(Kommentare: 0)
BdKEP | NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
NIS-2 Cybersicherheitsgesetz – Auswirkungen auf KEP-Dienste – BdKEP Arbeitsgruppe
Die Digitalisierung aller Teile der Gesellschaft schreitet voran. Parallel dazu gibt es neue Anforderungen hinsichtlich der Sicherheit von IT-Netzwerken und Softwareanwendungen. Deshalb werden die Regelwerke zur Cybersicherheit auf europäischer und nationaler Ebene weiterentwickelt. Mit dem sogenannten NIS-2-Gesetz (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) werden u. a. die Sicherheitsanforderungen, die Bekämpfung von Cyberangriffen, der Schutz der Daten und die Meldepflichten weiterentwickelt.
NIS-2 für mittelständische KEP Unternehmen
Die KEP-Branche gehört nach diesem Gesetz zu den sogenannten „wichtigen Einrichtungen“. KEP-Unternehmen fallen unmittelbar unter das Gesetz, wenn sie entweder 50 Mitarbeitende oder einen Jahresumsatz sowie eine Bilanzsumme von über 10 Millionen Euro haben. Allerdings können auch kleinere Unternehmen mittelbar betroffen sein, sofern sie für Auftraggeber arbeiten, die selbst unter das NIS-2-Gesetz fallen.
Das Gesetz trat auf EU-Ebene am 16.01.2023 in Kraft und muss bis zum 17.10.2024 in nationales Recht umgesetzt werden. Aktuell laufen die Arbeiten zur Gesetzgebung in Deutschland.
Der Referentenentwurf vom 22.07.2024 ist hier
einsehbar. Das Gesetz kann frühestens Ende
November in Kraft treten, danach jeweils zum
Monatsende. Das hängt vom parlamentarischen
Prozess ab.
Wichtige Inhalte des Gesetzes
Das Gesetz schreibt die Einrichtung eines Risikomanagementsystems mit geeigneten technisch und organisatorischen Maßnahmen vor. Das umfasst u. a. Themenbereiche wie Risikoanalyse, Notfallwiederherstellung, Sicherheit der Lieferkette, Cyberhygiene, und Bewusstseins-Training.
Entsprechend der Meldepflichten sind Sicherheitsvorfälle innerhalb von 24 Stunden erstmalig zu melden, detaillierte Meldungen müssen innerhalb von 72 Stunden und eine Abschlussmeldung oder weitere Zwischenmeldung spätestens nach einem Monat erfolgen.
Das Gesetz schreibt Registrierungspflichten für die unter NIS-2 fallenden Unternehmen vor. Danach müssen Angaben wie Name, Rechtsform, Handelsregisternummer und Kontaktdaten innerhalb von drei Monaten nach Inkrafttreten des Gesetzes an die Meldestelle übermittelt werden.
Die Geschäftsleitung unterliegt nachzuweisenden Schulungspflichten in den Bereichen Umsetzung und Überwachung sowie IT-Sicherheitskenntnisse. Das NIS-2 Gesetz sieht außerdem die Haftung der Geschäftsleitung für aufgrund von Pflichtverletzungenschuldhaft verursachte Schäden vor. Die Sanktionen werden sich für wichtige Unternehmen zwischen 100.000 € bis 7.000.000 € bzw. 1,4% vom globalen Umsatz bewegen.
BdKEP-Arbeitsgruppe zur NIS2 Umsetzung
Der BdKEP hat eine Arbeitsgruppe zur Umsetzung des NIS“ Gesetzes in KEP Unternehmen ins Leben gerufen. Interessenten melden sich bitte unter nachfolgendem Link an:
Für KMU wichtige Inhalte aus dem Referentenentwurf zum
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
(NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)
(kein Anspruch auf Vollständigkeit)
Von diesem Gesetzentwurf sind schätzungsweise 10.000 mittelständische Kurier-, Express-, Post- und Paketdienste unmittelbar oder mittelbar betroffen. Unmittelbar als wichtige Einrichtung nach § 28 (2) 3. In Verbindung mit Anlage 2 1.1. Post- und Kurierdienste, weil sie mehr als 50 Mitarbeiterinnen haben. Mittelbar, weil sie regelmäßig als Auftragnehmer oder Nachunternehmer von unmittelbar unter den Geltungsbereich fallende Unternehmen zum Einsatz kommen.
Inhalt
§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen
Kapitel 2 Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
§ 32 Meldepflichten
§ 33 Registrierungspflicht
§ 35 Unterrichtungspflichten
§ 38 Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen
Definition wichtiger Einrichtungen
(2) Als wichtige Einrichtungen gelten:
Natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten (Anmerkung: KEP-Dienstleiter gehören zu den wichtigen Einrichtungen), die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen sind und die:
-
- a) mindestens 50 Mitarbeiter beschäftigen oder
- b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
Kapitel 2
Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
(1) Verpflichtungen:
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.
Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen zu berücksichtigen.
