Die Auswirkungen der neuen NIS-2-Richtlinie auf KRITIS: Was die Öffentliche Verwaltung wissen muss

In einer digitalisierten Welt, in der Cyberangriffe auf der Tagesordnung stehen, ist die Cybersicherheit nicht mehr nur eine IT-Angelegenheit, sondern eine gesellschaftliche Notwendigkeit. Die Europäische Union hat diesbezüglich die Network and Information Security (NIS)-2-Richtlinie veröffentlicht, die neue Standards für Cybersicherheit und Datenschutz festlegt, welche bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Dies stellt nicht nur die Weichen für eine sicherere Verwaltung von Daten und Diensten, sondern beeinflusst auch direkt die Sicherheit der Bürgerinnen und Bürger sowie die gesamte gesellschaftliche Stabilität. Ein gehacktes Krankenhaus, das die Patientenversorgung nicht mehr gewährleisten kann oder ein Energieversorger, der nicht mehr in der Lage ist, die Stromzufuhr zu garantieren, sind nur zwei Beispiele, die bereits katastrophale Auswirkungen hätten.

Die NIS-2-Richtlinie (Network and Information Security) ist die Überarbeitung der ursprünglichen NIS-Richtlinie von 2016. Sie zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU sicherzustellen. Die Richtlinie bringt erweiterte Vorgaben für eine Vielzahl von Branchen und baut die Kapazitäten der Mitgliedstaaten für den Umgang mit Cyberbedrohungen aus.

Zu den Hauptelementen gehören:

• Strengere Anforderungen an Risikomanagement und -bewertung
• Erweiterte Berichtspflichten für Sicherheitsvorfälle
• Erhöhte Sanktionen bei Nichteinhaltung

Zunächst ist es wichtig zu wissen, dass die NIS-2-Richtlinie für deutlich mehr Bereiche relevant ist als die erste NIS-Richtlinie. Hinzugekommen sind die sonstigen kritischen Sektoren, welche z. B. Abfallbewirtschaftung, Post und Kurierdienste, Forschung und noch einige weitere Bereiche umfassen. Die Sektoren mit hoher Kritikalität decken sich größtenteils mit jenen, die bereits in Deutschland unter KRITIS fallen. Beispiele für die Sektoren mit hoher Kritikalität sind z. B. Energieversorger, das Gesundheitswesen, die öffentliche Verwaltung und noch einige weitere. 

Zusammenfassend ist die öffentliche Verwaltung noch umfassender betroffen als bei der ersten NIS-Richtlinie.

Mit der NIS-2 Richtlinie wird das neue IT-Sicherheitsgesetz NIS2UmsuCG erscheinen. Das IT-Sicherheitsgesetz ist die nächste Entwicklungsstufe für das Management kritischer Infrastrukturen in Deutschland. Die neuen Vorschriften der NIS-2-Richtlinie lassen folgende Auswirkungen vermuten:

• Erweiterte Zuständigkeiten: Unternehmen und Einrichtungen, die bisher nicht als Betreiber kritischer Infrastrukturen (KRITIS) galten, fallen nun in den Anwendungsbereich der NIS-2-Richtlinie und damit auch von NIS2UmsuCG. Dies bedeutet, dass eine Vielzahl neuer Akteure ihre Cybersicherheitsmaßnahmen dringend überprüfen und anpassen müssen.
• Höhere Compliance-Anforderungen: Die NIS-2-Richtlinie erweitert die Compliance-Anforderungen, insbesondere im Hinblick auf die Meldung von Sicherheitsvorfällen und die Durchführung von Risikoanalysen. Für die öffentliche Verwaltung bedeutet dies, dass vorhandene Prozesse und Technologien überdacht und aktualisiert werden müssen.
• Sanktionen und Strafen: Die NIS-2-Richtlinie sieht strengere Sanktionen bei Nichteinhaltung vor, was das Risikoprofil für die öffentliche Verwaltung erhöht. Im Falle eines Verstoßes können erhebliche finanzielle und rechtliche Konsequenzen drohen. Zusätzlich kann die Fahrlässigkeit der Nicht-Durchsetzung der NIS-Richtlinie öffentlich gemacht werden, was erhebliche Reputationsschäden für die Organisation bedeuten würde. Diese Reputationsschäden sollte man sich gerade als öffentliche Verwaltung nicht erlauben, da dies ein sehr schlechtes Licht auf den Staat werfen würde, wenn dieser die eigenen Richtlinien nicht durchsetzt.

Zuerst sollte eine umfassende Risikobewertung durchgeführt werden, um zu ermitteln, inwieweit die neuen Vorschriften Auswirkungen auf die Organisation haben. Als zweiten Schritt müssen dann die IT-Infrastruktur und die Sicherheitsmaßnahmen entsprechend der neuen Anforderungen aktualisiert werden. Im Anschluss daran sollten die Mitarbeiter geschult werden, damit diese ein besseres Verständnis für die neuen Vorschriften und den damit verbundenen Risiken entwickeln. Dann empfehlen wir, Mechanismen für die rechtzeitige Erkennung und Meldung von Sicherheitsvorfällen zu implementieren, um eine gute Berichterstattung und gutes Monitoring zu garantieren.
Zuletzt sollte rechtliche Beratung hinzugezogen werden, um sicherzustellen, dass alle Aktivitäten im Einklang mit den neuen Vorschriften stehen.

Die NIS-2-Richtlinie ist nicht nur eine Herausforderung, sondern vor allem eine Chance, das Thema Cybersicherheit in der öffentlichen Verwaltung und in KRITIS-Bereichen auf ein neues, solides Fundament zu stellen. NIS2UmsuCG wird durch diese Vorschriften erheblich beeinflusst, und die öffentliche Verwaltung muss proaktiv handeln, um sowohl Compliance als auch ein hohes Niveau an Cybersicherheit sicherzustellen. Die Zeit drängt und die Notwendigkeit für sofortige Aktion ist klar. Im KRITIS-Bereich kann und sollte man sich auf ein stabiles Netz und performante IT verlassen können, aber dieses Vertrauen muss durch kontinuierliche Anstrengungen im Bereich der Cybersicherheit untermauert werden. 
Wir von der Telekom betreiben nicht nur Consulting, um die NIS-2 Richtlinie umzusetzen, sondern sind auch selbst von der Richtlinie betroffen. Wir haben also KRITIS Prüfungen hautnah miterlebt.

Zudem ist die Telekom der größte IT-Dienstleister für den öffentlichen Sektor in Deutschland. In den vergangenen Jahren konnten wir in vielen hundert Projekten umfangreiche Erfahrungen in der Digitalisierung der öffentlichen Verwaltung sammeln.
Aus der engen Zusammenarbeit mit dem BSI und aus unseren Projekten haben wir fundiertes Wissen rund um das Thema KRITIS aufbauen können. Dieses Wissen und die eigenen Erfahrungen, die wir mit der Umsetzung von KRITIS-Richtlinien machen konnten, stellen wir gerne zur Verfügung.
Für Entscheidungsträger bietet die Umsetzung der NIS-2-Anforderungen die Möglichkeit, die Cyberresilienz ihrer Organisationen zu stärken und damit einen wertvollen Beitrag zur gesellschaftlichen Sicherheit zu leisten.  Die Maßnahmen sollten möglichst schnell ergriffen werden, da die Zeit drängt. Die NIS-2 Richtlinie muss bis zum 17.10.2024 in nationales Recht umgesetzt werden.