POSITION | DIGITALPOLITIK | CYBERSICHERHEIT
Cybersicherheitsregulierung Überlappungsfreie gesetzliche IT-Sicherheitsanforderungen forcieren
01. Februar 2024 Durch die aktuell laufende Implementierung der Anforderungen der NIS-2-Richtlinie in nationales Recht wird es zu einer Verzehnfachung des Betroffenenkreises kommen. Die in den Anwendungsbereich des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes fallenden Unternehmen müssen gemäß § 30 weitreichende technische und organisatorische Risikomanagementmaßnahmen umsetzen, nach § 32 bis zu fünf Meldungen pro erheblichem Cybersicherheitsvorfall gegenüber dem BSI vornehmen und sich nach § 33 bei diesem registrieren. Eine aktuelle Bitkom-Studie zeigt, dass im letzten Jahr mehr als 80 Prozent der Unternehmen von Cyberkriminalität betroffen waren. Nicht zuletzt vor dem Hintergrund dieser erhöhten Bedrohungslage und der fortschreitenden digitalen Transformation von Geschäftsprozessen und Produkten sind sich deutsche Industrieunternehmen der Notwendigkeit zur Umsetzung geeigneter Cyber-Resilienzmaßnahmen bewusst. Angesichts des eklatanten Fachkräftemangels, der im Bereich IT-Security aktuell ca. 105.000 Expertinnen und Experten allein in Deutschland beträgt, ist es von herausgehobener Bedeutung, dass der Gesetzgeber dafür Sorge trägt, dass Unternehmen nicht durch überlappende gesetzliche Anforderungen inhaltsgleiche Nachweise erbringen, kostspielige Audits durchlaufen, redundante Meldewege sowie widerstreitende Risikominimierungsmaßnahmen implementieren müssen. Kernforderungen der deutschen Industrie ▪
Harmonisierung der im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) enthaltenen Anforderungen an Prozesse zur Risikominimierung – sowie soweit als möglich damit verbundene Maßnahmen – mit denen, die sich aus dem Bundes-Immissionsschutzgesetz (BImSchG), dem Gesetz über überwachungsbedürftige Anlagen (ÜAnlG) – sowie den entsprechenden nachgelagerten Umsetzungsverordnungen –, der Durchführungsverordnungen (EU) 2019/1583 für Luftsicherheit sowie (EU) 2023/203 und (EU) 2022/1645 für die Flugsicherheit sowie den zwei Sicherheitskatalogen nach Energiewirtschaftsgesetz (EnWG) ergeben.
▪
Harmonisierung und Bündelung von Audit-, Prüf- und Nachweispflichten zu Cybersicherheitsanforderungen aus NIS2UmsuCG mit denen, die sich aus BImSchG und ÜAnlG – sowie den entsprechenden nachgelagerten Umsetzungsverordnungen –, den Durchführungsverordnungen (EU) 2019/1583, (EU) 2023/203 und (EU) 2022/1645 und den zwei Sicherheitskatalogen nach EnWG ergeben.
▪
Etablierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) als maßgeblicher Ansprechpartner für alle Cybersicherheitsanliegen der Wirtschaft. Dabei sind zwingend widerspruchsfreie Anforderungen, maximale Rechtssicherheit für Unternehmen sowie ein Höchstmaß von Kooperation zwischen Behörden auf Bundes- und Landesebene zu gewährleisten.
▪
Etablierung eines einheitlichen volldigitalen Informations- und Meldeweges an eine zentrale Meldestelle unter Einbindung der einschlägigen sektorspezifischen Behörden.