Die Einhaltung der Verpflichtung ist zu dokumentieren.
(2) Anforderungen an die Maßnahmen:
Maßnahmen sollen den Stand der Technik einhalten und europäische und internationale Normen berücksichtigen.
Sie müssen auf einem gefahrenübergreifenden Ansatz beruhen und umfassen zumindest:
Risikoanalyse und Sicherheit in der Informationstechnik
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs (Backup-Management, Notfallwiederherstellung, Krisenmanagement)
Sicherheit der Lieferkette
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
Cyberhygiene und Schulungen
Einsatz von Kryptografie und Verschlüsselung
Sicherheit des Personals, Zugriffskontrolle, Management von Anlagen
Multi-Faktor-Authentifizierung und gesicherte Kommunikation
(6) IKT-Produkte und -Dienstleistungen:
Besonders wichtige Einrichtungen dürfen bestimmte IKT-Produkte, -Dienste und -Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata verfügen.
(8) Branchenstandards:
Einrichtungen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen, die nicht im Widerspruch zu europäischen Vorgaben stehen.
Das Bundesamt stellt fest, ob die vorgeschlagenen Standards geeignet sind, die Anforderungen zu gewährleisten.
§ 32 Meldepflichten
(1) Meldeverpflichtungen:
Einrichtungen müssen erhebliche Sicherheitsvorfälle unverzüglich an eine gemeinsame Meldestelle melden:
Innerhalb von 24 Stunden nach Kenntniserlangung eine Erstmeldung
Innerhalb von 72 Stunden nach Kenntniserlangung eine detaillierte Meldung
Auf Ersuchen des Bundesamtes Zwischenmeldungen
Spätestens einen Monat nach der Meldung eine Abschlussmeldung
(2) Fortschrittsmeldung:
Bei andauernden Sicherheitsvorfällen muss statt der Abschlussmeldung eine Fortschrittsmeldung vorgelegt werden.
(3) Betreiber kritischer Anlagen:
Zusätzliche Angaben zur Art der betroffenen Anlage und der Auswirkungen des Vorfalls sind erforderlich.
(4) Ausgestaltung des Meldeverfahrens:
Das Bundesamt legt die Details zur Ausgestaltung des Meldeverfahrens fest.
(5) Weitergabe von Meldungen:
Das Bundesamt stellt eingegangene Meldungen den zuständigen Aufsichtsbehörden des Bundes zur Verfügung.
§ 33 Registrierungspflicht
(1) Registrierungspflichten:
Einrichtungen und Domain-Name-Registry-Diensteanbieter müssen bestimmte Angaben innerhalb von drei Monaten nach der erstmaligen oder erneuten Geltung übermitteln:
Name der Einrichtung, Rechtsform, Handelsregisternummer
Anschrift und Kontaktdaten
Relevanter Sektor oder Branche
Liste der EU-Mitgliedstaaten, in denen Dienste erbracht werden
Zuständige Aufsichtsbehörden
§ 35 Unterrichtungspflichten
(1) Unterrichtung bei Sicherheitsvorfällen:
Das Bundesamt kann anordnen, dass Einrichtungen die Empfänger ihrer Dienste über erhebliche Sicherheitsvorfälle unterrichten.
Die Unterrichtung kann auch durch Veröffentlichung auf der Internetseite der Einrichtung erfolgen.
§ 38 Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
(1) Umsetzung und Überwachung:
Geschäftsleitungen müssen Risikomanagementmaßnahmen umsetzen und überwachen.
(2) Haftung bei Pflichtverletzungen:
Geschäftsleitungen haften bei Verletzung ihrer Pflichten nach den Regeln des Gesellschaftsrechts für schuldhaft verursachte Schäden.
(3) Schulungspflicht:
Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten im Bereich der IT-Sicherheit zu erwerben.
Über den BdKEP
Der BdKEP mit Sitz in Berlin repräsentiert die Interessen von über 5.000 kleinen und mittelständischen Kurier-, Express- und Postunternehmen sowie Briefdienste und Paketzustellunternehmen. Der Verband fördert den offenen Postmarkt und setzt sich für einen fairen Wettbewerb zwischen Unternehmen ein. Dabei stehen die Wertschöpfung im Mittelstand sowie eine gleichberechtigte Positionierung im Vergleich zu Konzernunternehmen im Fokus. Ein zentrales Anliegen ist die Normung auf nationaler, europäischer und internationaler Ebene. Der BdKEP engagiert sich für die soziale Marktwirtschaft, betont die Bedeutung redlicher Geschäftspraktiken und unterstützt Vielfalt in der Gesellschaft. Ein weiteres wichtiges Anliegen ist die Umsetzung von Maßnahmen gegen den Klimawandel sowie für gute Arbeit, um so eine nachhaltige Zukunft zu gestalten. Der Verband bringt sich aktiv und konstruktiv in die Gesetzgebung ein.
Einen Kommentar schreiben