Mehrfach-Regulierung

Umsetzung

Die bisherigen KRITIS-Betreiber werden mit der kommenden NIS2-Gesetzgebung zu Betreibern kritischer Anlagen, wenn sie eine Anlage (KRITIS-Verordnung) über Schwellenwerten betreiben. Als Betreiber kritischer Anlagen gelten sie unabhängig von der Unternehmensgröße ebenfalls als besonders wichtige Einrichtung – sie vereinen also zwei regulierte Unternehmenstypen.

Die Unternehmen unterliegen als Einrichtung der NIS2-Regulierung und müssen im Bereich der KRITIS-Anlage zusätzliche erhöhte Anforderungen für Betreiber kritischer Anlagen umsetzen.

Ein Stadtwerk betreibt eine Kläranlage, die mehr als 500 Tsd. Einwohner versorgt – die damit eine kritische Anlage über KRITIS-Schwellenwerten ist. In dieser Konstellation gilt das Stadtwerk als Betreiber einer kritischen Anlage und somit auch als besonders wichtige Einrichtung.

Geltungsbereich

Das Stadtwerk hat verschiedene Geltungsbereiche für die mehrfachen Vorgaben: Einerseits der NIS2-Geltungsbereich der besonders wichtigen Einrichtung, hier das ganze Unternehmen. Andererseits der KRITIS-Geltungsbereich der kritischen Anlage, im Beispiel die Kläranlage.

NIS2-Maßnahmen

Als NIS2-Einrichtung muss das Stadtwerk im Unternehmen Prozesse zum Risikomanagement, Sicherheitsmanagement (ISMS), Incident Management, Business Continuity Management, Lieferantenmanagement nach Stand der Technik wirksam implementieren. §30

Zusätzlich muss Meldewesen für Sicherheitsvorfälle §32 sowie Identifizierung/Registrierung als NIS2-Einrichtung §33 implementiert werden. Erforderliche Unterrichtungspflichten §35 sowie Umsetzungs-, Überwachungs- und Schulungspflichten §38 müssen verankert werden.

KRITIS-Maßnahmen

Für den Geltungsbereich der Kläranlage muss das Stadtwerk zusätzliche Maßnahmen umsetzen:

• Risikomanagement für die Verhältnismäßigkeit von Maßnahmen anpassen, da für KRITIS-Anlagen auch aufwändigere Maßnahmen als verhältnismäßig gelten. §31 (1)
• Prozesse und Systeme zur Angriffserkennung §31 (2) implementieren.
• Prozesse zur Meldung von Sicherheitsvorfällen anpassen, da für KRITIS-Anlagen auch Angaben zur Art der betroffenen Anlage, der kritischen Dienstleistungen sowie zu den Auswirkungen eines Vorfalls auf die Dienstleistung übermittelt werden müssen.
• Prozesse zur Registrierung anpassen, da in der Registrierung für KRITIS-Anlagen auch die kritische Dienstleistung, die öffentlichen IP-Adressbereiche der betriebenen Anlage sowie die ermittelte Anlagenkategorie und Versorgungskennzahl angegeben werden müssen.

Das Stadtwerk muss die Umsetzung dieser Maßnahmen im KRITIS-Geltungsbereich der Kläranlage weiterhin alle drei Jahre mit KRITIS-Prüfung prüfen lassen. §39

Außerdem gilt für den Geltungsbereich der Kläranlage vermutlich auch das KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement, dedizierte Resilienz­maßnahmen und -pläne, BCM, Personalsicherheit, physische Sicherheit.

Ausnahmeregeln

Betreiber und Einrichtungen in den Sektoren Energie, IT und TK und Finanzwesen werden neben NIS2 noch mit eigenen Gesetzen reguliert. Damit Mehrfachregulierung durch NIS2 vermieden wird, gibt es Ausnahmeregelungen von diversen NIS2-Pflichten für:

• Betreiber von öffentlichen Telekommunikationsnetzen oder Erbringer von öffentlich zugänglichen Telekommunikationsdiensten
• Betreiber von Energieversorgungsnetzen oder von Energieanlagen, sofern sie dem (neuen) § 5c EnWG unterliegen
• Unternehmen, für die durch das Kreditwesengesetz oder das Versicherungsaufsichtsgesetz die Anforderungen aus EU DORA gelten

Diese Unternehmen sind von den NIS2-Pflichten aus §§30, 31, 32, 35, 36, 38, 39 BSIG-E befreit, werden äquivalent durch eigene Gesetze reguliert. Die Ausnahmen sind in §28 (4)(5) BSIG-E.