Bundesverband der Deutschen Industrie e.V. Steven Heckler | Stellvertretender Abteilungsleiter Digitalisierung und Innovation | s.heckler@bdi.eu | www.bdi.eu
Cybersicherheitsregulierung
Überblick: Gesetzliche Cybersicherheitsanforderungen an Unternehmen Im Folgenden fassen wir zentrale Cybersicherheitsanforderungen, der für die deutsche Industrie einschlägigen Gesetze sowie nachgelagerten Umsetzungsverordnungen zusammen. Dabei wird deutlich, dass die unterschiedlichen Gesetze sowie Verordnungen weitreichende Überlappungen im Bereich der Cybersicherheit aufweisen, die zu Mehrbelastungen in der Industrie führen, ohne Mehrwerte für die Cybersicherheit zu bringen. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sieht – gemäß den europarechtlichen Vorgaben – für wichtige und besonders wichtige Einrichtungen sowie Betreiber Kritischer Anlagen unter anderem folgende Pflichten vor: ▪
Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und Benennung einer Ansprechperson (§ 33 BSIG-E neu);
▪
Drei bis fünf Meldungen pro erheblichem Cybersicherheitsvorfall (§ 32 BSIG-E neu);
▪
Geschäftsleitung muss Cybersicherheitsstrategie freigeben und deren Umsetzung überwachen;
▪
Implementierung weitreichender Risikomanagementmaßnahmen (§ 30 BSIG-E neu) – darunter Konzepte für Risikoanalyse und Sicherheit von IT-Systemen, Sicherheit von Lieferketten, grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit, Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen sowie Verwendung von Multi-Faktor Authentifizierung;
▪
Betreiber Kritischer Anlagen müssen gegenüber dem BSI verpflichtend (§ 39; §§ 64-65) wichtige sowie besonders wichtige Einrichtungen nach Aufforderung die Umsetzung der Risikomanagementmaßnahmen nach § 30 durch geeignete Audits, Prüfungen und Zertifizierungen nachweisen;
▪
Billigungs-, Überwachungs- und Schulungspflicht der Risikomanagementmaßnahmen nach § 30 für Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 38).
Bundes-Immissionsschutzgesetz (BImSchG) Konkretisierungen zu Cybersicherheitsanforderungen ergeben sich aus der Störfallverordnung (12. BImSchV). Cyberbedrohungen werden hier als „Eingriffe Unbefugter“ bewertet. Allgemeine Anforderungen an die Cybersicherheit sind in einem Leitfaden der Kommission für Anlagensicherheit formuliert (KAS 51), richten sich an Anlagenbetreiber und betreffen u. a. die Themen: ▪
Cybersicherheit ist Führungsaufgabe;
▪
IT-Sicherheit bei der Errichtung von Anlagen sowie
▪
Erkennung von und Maßnahmen nach Cybersicherheitsvorfällen.
Das Bundes-Immissionsschutzgesetz ermöglicht der zuständigen Behörde die Anordnung von Prüfungen durch Sachverständige (§ 29a; § 29b). Die zuständigen Behörden nutzen dies im Rahmen von Genehmigungsverfahren, bei Vor-Ort-Prüfungen und bei der Prüfung von Sicherheitsberichten. Die aktuell anerkannten Fachgebiete für § 29b-Sachverständige berücksichtigen die Cybersicherheit nicht.
2
Cybersicherheitsregulierung
Zur Prüfung der Cybersicherheitsumsetzung nach KAS 51 wurde im Bundesrat die Erweiterung der Sachverständigen-Fachgebiete in der entsprechenden Verordnung (41. BImSchV) um IT/OT-Sachverständige vorgeschlagen. Ohne Abgleich mit Anforderungen aus dem ÜAnlG bedeutet das: ▪
Sofortige Gutachten-Anforderungen entsprechender – nicht vorhandener – anerkannter Sachverständiger durch die zuständigen Behörden;
▪
Zeitverzug von Genehmigungsverfahren;
▪
Bisher nicht definierter behördlicher Mehraufwand zur Anerkennung der benötigten Sachverständigen;
▪
Mehrfachanerkennungen von Sachverständigen und Mehrfachprüfungen an identischen Prüfobjekten.
Gesetz über überwachungsbedürftige Anlagen (ÜAnlG) Die Prüfung überwachungsbedürftiger Anlagen durch die zugelassenen Überwachungsstellen (ZÜS) schließt die Prüfung der Cybersicherheit ein. Vergleichbar mit KAS 51 (siehe BImSchG) ergeben sich Anforderungen an die von Betreibern einzuhaltenden und von der ZÜS zu prüfenden Maßnahmen aus dem mit dem ÜAnlG verknüpften Regelwerk zur Betriebssicherheitsverordnung (TRBS 1115-1). Gegenüber KAS 51 werden hier detailliertere Anforderungen an die Cybersicherheit gestellt – dazu zählen: ▪
Vorgaben zum Management der Cybersicherheit;
▪
Organisatorische Maßnahmen, z. B. erforderliche Fachkunde zur Durchführung von (Cyber-)Gefährdungsbeurteilungen;
▪
Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen sowie
▪
Betrieb, Instandhaltung und regelmäßige Kontrolle der Funktionsfähigkeit der Cybersicherheitsmaßnahmen.
