Das NIS2-Gesetz
Verpflichtungen
Das NIS2-Gesetz erlegt wesentlichen und wichtigen Einrichtungen eine Reihe von Verpflichtungen auf. Dazu gehören Maßnahmen zum Management von Cybersicherheitsrisiken, die Meldung von erheblichen Sicherheitsvorfällen, die Registrierung und die Zusammenarbeit mit den Behörden.
1. Maßnahmen zum Management von Cybersicherheitsrisiken
Wesentliche und wichtige Einrichtungen müssen geeignete und verhältnismäßige Maßnahmen ergreifen, um die Risiken zu beherrschen, die die Sicherheit der Netzwerke und Informationssysteme bedrohen, die diese Einrichtungen im Rahmen ihrer Tätigkeiten oder der Erbringung ihrer Dienste nutzen, und um die Folgen von Sicherheitsvorfällen für die Empfänger ihrer Dienste und für andere Dienste zu beseitigen oder zu verringern.
Diese Maßnahmen beruhen auf einem gefahrenübergreifenden Ansatz, der darauf abzielt, Netzwerke und Informationssysteme sowie deren physische Umgebung vor Sicherheitsvorfällen zu schützen.
Sie umfassen mindestens die folgenden 11 Maßnahmen:
(1) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme |
(2) Bewältigung von Sicherheitsvorfällen |
(3) Aufrechterhaltung des Betriebs und Krisenmanagement |
|
(4) Sicherheit der Lieferkette |
(5) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen |
(6) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit |
|
(7) Cyberhygiene und Schulungen im Bereich der Cybersicherheit |
(8) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung |
(9) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen |
|
(10) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Kommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung |
(11) Ein Konzept zur koordinierten Offenlegung von Schwachstellen |
Das Zentrum für Cybersicherheit Belgien hat einen Referenzrahmen, die CyberFundamentals (CyFun®), entwickelt, der alle diese Punkte abdeckt und für die Konformitätsprüfung verwendet werden kann. Für weitere Informationen, besuchen Sie die CyFun-Seite auf Safeonweb@work.
2. Meldung von Sicherheitsvorfällen
Das Gesetz sieht vor, dass wesentliche und wichtige Einrichtungen den zuständigen Behörden jeden erheblichen Sicherheitsvorfall melden müssen, der sich auf die Erbringung ihrer Dienstleistungen in den in den Anhängen des Gesetzes aufgeführten (Teil-)Sektoren auswirkt, gegebenenfalls einschließlich Informationen, anhand derer sich feststellen lässt, ob der betreffende Vorfall grenzüberschreitende Auswirkungen hat.
Ein erheblicher Sicherheitsvorfall ist jeder Vorfall, der erhebliche Auswirkungen auf die Erbringung einer der in den Anhängen I und II des Gesetzes aufgeführten Dienstleistungen hat und der:
- schwerwiegende Betriebsstörungen eines der in den in Anhang I und II aufgeführten Sektoren oder Teilsektoren erbrachten Dienstes oder einen finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann, oder
- andere natürliche oder juristische Personen durch erhebliche materielle, persönliche oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Diese Meldung erfolgt an das nationale CSIRT (das CCB). Gegebenenfalls unterrichten die betreffenden Einrichtungen die Empfänger ihrer Dienste über den erheblichen Sicherheitsvorfall, der die Erbringung des jeweiligen Dienstes beeinträchtigen könnten. Die Einrichtungen teilen den potenziell von einer erheblichen Cyberbedrohung betroffenen Empfängern ihrer Dienste ebenfalls alle Maßnahmen oder Abhilfemaßnahmen, sowie Informationen über die erhebliche Cyberbedrohung selbst mit, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.
Die Meldung erheblicher Sicherheitsvorfälle erfolgt in mehreren Etappen:
- unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, übermittelt die Einrichtung eine Frühwarnung;
- unverzüglich, in jedem Fall aber innerhalb von 72 Stunden (24h für Vertrauensdienstanbieter) nach Kenntnisnahme des erheblichen Sicherheitsvorfalls, übermittelt die Einrichtung eine Meldung über den Sicherheitsvorfall;
- auf Ersuchen eines CSIRT oder gegebenenfalls der zuständigen Behörde übermittelt die Einrichtung einen Zwischenbericht über relevante Statusaktualisierungen;
- spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Punkt 2, übermittelt die Einrichtung einen Abschlussbericht
- im Falle eines andauernden Sicherheitsvorfalls zum Zeitpunkt der Vorlage des Abschlussberichts, übermittelt die betroffene Einrichtung einen Fortschrittsbericht und dann, innerhalb eines Monats nach Behandlung des Sicherheitsvorfalls, einen Abschlussbericht.
In der Praxis erfolgt die Meldung über das auf der Website des CCB eingerichtete Verfahren.
3. Einrichtungsregistrierung
Die in Belgien beaufsichtigten NIS2-Einrichtungen müssen sich beim CCB registrieren lassen. In der Praxis müssen die Unternehmen ein Registrierungsformular auf Safeonweb@Work ausfüllen.