Grundsätze

Die genannten Betreiber unterliegen den Anforderungen aus TKG oder EnWG und werden durch die BNetzA reguliert. Die NIS2-Ausnahmeregelung soll diesem Faktor Rechnung tragen: Ziel ist insoweit die Vermeidung einer Doppelregulierung durch BNetzA und BSI: die NIS-2-Richtlinie wird in diesem Fall vollständig durch die Regelungen des TKG beziehungsweise des EnWG umgesetzt. (Teil B., Begründung zu § 28 Absatz 4, S. 161, NIS2UmsuCG Stand Juli 2024)

Andererseits sollen durch die Ausnahmeregelung keine Lücken für die Informationssicherheit entstehen. Im Ergebnis [...] [sollen] alle IT-Systeme einer Einrichtung einer Regulierung [unterliegen] (so auch die Vorgabe aus Artikel 21 Absatz 1 der NIS-2-Richtlinie). (Teil B., Begründung zu § 28 Absatz 4, S. 161, NIS2UmsuCG Stand Juli 2024)

Abdeckung

In den Gesetzesentwürfen bis Sommer 2024 ist noch nicht klar, ob die NIS2-Regelungen im TKG und EnWG jeweils die gesamte Einrichtung oder nur bestimmte Anlagen betreffen werden.

In der bisherigen Regulierung gelten die Anforderungen aus EnWG/TKG und den BNetzA IT-Sicherheitskatalogen nur für jene IT-Systeme, Komponenten und Prozesse, die für den sicheren Anlagen- und Netzbetrieb notwendig sind. Die konkrete Auslegung vom Geltungsbereich in den neuen IT-Sicherheitskatalogen bleibt abzuwarten.

Rückausnahmen

Als so genannte Querverbundunternehmen fallen bestimmte Unternehmen unter die NIS2 Sektor-Ausnahmen, während sie gleichzeitig weitere NIS2-Dienste erbringen. In diesen Fällen soll im Gesetz die Zuständigkeit des BSI, für weitere Sektoren durch diese Ausnahmeregelung nicht eingeschränkt werden und die Ausnahmen beschränkt bleiben.

Daher wird in §28 (4) BSIG-E eine entsprechende Rückausnahme geregelt: Teile eines Unternehmens, das eigentlich per Ausnahmeregelung von den NIS2-Pflichten befreit ist, können doch wieder unter NIS2 fallen, wenn sie weitere kritische Anlagen nach § 2 Nummer 22 betreiben oder aufgrund weiterer Tätigkeiten einer der in Anlage 1 oder 2 bestimmten Einrichtungsarten zuzuordnen sind.

Von der Rückausnahme erfasst ist [...] sämtliche IT, die für die Tätigkeiten in diesen Sektoren – bzw. den Betrieb der entsprechenden kritischen Anlage – erheblich ist. Diese unterliegt also wieder den Anforderungen des BSIG, womit insbesondere auch entsprechende Branchenspezifische Sicherheitsstandards nach § 30 Absätze 8 und 9 zur Anwendung kommen können. Von der Rückausnahme nicht erfasst wird demgegenüber Unternehmens-IT, die für die Tätigkeit in diesen weiteren Sektoren nicht erheblich ist (z. B. „Office-IT“ ohne Schnittstellen zu kritischen Anlagen).

Teil B., Begründung zu § 28 Absatz 4, S. 161, NIS2UmsuCG Stand Juli 2024

Sofern Teile der IT für die Tätigkeit in verschiedenen Sektoren erheblich sind, fallen diese wohl tatsächlich unter die Aufsicht der BNetzA als auch des BSI.

Telekommunikation und NIS2

Bestimmte Betreiber in der Telekommunikation unterliegen mehrfacher Regulierung: Neben TKG und BNetzA werden einige Unternehmen auch als Einrichtung durch NIS2 reguliert.

Beispiel: Ein Anbieter mit über 50 Mitarbeitern betreibt ein öffentliches Telekommunikationsnetz. Das Netz fällt unter das TKG und der Anbieter damit unter die Regulierung der BNetzA. Im NIS2 Sektor IT und TK wird das Unternehmen auch eine besonders wichtige Einrichtung (NIS2).

Geltungsbereich

Der Anbieter hat verschiedene Geltungsbereiche: Einerseits den NIS2-Geltungsbereich der ganzen Einrichtung, andererseits den Bereich des TK-Betriebs, in dem TKG und BNetzA-Sicherheitskatalog gelten.

NIS2-Maßnahmen

Mit dem Juli 2024 Gesetzesentwurf verbleiben nur wenige NIS2-Pflichten für doppel-regulierte NIS2-Einrichtungen: Identifizierung/Registrierung als NIS2-Einrichtung §33 und ggf. §34.