Ebenso wie im BImSchG ist die Kompetenz zur Prüfung der Cybersicherheit durch entsprechend qualifizierte anerkannte Sachverständige derzeit nicht Bestandteil der Anerkennungsinhalte einer ZÜS. Es ist zwingend erforderlich, eine geeignete Vorgehensweise zu schaffen, die die Etablierung geeigneter Verfahren zeitlich ermöglicht und die Inbetriebnahme von Anlagen nicht verzögert. Grundstandards für die Luftsicherheit in Bezug auf Cybersicherheitsmaßnahmen Mit der Durchführungsverordnung (EU) 2019/1583 vom 25. September 2019 hat die EU gemeinsame Vorschriften und Grundstandards für die Luftsicherheit in Bezug auf Cybersicherheitsmaßnahmen beschlossen. Die Regelungen sind am 31. Dezember 2021 in Kraft getreten. Das Bundesministerium des Innern und für Heimat sowie das Bundesministerium für Digitales und Verkehr erarbeiten aktuell Grundsätze für die nationale Umsetzung. Zu den Anforderungen gehören u. a.: ▪
Ermittlung kritischer informations- und kommunikationstechnischer Systeme und Daten;
▪
Festlegung von Informationssicherheitsmaßnahmen im Luftsicherheitsprogramm sowie
3
Cybersicherheitsregulierung
▪
Durchführung von Zuverlässigkeitsüberprüfungen und Schulungen für Personen, die Zugang zu kritischen Daten und Systemen haben.
Die Anerkennung bestehender Standards muss gewährleistet werden, um Rechtsunsicherheiten zu vermeiden und knappe Ressourcen für die Cyberabwehr einsetzen zu können. Bei der Zulassung von Sicherheitsprogrammen sollten Nachweise für bestehendes Cybersicherheitsengagement unbürokratisch eingebracht werden können. Bei Schulungen sollten Industriestandards anerkannt und Vorerfahrungen berücksichtigt, bei Personenkreisen ohne deutschen Wohnsitz Zuverlässigkeitsüberprüfungen entlang lokaler oder Industriestandards ermöglicht werden. Grundstandards für die Flugsicherheit in Bezug auf Cybersicherheitsmaßnahmen Die Delegierte Verordnung der Kommission (EU) 2022/1645 vom 14. Juli 2022 (Adressaten Flughafenbetreiber sowie Herstellungs- und Entwicklungsorganisationen) und die Durchführungsverordnung der Kommission (EU) 2023/203 vom 27. Oktober 2022 (Adressaten Luftfahrtunternehmen, Instandhaltungsorganisationen, Betreiber von Flugsimulationsübungsgeräten etc.) beinhalten vergleichbare Anforderungen an das Management der Informationssicherheit mit potenziellen Auswirkungen auf die Flugsicherheit (aviation safety). Beide Verordnungen dienen der Umsetzung der Verordnung zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit ((EU) 2018/1139). Die Verordnung (EU) 2022/1645 gilt ab dem 16. Oktober 2025, die Verordnung (EU) 2023/203 gilt ab dem 22. Februar 2026. Zu den Anforderungen gehören u. a.: ▪
Identifizierung und das Management von Informationssicherheitsrisiken (welche die eingesetzten Zivilluftfahrt-Systeme und -Daten der Informations- und Kommunikationstechnik beeinträchtigen könnten) mit potenziellen Auswirkungen auf die Flugsicherheit,
▪
Die Erkennung und Identifizierung von Informationssicherheitsereignissen, die als Störungen der Informationssicherheit mit potenziellen Auswirkungen auf die Flugsicherheit gelten – inklusive einer damit verbundenen Meldepflicht sowie
▪
Angemessene Reaktion auf die Ereignisse und die Wiederherstellung der Systeme nach solchen Ereignissen.
Die Anwendung der aktuellen und zukünftigen cybersicherheitsrelevanten Regulierungen in der Luftfahrtbranche führen zu Parallelstrukturen bei Zuständigkeiten zwischen den verschiedenen Behörden (z. B. BSI, Landesluftsicherheitsbehörden und Luftfahrtbundesamt). Zudem erschweren nationale Sonderregelungen (z. B. Meldepflichten) die komplexe Umsetzung und den daraus resultierenden Regelbetrieb. Die unterschiedlichen Vorgaben, z. B. beim Meldewesen, führen in den Unternehmen zu Redundanzen und Mehrfachmeldungen bei der nicht standardisierten Erfassung von Sicherheitsereignissen mit ihren unterschiedlich einzuhaltenden Fristen. Energiewirtschaftsgesetz Das Energiewirtschaftsgesetz (EnWG) sowie die beiden nachgelagerten IT-Sicherheitskataloge nach § 1a EnWG respektive § 1b EnWG geben für Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastrukturen bestimmt wurden, im Wesentlichen folgende Pflichten vor: ▪
Umsetzung und Zertifizierung eines Information Security Management Systems (ISMS) nach IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) und ISO 27001 (§ 11 Absatz 1a, Energienetze, § 11 Absatz 1b, Energieanlagen);
4
Cybersicherheitsregulierung
▪
Meldung von IT-Störungen im Energiebereich an das BSI (§ 11 Absatz 1c);
▪
Registrierungspflicht der betriebenen Anlagen sowie Benennung einer Kontaktstelle bis zum 1. April jeden Jahres (§ 11 Absatz 1d);
▪
Pflicht zur Einrichtung von Systemen zur Angriffsfrüherkennung (§ 11 Absatz 1e) und
▪
Pflicht zum Nachweis über Einrichtung eines Systems nach §11 Absatz 1e an das BSI (§ 11 Absatz 1g).
