Autor: Uli Lörsch, Senior Manager, Experte IT-Sicherheit, plenum AG
Cyberbedrohungen gewinnen in der heutigen Informationssicherheitsstruktur immer mehr an Bedeutung, da zunehmend, durch die immer stärkere Komplexität der IT, Services und Dienstleistung in Cloud-Dienste abwandern. Vor dem Hintergrund dieser Entwicklung hat die EU Ende 2022 die bisher geltende Richtlinie NIS1 deutlich erweitert in Form der neuen Richtlinie NIS2 (EU 2022/2555). Die NIS2 Richtlinie hat erheblichen Einfluss auf die Akteure der Energiebranche.
Seit Anfang 2023 ist diese in der EU in Kraft, mit der Maßgabe, diese bis spätestens 2024 in nationales Recht der Einzelstaaten zu überführen.
Für Deutschland ist die Einführung und Veröffentlichung entsprechender nationaler Gesetzgebung auf voraussichtlich Oktober 2024 geplant.
Die Einführung der NIS2 bedeutet für die darunterfallenden Unternehmen, zu denen auch die Energiebranche zählt, deutlich mehr Betroffenheit, Aufsicht und Pflichten.
Neuerungen
- Sektoren: die Sektoren erhöhen sich im Bereich Essential Entities auf 11, im Bereich Important Entities auf 7
- Betreiber: ab einer Mitarbeiterzahl von 50 oder € 10 Mio. Umsatz, sonstige Schwellenwerte entfallen
- Cybersecurity: auch in der Lieferkette muss auf die Belange der Cybersicherheit eingegangen werden
- Kooperation: engere Zusammenarbeit zwischen EU, Nationalstaat und Betreiber
- Sanktionen: deutliche Ausweitung der Strafen auf eine Maximalstrafe von bis zu € 10 Mio.
Auswirkungen auf die Energiebranche
Durch die Neuausrichtung der EU in der Definition der kritischen Infrastruktur fallen nun auch viele Unternehmen der Energiebranche in den Bereich KRITIS, die vorher durch entsprechende nationale Schwellenwerte nicht dazu gehörten.
Als Grundlage dient die „size-cap“-Regel gemäß EU-Regulierung 2003/361/EC.
Mittlere Unternehmen werden definiert zwischen 50 und 249 Mitarbeitern sowie einem Umsatz von weniger als € 50 Mio. oder einer Bilanz kleiner € 43 Mio.
Große Unternehmen mit mehr als 250 Mitarbeitern sowie einem Umsatz höher als € 50 Mio. bzw. einer Bilanz von mehr als € 43 Mio.
Grundsätzlich wird die Energiebranche von der EU als Essential eingestuft, also in der wichtigsten Stufe.
Bisherige Einstufungen in Deutschland sollen jedoch erhalten bleiben. Dies bedeutet, dass Unternehmen, die bislang als Betreiber kritischer Anlagen gezählt haben, auch in dieser Einstufung verbleiben und sich nach KRITIS-Verordnung prüfen lassen müssen.
In Änderung zu der EU-Vorgabe ist in Deutschland geplant, Unternehmen in besonders wichtige und wichtige Einrichtungen zu unterscheiden. Ausgehend von der Unternehmensgröße gestalten sich die Pflichten der Umsetzung dann aus.
Verpflichtungen bei der Umsetzung
Für die Umsetzung sind seitens der EU und der Gesetzgeber verpflichtende Maßnahmen durchzuführen. Um den Umfang ein wenig darzustellen, sind hier die wichtigsten skizziert:
Richtlinien und Konzepte: Erstellung von Richtlinien und Konzepten in Bezug auf die Risikoanalyse und die Sicherheit der Informationssysteme, sowie die physischen Schutzmaßnahmen
Business Continuity: Implementierung geeigneter Verfahren zur Aufrechterhaltung des Betriebs (Backup-Management, Wiederherstellung nach einem Vorfall, Krisenmanagement) und zur Bewältigung von Sicherheitsvorfällen
Awareness: Sensibilisierung und Schulung von Personal Überwachungs- und Weiterbildungspflichten der Leitungsorgane zu Cyber- und Informationssicherheit
Cybermaßnahmen: Schwachstellen- und Patchmanagement, Identity- und Access Management, Netzwerksegmentierung, SIEM, …
Lieferketten: Gewährleistung der Sicherheit in der Lieferkette und Weitergabe von Cybersecurity-Maßnahmen durch die Lieferkette hinweg seitens der unmittelbar verpflichteten Einrichtung
Fazit
Zur korrekten Umsetzung der geforderten Cyber-Sicherheitsmaßnahmen ist die Implementierung eines ISMS notwendig. Dadurch wird das Unternehmen befähigt, Maßnahmen zu steuern und deren Angemessenheit regelmäßig zu prüfen.
Der zugrunde liegende Standard ist prinzipiell frei wählbar, jedoch ist durch die Novelle der ISO 27001:2022 schon eine Grundlage mit Bezug auf Cybersicherheit gegeben und somit als empfehlenswert zu betrachten.
Bei der Umsetzung gilt es folgende Aspekte zu beachten:
- Der Scope des ISMS muss die gesamte Lieferkette umfassen (Weitergabe der Maßnahmen anhand der Lieferkette liegt in der Pflicht der betroffenen Einrichtungen)
- Explizite Verantwortlichkeit der Leitungsorgane mit Überwachungs- und Weiterbildungspflichten sind sicherzustellen
- Der Fokus ist auf ein wirksames Risikomanagement zu legen. Keine Risikoakzeptanz/-verlagerung bei Gefährdung der Allgemeinheit
- Meldepflichten an die nationalen Behörden sind zu beachten, die Meldewege sind in entsprechenden Verfahren zu implementieren
- Stärkung der nationalen Behörden: Überwachungsrechte und –pflichten der Umsetzung in den Einrichtungen
- Sanktionen & Persönliche Haftung der Leitungsorgane bei Verstößen
- gegen Art. 21 (Risikomanagementmaßnahmen)
- gegen Art. 23 (Berichtspflichten)
- Geldbußen bis zu 10 Mio. € (Wesentliche Einrichtungen), 7 Mio. € (Wichtige Einrichtungen)
Betroffene Unternehmen und Organisationen müssen die neuen Vorschriften bis Herbst 2024 erfüllen, sonst drohen hohe Strafen.