TK-Maßnahmen

Für den Geltungsbereich des TK-Netzes muss das Unternehmen von NIS2 abweichend u.a. folgende Maßnahmen nach TKG und zugehörigem Sicherheitskatalog umsetzen:

• Umsetzung technisch-organisatorischer Maßnahmen §165 TKG
• Umsetzung NIS2-äquivalenter Maßnahmen §165 (2a) TKG-E
• Benennung Sicherheitsbeauftragten §166 (1) TKG
• Erstellung eines Sicherheitskonzepts und Vorlage bei der BNetzA §166 (1-3) TKG
• Maßnahmen aus dem Sicherheitskatalog der BNetzA implementieren § 167 (2) TKG

Die grundsätzlichen NIS2-Pflichten aus §33 und ggf. §34 gelten hier auch.

Energiesektor und NIS2

Unternehmen im Energie-Sektor sind je nach Unternehmensgröße besonders wichtige oder wichtige Einrichtung in NIS2. Einige Unternehmen sind zusätzlich Betreiber kritischer Anlagen (KRITIS), wenn sie kritische Anlagen über Schwellenwerten nach KRITIS-Verordnung betreiben. Betreiber von KRITIS-Anlagen sind zusätzlich zu NIS2 vom EnWG betroffen.

Beispiel: Ein Unternehmen betreibt als Energieversorger mit über 50 Mitarbeitern ein örtliches Stromverteilernetz – das als kritische Anlage auch unter das EnWG fällt. In dieser Konstellation ist das Unternehmen ein Betreiber einer kritischen Anlage (KRITIS), dadurch auch besonders wichtige Einrichtung und Betreiber einer Energieanlage, die unter das EnWG fällt.

Geltungsbereich

Der Betreiber hat verschiedene Geltungsbereiche: Einerseits den NIS2-Geltungsbereich der ganzen Einrichtung, andererseits den Geltungsbereich der Anlage Stromverteilnetz, in dem EnWG und BNetzA-Sicherheitskatalog gelten.

NIS2-Maßnahmen

Mit dem Juli 2024 Gesetzesentwurf verbleiben fast keine NIS2-Pflichten für doppel-regulierte NIS2-Einrichtungen: Identifizierung/Registrierung als NIS2-Einrichtung §33 und ggf. §34

EnWG-Maßnahmen

Im Stromverteilnetz muss das Unternehmen Maßnahmen nach EnWG umsetzen:

• Ein ISMS nach ISO/IEC 27001 implementieren mit Governance, Risiko­management, regelmäßiger Überprüfung und kontinuierliche Verbesserung. §5c EnWGIT-SiKat BNetzA
• Einen Netzstrukturplan erstellen. §5c EnWGIT-SiKat BNetzA
• Prozesse zum Incident Management, Business Continuity Management, Lieferanten­management nach Stand der Technik implementieren (inhaltlich recht deckungsgleich zu den NIS2-Anforderungen) – spezifisch für den Netzbetrieb.
• Prozesse zum Meldewesen implementieren, die inhaltlich vermutlich ähnlich zu den NIS2-Anforderungen aus §32 sind, formal aber aus §5c (6) EnWG abgeleitet sind.
• Prozesse zum Nachweis der Erfüllung der Anforderungen implementieren §5c (4) EnWG.
• Sich als Einrichtung identifizieren und beim BSI registrieren §5c (8) EnWG.
• Verantwortung für Geschäftsleitung zur Umsetzung implementieren §5c (9)-(11) EnWG.

Die grundsätzlichen NIS2-Pflichten aus §33§34 gelten ohne Ausnahme.

KRITIS-Maßnahmen

Außerdem gilt für den Geltungsbereich des Stromverteilnetzes vermutlich auch das KRITIS-Dachgesetz. Daraus ergeben sich weitere Anforderungen im Krisen- und Risikomanagement, dedizierte Resilienz­maßnahmen und -pläne, BCM, Personalsicherheit, physische Sicherheit.

Rückausnahmen

Unternehmen, die durch NIS2-Ausnahmeregelungen betroffen sind, sollten feststellen, ob sie:

• in weiteren NIS2-Sektoren als besonders wichtige oder wichtige Einrichtung gelten
• weitere kritische Anlagen in anderen Sektoren betreiben
• weitere Anlagen betreiben oder NIS2-Dienste erbringen, die nicht unter § 5c EnWG fallen

Beispiel Sektor Energie und Wasser

Beispiel: Ein Stadtwerk betreibt gleichzeitig ein Wasserwerk und ein Stromkraftwerk.
IT (Energie), die unter den Anwendungsbereich von § 5c EnWG fällt, ist von NIS2 ausgenommen. IT (Wasser), die nicht durch § 5c EnWG reguliert wird, fällt unter NIS2-Pflichten. Systeme, die sowohl für den Betrieb des Stromkraftwerks als auch des Wasserkraftwerks erheblich sind, unterliegen beiden Regulierungen mit doppelter Aufsicht durch BNetzA und BSI.