Die Registrierungsfrist hängt von der Art der Einrichtung ab. Grundsätzlich haben wesentliche und wichtige Einrichtungen sowie Anbieter von Domänennamenregistrierungsdiensten 5 Monate Zeit, um sich nach Inkrafttreten des Gesetzes zu registrieren. Da das Inkrafttreten für den 18. Oktober 2024 geplant ist, muss die Registrierung bis spätestens am 18. März 2025 abgeschlossen sein.
Bei der Registrierung müssen die Einrichtungen die folgenden Informationen angeben:
- ihren Namen und ihre Registrierungsnummer bei der Zentralen Datenbank der Unternehmen (ZDU) oder eine gleichwertige Registrierung in der Europäischen Union;
- ihre aktuelle Anschrift und Kontaktdaten, einschließlich E-Mail-Adresse, IP-Bereiche und Telefonnummer;
- gegebenenfalls den jeweiligen Sektor und Teilsektor gemäß Anhang I oder II des Gesetzes;
- gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienstleistungen erbringen, die in den Geltungsbereich des Gesetzes fallen.
Eine Ausnahme besteht für Einrichtungen, die diese Informationen bereits an eine sektorale NIS2-Behörde übermittelt haben. In diesem Fall müssen die Informationen lediglich bei Bedarf aktualisiert werden. Wenn sich die Informationen ändern, müssen alle Einrichtungen das CCB unverzüglich darüber informieren.
Eine leicht angepasste Regelung gilt für die folgenden Arten von Einrichtungen:
- DNS-Diensteanbieter;
- TLD-Namenregister;
- Einrichtungen, die Domänennamen-Registrierungsdienste erbringen;
- Anbieter von Cloud-Computing-Diensten;
- Anbieter von Rechenzentrumsdiensten;
- Betreiber von Inhaltszustellnetzen;
- Anbieter von verwalteten Diensten;
- Anbieter von verwalteten Sicherheitsdiensten ;
- Anbieter von Online-Marktplätzen;
- Anbieter von Online-Suchmaschinen;
- Anbieter von Plattformen für Dienste sozialer Netzwerke.
Diese müssen sich innerhalb von 2 Monaten nach Inkrafttreten des Gesetzes (d. h. bis spätestens dem 18. Dezember 2024) registrieren und folgende Informationen übermitteln:
- ihren Namen;
- gegebenenfalls, ihren Sektor, Teilsektor und ihre einschlägige Art der Einrichtung gemäß Anhang I oder II;
- die Anschrift ihrer Hauptniederlassung und ihrer sonstigen Niederlassungen in der Union oder, falls sie nicht in der Union niedergelassen ist, die Anschrift ihres benannten Vertreters;
- ihre aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern und gegebenenfalls die ihres benannten Vertreters;
- die Mitgliedstaaten, in denen sie Dienstleistungen erbringen die in den Anwendungsbereich des Gesetzes fallen;
- ihre IP-Adressbereiche.
Jede Einrichtung, unabhängig davon, ob sie sich in der Ausnahmeregelung befindet oder nicht, ist verpflichtet, das CCB unverzüglich über alle Änderungen dieser Informationen zu informieren.
In der Praxis wird ein Teil dieser Informationen direkt von der Zentralen Datenbank der Unternehmen (ZDU) während des Registrierungsprozesses übernommen.
4. Verpflichtungen und Haftung des Management
Die Leitungsorgane von NIS2-Einrichtungen müssen Maßnahmen zum Management von Cybersicherheitsrisiken billigen und deren Umsetzung überwachen. Wenn die Einrichtung ihre Verpflichtungen in Bezug auf Maßnahmen zum Risikomanagement verletzt, haftet das Leitungsorgan.
Die Mitglieder der Leitungsorgane sind verpflichtet an Schulungen teilzunehmen, um sicherzustellen, dass sie über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen und das Management von Cybersicherheitsrisiken sowie dessen Auswirkungen auf die von der betreffenden Einrichtung erbrachten Dienstleistungen zu bewerten.
Die verantwortlichen Personen und/oder gesetzlichen Vertreter einer Einrichtung müssen befugt sein, die Einhaltung der Rechtsvorschriften durch die Einrichtung sicherzustellen. Sie haften für die Nichteinhaltung dieser Vorschriften.
Die Haftung der Leitungsorgane, der verantwortlichen Personen und der gesetzlichen Vertreter gilt unbeschadet der für öffentliche Einrichtungen geltenden Haftungsregeln sowie der Haftung von Beamten und gewählten oder ernannten Amtsträgern.
5. Zusammenarbeit mit den Behörden
Das NIS2-Gesetz sieht vor, dass Einrichtungen, die in seinen Anwendungsbereich fallen, mit den für seine Umsetzung zuständigen nationalen Behörden zusammenarbeiten müssen, insbesondere mit dem CCB und den sektoralen Behörden.
Diese Zusammenarbeit erfolgt im Allgemeinen in Form eines Informationsaustauschs über die Sicherheit von Netzen und Informationssystemen, umfasst aber auch die Zusammenarbeit zwischen der Einrichtung und dem Inspektionsdienst des CCB.