NET 5/24

20 www.net-im-web.de 05/24 Network Information Security (NIS 2) • Umsetzungsgesetz NIS 1 (2017): Neue Regelungen für Anbieter di- gitaler Dienste. • IT-Sicherheitsgesetz 2.0 (2021): Ein- satz von Systemen zur Angriffserken- nung (§ 8a Abs. 1a). Neuer Sektor der Siedlungsabfallentsorgung, Selbst- erklärung zur IT-Sicherheit für Unter- nehmen im besonderen öffentlichen Interesse (§ 8f ). • NIS 2 und Resilience of Critical Entities (2024): Definition neuer Sek- toren (z. B. öffentliche Verwaltung, Weltraum, Forschungseinrichtungen), Einführung von „Size-Cap-Regeln“, Unternehmen mit über 50 Mitarbei- tern oder Jahresumsätze von über 10 Mio. Euro müssen die Sicherheits- regeln ebenfalls umsetzen. • Digital Operational Resilience Act (2025): Betriebsstabilität digitaler Systeme des Finanzsektors. Dies ist aufgrund der immer größeren Bedrohungslage auch notwendig, die auch der jährliche BSI-Lagebericht widerspiegelt (siehe Abbildung 1). Demnach waren 66% aller Spam-Mails im Jahr 2023 Cyber- angriffe, die 34% Erpressungsmails und 32%Betrugsmails enthielten. Alle betrüge- rischen E-Mails waren Phishing-Mails zur Erbeutung von Authentifizierungsdaten. Rund 21.000 infizierte Systeme wurden täglich im Jahr 2023 erkannt. Das BSI spricht inzwischen von einer besorgnis- erregenden Lage. Dementsprechend werden die gesetzlichen Regularien immer weiter verschärft, was unter anderem durch die europäische NIS 2-Regelung zum Aus- druck gebracht wird, die bis zum 17. Ok- tober 2024 in die deutsche Gesetzgebung eingebunden werden muss. Die Anzahl der als tatsächlich kritisch eingestuften Unternehmen wird sich dann von ca. 800 auf 30.000 erhöhen. Ob das BSI dieses zusätzliche Arbeitsaufkommen ableisten kann, ist allerdings fraglich. Neuerungen durch NIS 2 Durch die europäischen RegelungenNet- work and Information Security (NIS) und Critical Entities Resilience Directive (CER) kommen einige Änderungen auf betroffene Unternehmen zu. Zum einen werdenmehr als doppelt so viele Sektoren (18 Stück, wie zum Beispiel Anbieter digitaler Dienste, Post, Forschung, Ban- ken) als kritisch eingestuft. Zum anderen werden gesetzliche Verstöße gegen die NIS 2-Vorgaben nach einem erheblich verschärften Bußgeldkatalog geahndet. Die wichtigste Neuerung stellt darüber hinaus aber die Geschäftsleiter- verantwortlichkeit dar, durch die die Geschäftsführung bei Pflichtverletzun- gen persönlich haftet. In diesem Fall wird das private Vermögen herangezo- gen, unabhängig davon, ob die Firma eine Kapital- oder Personengesellschaft mit beschränkter Haftung ist. Ob dies durchsetzbar ist, kann allerdings auch erst die spätere Praxis beantworten, da die Geschäftsführer normalerweise durch Ka- pitalgesellschaften von direkter Haftung ausgeschlossen werden. Auch die Meldepflicht bei Sicherheits- vorfällen wurde neu geregelt. Sie soll zukünftig zweistufig erfolgen: • Innerhalb von 24 Stunden muss eine vorläufige Meldung erfolgen, wenn eine kritische Dienstleistung ausfällt. Das gilt auch, wenn noch keine Kenntnisse darüber vorliegen, was genau passiert ist. • Spätestens nach 72 Stunden erwartet die BSI-Aufsichtsbehörde eine quali- fizierte Meldung über den Vorfall und wie dieser bekämpft werden soll. Dabei wurde auch die bisherige KRITIS- Verordnung angepasst. Vorher waren Sektor-Zugehörigkeit, Anlagenkatego- rien und Schwellwerte ausschlaggebend. So legte beispielsweise der Schwellwert von 500.000 Menschen, die von einem Anlagenausfall betroffen wären, fest, ob ein Unternehmen in die KRITIS-Ver- ordnung fiel oder nicht. In NIS 2 wurde die Einstufung hingegen auf Basis der Unternehmensgröße und Umsatzzahlen vorgenommen. Es gilt daher ein einfa- ches Mengengerüst: Unternehmen aus einem von 18 Sektoren mit mehr als 50 Bild 1: Laut dem aktuellen BSI-Lagebericht waren 66% aller Spam-Mails im Jahr 2023 Cyberangriffe. Rund 21.000 infizierte Systeme wurden täglich im Jahr 2023 erkannt. Das BSI spricht von einer besorgniserregenden Lage (Grafik: BSI)