogen und auf bald. Tschüss zusammen.

    Das könnte Sie auch interessieren

    Cover Michael Will

    Verwendung der Anrede nach dem EuGH-Urteil C-394/23 – Michael Will im Datenschutz Talk Podcast

    Cover Menschen, Bilder, Datenschutz - die große Datenschutz-Silvestershow 2024

    Menschen, Bilder, Datenschutz – die große Datenschutz-Silvestershow 2024

    Cover zur Themenfolge M365 Copilot

    Der M365 Copilot und Datenschutz – Friedhelm Peplowski im Datenschutz Talk

    Coverbild Menschen, Bilder, Datenschutz 2023 – die Silvester Show des Datenschutz Talk Podcast

    Menschen, Bilder, Datenschutz 2023 – die Silvester Show des Datenschutz Talk Podcast