Für die zu erbringende ISMS-Zertifizierung sind neben den Anforderungen aus dem anerkannten Standard ISO 27001 zusätzliche Anforderungen aus dem jeweiligen IT-Sicherheitskatalog zu erfüllen. Dabei weichen die Anforderungen der beiden IT-Sicherheitskataloge nach § 1a EnWG respektive § 1b EnWG, z. B. in den Themen Assetmanagement und Risikomanagement, stark voneinander ab. Bei der Zertifizierung des ISMS muss zusätzlich zum akkreditiertem ISO 27001-Auditor ein Fachexperte / eine Fachexpertin für den jeweils zu zertifizierenden IT-Sicherheitskatalog teilnehmen. Zusätzlich zur Zertifizierung des ISMS muss alle zwei Jahre durch einen unabhängigen, entsprechend qualifizierten Auditor die Umsetzung der Einrichtung von Systemen zur Angriffsfrüherkennung geprüft und gemeldet werden.
Handlungsempfehlungen zum Streamlining von regulatorischen Cybersicherheitsanforderungen sowie zur Bündelung von Pflichten und Ansprechpartnern 1. Cybersicherheitsanforderungen über Ressortgrenzen hinweg harmonisieren Aus Sicht des BDI ist es unabdingbar, die im NIS2UmsuCG enthaltenen Anforderungen an Risikominimierung mit denen, die sich aus BImSchG, ÜAnlG – inkl. der entsprechenden nachgelagerten Umsetzungsverordnungen –, den Durchführungsverordnungen (EU) 2019/1583(EU), 2023/203 und (EU) 2022/1645 sowie den Sicherheitskatalogen nach EnWG ergeben, bestmöglich zu harmonisieren. Eine überlappungsfreie nationale Rechtsanwendung ist nicht nur aus unternehmerischer und bürokratischer Sicht sinnvoll, sondern leitet sich bereits aus den europäischen Vorgaben ab und ist damit dringend geboten. Nur aufeinander abgestimmte Vorgehensweisen verhindern unnötige und vielfach personell wie finanziell nicht darstellbare Mehrfachaufwände. Hierfür ist es zwingend, dass die jeweils zuständigen Bundes- und Landesministerien sowie nachgelagerte, mit der Umsetzung betraute Behörden sich eng austauschen. Die Cybersicherheitsanforderungen, die sich aus der NIS-2-Richtlinie – respektive dem nationalen Umsetzungsgesetz ergeben – müssen durch alle Ressorts als die einschlägigen Basisanforderungen angesehen werden. Zusätzlich ist die Konformität beziehungsweise Gleichwertigkeit der nationalen Umsetzung auch gegenüber bestehenden EU-Vorgaben sicherzustellen. 2. Audit-, Prüf- und Nachweispflichten bündeln Nachweise, die Unternehmen bereits im Rahmen der Erfüllung der Anforderungen aus dem NIS2UmsuCG erbracht haben, sollten bei Überprüfungen nach dem BImSchG, ÜAnlG, dem EnWG und den Durchführungsverordnungen (EU) 2019/1583, 2023/203 und (EU) 2022/1645 berücksichtigt werden können. Angesichts knapper personeller Ressourcen – sowohl auf Seiten der Unternehmen als auch auf Seiten der prüfenden Organisationen – müssen zur Sicherstellung eines risikoadäquaten Cybersicherheitsniveaus Doppelprüfungen zwingend ausgeschlossen werden. Für die Erstellung der gesetzlich geforderten rechtsgebietsspezifischen Nachweise müssen klare, bundesweit einheitliche Nachweispflichten entwickelt werden, die nicht zu einer Verzögerung der Verfahren (z. B. Genehmigungen)
5
Cybersicherheitsregulierung
führen. Dem Beratungsbedarf der Unternehmen durch die Behörden ist dabei ausreichend Rechnung zu tragen. Vorhandenen Kompetenzen, z. B. in Landesämtern, sind hierbei zu nutzen. Ein entsprechender Wissenstransfer ist zu gewährleisten. Da in Unternehmen vielfach die IT-Sicherheit auch durch nicht-deutschsprachige Mitarbeiterinnen und Mitarbeiter gewährleistet wird, sollten Nachweise, Dokumentationen und Meldungen grundsätzlich durch die zuständigen Behörden auch in englischer Sprache entgegengenommen und verarbeitet werden. Dies würde den Informationsfluss zwischen Unternehmen und der öffentlichen Verwaltung erheblich beschleunigen. 