Beispiel Sektor Energie

Beispiel: Ein Energieunternehmen betreibt gleichzeitig eine Gasförderanlage (§ 5c EnWG) und ein Gashandelssystem (nicht § 5c EnWG). In diesem Fall würde vermutlich unabhängig der Auslegung vom Geltungsbereich in den neuen IT-Sicherheitskatalogen eine Doppelregulierung entstehen, wenn das Gashandelssystem eine weitere kritische Anlage nach § 2 Nummer 22 wäre. Die Rückausnahme beträfe dann alle informationstechnischen Systeme, ie für den Betrieb der weiteren kritischen Anlage[...] erforderlich sind – diese würden NIS2-Pflichten erhalten.
In der Konsequenz wäre IT, die für den Betrieb des Gasnetzes (EnWG) erheblich ist, von NIS2 ausgenommen. IT, die für das Gashandelssystem erheblich ist und nicht durch § 5c EnWG und die zugehörigen IT-Sicherheitskataloge reguliert wird, fiele unter NIS2. Systeme, die für beides erheblich sind, unterlägen beiden Regulierungen mit doppelter Aufsicht durch BNetzA und BSI.

Beide Beispiele unter Vorbehalt.

Finanzsektor in NIS2

Finanzunternehmen, die durch DORA reguliert werden, gelten aufgrund der NIS2-Definitionen von besonders wichtigen und wichtigen Einrichtungen in §28 BSIG-E (NIS2UmsuCG) zwar als Einrichtungen, sind aber von nahezu allen NIS2-Pflichten ausgenommen. Lediglich die Verpflichtung zur Registrierung beim BSI nach §33 bleibt bestehen.

Eine Doppelregulierung mit DORA und NIS2 ist für Unternehmen im Sektor IT und TK möglich, die als NIS2-Einrichtung gelten und nach DORA als (kritische) IKT-Drittdienstleister eingestuft werden. Das kann z. B. Cloud Provider, Anbieter von TK-Lösungen oder Managed Services Provider betreffen. Auch gruppeninterne IT-Dienstleister sind im aktuellen NIS2-Entwurf nicht ausgenommen und könnten damit sowohl DORA- als auch NIS2-Pflichten umsetzen müssen.

Ein Unternehmen ist mit über 250 Mitarbeitern als Managed Services Provider tätig und damit eine besonders wichtige Einrichtung (NIS2). Es betreibt Software als Services, die Europa durch Banken eingesetzt werden. Im Rahmen von DORA wurde es durch die European Supervisory Authorities (ESA) als kritischer IKT-Drittdienstleister eingestuft.

Geltungsbereich

Der Betreiber hat verschiedene, aber sehr ähnliche Geltungsbereiche für die mehrfachen Vorgaben. Einerseits der NIS2-Geltungsbereich der Einrichtung, hier das ganze Unternehmen. Andererseits der DORA-Geltungsbereich, in dem Dienste für Finanzunternehmen erbracht werden, und DORA (auch) gilt.

NIS2-Maßnahmen

Mit dem Juni 2024 Gesetzesentwurf verbleiben nur wenige NIS2-Pflichten für DORA und NIS2-Einrichtungen: Identifizierung/Registrierung als NIS2-Einrichtung §33 und ggf. §34.

DORA-Maßnahmen

Als kritischer IKT-Drittdienstleister nach DORA unterliegt das Unternehmen der Aufsicht durch die zuständige Überwachungsbehörde (EIOPA, ESMA oder EBA) und muss über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management der IKT-Risiken verfügen.

Dies bedeutet: IKT-Anforderungen zur Sicherstellung von Qualitäts- und Sicherheitszielen, physische Sicherheit, Risikomanagement, Governance-Regelungen, Meldewesen für IKT-bezogene Sicherheitsvorfälle, Tests, Audits und die Übernahme einschlägiger nationaler und internationaler Normen. Art. 33 (2), (3) DORA

Literatur

1. Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft zum Diskussionspapier des Bundesministeriums des Innern und für Heimat zu wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland, Gesamtverband der Deutschen Versicherungswirtschaft e. V., 20. Oktober 2023, Webseite des BMI
2. Überwachungsrahmen für kritische IKT-Drittdienstleister, Die BaFin informiert über Kapitel V, Abschnitt II, Artikel 31 bis 44 DORA, Bundesanstalt für Finanzdienstleistungsaufsicht, o.D.

Quellen

1. Entwurf eines NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetzes, Referentenentwurf, Innenministerium, 24.06.2024
2. Entwurf eines NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetzes, Referentenentwurf, Innenministerium, 07.05.2024