Verlag Orthopädie-Technik

Fachportal des Bundesinnungsverbandes für Orthopädie-Technik

Aktuell 

Umset­zung der NIS-2-Richtlinie

Die Umsetzung der NIS-2-Richtlinie in deutsches Recht verzögert sich, doch das BSI rät betroffenen Betrieben, ihre IT-Sicherheit bereits jetzt zu stärken.
Brigitte Siegmund , , , , , , ,
Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland noch nicht abgeschlossen werden.
Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland noch nicht abgeschlossen werden. Foto: rawpixel/123rf

Bereits Ende 2022 wur­de die NIS-2-Richt­li­nie (The Net­work and Infor­ma­ti­on Secu­ri­ty Direc­ti­ve) bekannt ge­geben und trat nur weni­ge Wochen spä­ter, am 16. Janu­ar 2023, in Kraft. Die NIS-2-Richt­li­nie regelt die Cyber- und Infor­ma­ti­ons­si­cher­heit von Unter­neh­men und Insti­tu­tio­nen. Um die EU-Richt­li­nie in das natio­na­le Recht zu über­füh­ren, galt ursprüng­lich eine Frist bis Okto­ber 2024. Die­se wur­de von Deutsch­land nicht ein­ge­hal­ten, obwohl ein Gesetz­ent­wurf der Bundes­regierung zur Umset­zung – bekannt als NIS-2-Umset­zungs- und Cybersicherheits­stärkungsgesetz (NIS2UmsuCG) – vorliegt.

Die Richt­li­nie kann auch für die Betrie­be der Gesund­heits­hand­wer­ke gel­ten, eine kon­kre­te Umset­zung auf­grund der feh­len­den Geset­zes­la­ge ist aber noch nicht mög­lich. Erst nach Inkraft­tre­ten der Geset­zes­än­de­run­gen, unter ande­rem in Gestalt eines neu gefass­ten Geset­zes des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), gel­ten die neu­en Pflichten.

Was bereits fest­steht: Bei den Unter­neh­men ist nach Betriebs­grö­ße zu dif­fe­ren­zie­ren. Hier gibt ein soge­nann­ter Ent­schei­dungs­baum des BSI einen guten Über­blick. Fer­ner bie­tet das BSI eine Betrof­fen­heits­prü­fung an. Betrie­be mit mehr als 50 Beschäf­tig­ten oder mit mehr als 10 Mio. Euro Jah­res­um­satz oder mit einer Jah­res­bi­lanz­sum­me von mehr als 10 Mio. Euro fal­len in den Anwen­dungs­be­reich der „wich­ti­gen Ein­rich­tun­gen“ der kri­ti­schen Infra­struk­tur. Betrie­be mit mehr als 250 Beschäf­tig­ten oder mehr als 50 Mio. Euro Jah­res­um­satz oder einer Jah­res­bi­lanz­sum­me von über 43 Mio. Euro fal­len in den Anwen­dungs­be­reich als „beson­ders wich­ti­ge Ein­rich­tun­gen“ der kri­ti­schen Infrastruktur.

Die betrof­fe­nen Betrie­be wer­den nach Inkraft­tre­ten des neu­en BSI-Geset­zes ver­pflich­tet sein, sich bei der zu­ständigen Behör­de zu regis­trie­ren und vor­aus­sicht­lich fol­gen­de Daten anzugeben:

  • Name der Einrichtung
  • Rechts­form
  • Han­dels­re­gis­ter­num­mer
  • Anschrift
  • Kon­takt­da­ten (E‑Mail, Tele­fon, öffent­li­che IP-Adressbereiche)
  • rele­van­ter Sek­tor (nach Anhang 1 und 2 der Richt­li­nie) oder Branche
  • Auf­lis­tung der EU-Mit­glieds­staa­ten, in denen Diens­te nach Anhang 1 und 2 der Richt­li­nie erbracht werden
  • zustän­di­ge Auf­sichts­be­hör­de des Bun­des und/oder des Landes

Zudem besteht eine Pflicht zur Umset­zung von Cyber­­si­cher­heit-Risi­ko­ma­nage­ment­maß­nah­men und zur Mel­dung von erheb­li­chen Sicher­heits­vor­fäl­len. Des Wei­te­ren besteht eine Umsetzungs‑, Über­wa­chungs- und Schu­lungs­pflicht für Geschäftsleitungen.

Ob wei­te­re Betrie­be, die die Ord­nungs­grö­ßen nicht erfül­len, auf­grund ihrer Bran­chen­tä­tig­keit eben­falls in den Anwen­dungs­be­reich fal­len, kann erst nach Neu­fas­sung der gesetz­li­chen Rege­lun­gen beant­wor­tet werden.

Wie kön­nen sich die Betrie­be vorbereiten?

Nach Aus­kunft des Bun­des­mi­nis­te­ri­ums des Innern und für Hei­mat (BMI) und des BSI gibt es noch kei­ne ver­läss­li­chen Aus­sa­gen, wel­che Anfor­de­run­gen im Ein­zel­nen auf die Betrie­be zukom­men. Auch der Mel­de­pro­zess kann erst wei­ter­ver­folgt wer­den, wenn das neue BSI-Gesetz in Kraft tritt und die erfor­der­li­chen Lösun­gen von den Melde­stellen geschaf­fen wurden.

Das BSI emp­fiehlt, unab­hän­gig von der erwar­te­ten Regu­lie­rung, das eige­ne IT-Sicher­heits­ni­veau kon­ti­nu­ier­lich zu ver­bes­sern und zu erhö­hen. Dabei wird etwa auf den Stan­dard DIN 27001 ver­wie­sen. Eine Unter­neh­mens­zer­ti­fi­zie­rung nach VDS 10000 wird als nicht aus­rei­chend erach­tet und kann laut BSI ledig­lich ein Bau­stein zur Umset­zung der Risi­ko­ma­nage­ment­maß­nah­men sein. Mit die­sen Maß­nah­men soll­ten sich die Betrie­be auf Anra­ten des BSI bereits ver­traut machen. Dar­un­ter fal­len etwa die Risi­ko­ana­ly­se und Infor­ma­ti­ons­si­cher­heit, die Not­fall­kon­zep­te und das Schwach­stel­len­ma­nage­ment, die Zugriffs­kon­trol­le sowie die Authentifizierungssicherheit.

Wie geht es wei­ter mit dem NIS2UmsuCG?

Das Gesetz­ge­bungs­ver­fah­ren wird unter einer neu­en Regie­rung wie­der­holt wer­den und es sind Über­ar­bei­tun­gen und Ände­run­gen des aktu­el­len Regie­rungs­ent­wurfs des NIS2UmsuCG zu erwar­ten. Der Bun­des­in­nungs­ver­band für Ortho­pä­die-Tech­nik (BIV-OT) und der Zen­tral­ver­band des Deut­schen Hand­werks (ZDH) ste­hen für die Gesund­heits­hand­wer­ke im Aus­tausch – auch mit dem zustän­di­gen BSI und dem feder­füh­ren­den BMI. Der ZDH hat sich ange­sichts der unkla­ren Situa­ti­on für Hand­werks­be­trie­be nun erneut an die zustän­di­gen Behör­den gewandt.

 

Die neusten Beiträge von Bri­git­te Sieg­mund (Alle ansehen)
Tei­len Sie die­sen Inhalt