NIS 2 und KRITIS: Was Firmen wissen müssen
NIS 2 (Richtlinie über die Sicherheit von Netz- und Informationssystemen 2) und KRITIS (Kritische Infrastrukturen in Deutschland) sind beide regulatorische Rahmenwerke, die darauf abzielen, die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen zu verbessern, unterscheiden sich jedoch hinsichtlich ihres Geltungsbereichs, ihres geografischen Fokus und ihrer spezifischen Anforderungen. Hier ist ein Vergleich zwischen den beiden:
1. NIS 2/KRITIS - Geltungsbereich und geografischer Fokus
NIS 2:
- EU-weite Verordnung: NIS 2 ist eine EU-Richtlinie, die für alle Mitgliedstaaten gilt. Sie aktualisiert die ursprüngliche NIS-Richtlinie (NIS 1), um den Geltungsbereich der Organisationen, die die Cybersicherheitsanforderungen erfüllen müssen, zu erweitern.
- Fokus auf wesentliche und wichtige Sektoren: NIS 2 deckt ein breiteres Spektrum von Sektoren ab, darunter Energie, Verkehr, Bankwesen, Gesundheit, öffentliche Verwaltung und mehr, wobei die Akteure in diesen Sektoren als "wesentliche" oder "wichtige" Einheiten bezeichnet werden.
KRITIS:
- Deutschland-spezifisch: KRITIS-Vorschriften sind Teil des deutschen Rechtsrahmens, der darauf abzielt, kritische Infrastrukturen in Deutschland zu schützen.
- Ausrichtung auf bestimmte Branchen: KRITIS konzentriert sich auf für Deutschland kritische Infrastrukturbranchen wie Energie, IT, Verkehr, Wasser, Finanzen und Gesundheitswesen.
2. NIS 2/KRITIS - Rechtsstruktur
NIS 2:
- Richtlinie: Als EU-Richtlinie legt NIS 2 die Mindeststandards für die Mitgliedstaaten fest, erlaubt ihnen jedoch, die Regeln durch nationales Recht umzusetzen, wobei es zu möglichen Abweichungen bei der Durchsetzung innerhalb der EU kommen kann.
- Harmonisierung in der EU: Ziel ist es, einen einheitlichen Cybersicherheitsrahmen in allen Mitgliedstaaten zu schaffen, um sicherzustellen, dass kritische Sektoren sicher arbeiten.
KRITIS:
- Nationale Verordnung: KRITIS ist Teil des deutschen nationalen Rechts, hauptsächlich innerhalb des IT-Sicherheitsgesetzes und der Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI).
- Durchsetzung durch nationale Behörden: Das BSI ist die zentrale Stelle, die für die Überwachung der KRITIS-Compliance verantwortlich ist.
3. NIS 2/KRITIS - Kernanforderungen
NIS 2:
- Breiterer Umfang der Verpflichtungen: NIS 2 erweitert den Kreis der Unternehmen, die Cybersicherheitsverpflichtungen erfüllen müssen. Sie umfasst verbesserte Vorfallmeldungen, Risikomanagement und Zusammenarbeit mit nationalen Cybersicherheitsbehörden.
- Rechenschaftspflicht: Das Topmanagement ist stärker direkt für die Cybersicherheit verantwortlich, und Nichtkonformität kann zu erheblichen Strafen führen.
KRITIS:
- Sektor-spezifische Vorschriften: KRITIS definiert Schwellenwerte (z. B. hinsichtlich der Anzahl der Nutzer, des Liefervolumens), die bestimmen, ob ein Unternehmen unter seine Verpflichtungen fällt.
- Compliance-Anforderungen: KRITIS erfordert von den Betreibern die Implementierung und Aufrechterhaltung angemessener Sicherheitsmaßnahmen, die Meldung von Vorfällen an das BSI und regelmäßige Audits.
4. NIS 2/KRITIS - Vorfallmeldung
NIS 2:
- Erfordert, dass Unternehmen erhebliche Vorfälle innerhalb eines festgelegten Zeitraums, in der Regel 24 Stunden nach Kenntniserlangung eines Vorfalls, melden.
- Die Richtlinie fördert die Zusammenarbeit zwischen den Mitgliedstaaten und die Schaffung eines pan-europäischen Rahmenwerks für die Vorfallmeldung.
KRITIS:
- Vorfälle müssen dem BSI unverzüglich gemeldet werden, mit strengen Protokollen für den Austausch von Einzelheiten über Sicherheitsverletzungen und Störungen, die die nationale Infrastruktur beeinträchtigen könnten.
5. NIS 2/KRITIS - Sektoraler Fokus
NIS 2:
- Deckt sowohl wesentliche Sektoren (z. B. Energie, Verkehr, Gesundheit, Bankwesen) als auch wichtige Sektoren (z. B. Postdienste, Raumfahrt, Abfallwirtschaft) ab.
KRITIS:
- Konzentriert sich stärker auf für Deutschlands nationale Infrastruktur kritische Sektoren mit Schwellenwerten für sektorspezifische Unternehmen.
6. NIS 2/KRITIS - Strafen und Durchsetzung
NIS 2:
- Sieht erhebliche Strafen für Nichtkonformität vor, mit möglichen Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes.
- Das Topmanagement kann für die Sicherstellung der Compliance verantwortlich gemacht werden.
KRITIS:
- Verstöße können zu Bußgeldern führen, und die Nichteinhaltung der KRITIS-Verpflichtungen kann zu rechtlichen Sanktionen führen, die von deutschen Behörden wie dem BSI durchgesetzt werden.
7. NIS 2/KRITIS - Harmonisierung
NIS 2:
- Konzentriert sich auf die Harmonisierung der Cybersicherheitsverfahren in allen EU-Mitgliedstaaten, um sicherzustellen, dass jeder Mitgliedstaat ähnliche Sicherheitsstandards und Berichtspraktiken anwendet.
KRITIS:
- Obwohl Deutschland-spezifisch, kann es auch Elemente aus breiteren EU-Richtlinien wie NIS 2 integrieren, um sich an die kontinentalen Standards anzupassen, insbesondere in Bereichen, in denen EU-Recht nationales Recht überlagert.
Fazit
NIS 2 ist eine umfassendere EU-Richtlinie, die darauf abzielt, die Cybersicherheitsmaßnahmen in der gesamten Europäischen Union zu harmonisieren, einschließlich wesentlicher und wichtiger Sektoren, während KRITIS ein deutsches spezifisches regulatorisches Rahmenwerk ist, das darauf ausgelegt ist, kritische Infrastrukturen auf nationaler Ebene zu schützen. NIS 2 hat einen breiteren Geltungsbereich und gilt für mehr Sektoren in der EU, während KRITIS stärker auf für Deutschlands Funktionieren wichtige Branchen ausgerichtet ist.