3. BSI als maßgeblichen behördlichen Cybersicherheits-Ansprechpartner etablieren In der Wirtschaft wird das Bundesamt für Sicherheit in der Informationstechnik als die IT-Sicherheitskompetenz unter den Bundes- und Landesbehörden wahrgenommen und für den inhaltlich fundierten und vertrauensvollen Austausch geschätzt. Anstatt Landesämter, die für den Vollzug des BImSchG und ÜAnlG sowie der nachgelagerten Anforderungen zuständig sind, als zusätzlichen behördlichen Ansprechpartner für grundlegende fachliche Fragen der Cybersicherheit zu etablieren, sollte das BSI diesbezüglich maßgeblicher Ansprechpartner werden. Hierdurch kann sichergestellt werden, dass Landesämter ihren Überprüfungen einheitliche und fachlich fundierte Anforderungen zugrunde legen, dass Unternehmen keine divergierenden Anweisungen erhalten und dass Ressourcen fokussiert auf die Stärkung der Cyberresilienz eingesetzt werden können. 4. Zentrales Melde- und Informationswesen für erhebliche Cybersicherheitsvorfälle Im Sinne eines ganzheitlichen und effizienten Verwaltungshandelns und zur Reduktion von Mehrkosten müssen Mehrfachmeldungen von Sicherheitsvorfällen vermieden werden. Die deutsche Industrie fordert den zügigen Aufbau eines einheitlichen Ende-zu-Ende digitalisierten Melde- und Informationswesens zu Cybersicherheitsvorfällen. Darüber müssen alle sektorspezifischen sowie nach NIS2UmsuCG geforderten Cybersicherheits-Vorfalls- und Störungsmeldungen nach dem „Single-Window-Prinzip“ übermittelt werden können. Das Bundesministerium des Innern und für Heimat sollte gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik die einschlägigen Cybersicherheitsvorfallsmeldungen über das im Rahmen der Umsetzung des Onlinezugangsgesetzes (OZG) entwickelte Organisationskonto ermöglichen. Durch die Nutzung des Organisationskontos müsste keine zusätzliche digitale Plattform geschaffen respektive gepflegt werden und zugleich würde die Nutzendenquote des Organisationskontos deutlich erhöht werden. Um den Schutz dieser sicherheitssensiblen Informationen zu gewährleisten, muss das Organisationskonto ein Rechte- und Rollenmanagement vorhalten, sodass nur bestimmte Personen – sowohl in der Verwaltung als auch den Unternehmen – Vorfallsmeldungen einsehen und bearbeiten können. Pro erheblichem Cybersicherheitsvorfall sollten Unternehmen im Organisationskonto ein Formular sukzessive befüllen können, statt immer wieder ihre Meldungen neu beginnen zu müssen oder eine Meldung in einem mindestens europäisch standardisierten Datenformat hochladen können. Es muss das Prinzip „ein Vorfall eine Meldung“ stringent implementiert werden. Über das Rechte- und Rollenmanagement sollten neben dem BSI auch einschlägige weitere Behörden, wie das Bundeskriminalamt, das Luftfahrtbundesamt sowie andere Aufsichtsbehörden, auf für sie relevante Informationen aus den Meldungen zugreifen können. Jeder Zugriff auf Meldungen muss protokolliert werden, damit im Falle eines Informationsabflusses an Dritte die Quelle identifizieren werden kann. Um den Schutz sensibler Informationen zu wahren, muss das „Need-to-know-Prinzip“ zwingend berücksichtigt werden. Für international tätige Unternehmen, deren Cybersecurity-Teams vielfach englischsprachig sind, sollte die Möglichkeit angeboten werden, dass diese die Meldung auch in englischer Sprache über das Meldeformular absetzen können.
6
Cybersicherheitsregulierung
Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 EU-Transparenzregister: 1771817758-48 Lobbyregister: R000534 Autor Steven Heckler Stellvertretender Abteilungsleiter Digitalisierung und Innovation T: +49 30 2028-1523 s.heckler@bdi.eu
BDI-Dokumentennummer: D1874
7