Cybersecurity-Regulierung in der EU und Deutschland [German Version]
RCE, NIS2, CRA, Kritis-DachG, NIS2UmsuCG: Den Überblick behalten im Regulierungs-Jahr 2023
Momentan jagt ein neues Cybersecurity-Gesetz das nächste. Im Mai war es das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das als Referentenentwurf veröffentlicht (oder besser: durchgestochen) wurde. Im Juli ist es das Kritis-Dachgesetz. Welches Gesetz setzt eigentlich welche EU-Richtlinie um? Wen betrifft das? Und was ist eigentlich schon verabschiedet und was nur ein Entwurf? Und warum gibt es eigentlich ständig inoffizielle Entwürfe zu Gesetzestexten im Internet?
Woher kommen eigentlich die ganzen Entwurfstexte?
Dass das Durchstechen immer früherer Gesetzesentwürfe mittlerweile normal geworden ist, stößt übrigens nicht nur auf Begeisterung. Der Tagesspiegel zitiert den stellvertretenden Fraktionsvorsitzenden der Grünen, Konstantin von Notz, mit den Worten: “Dass bereits ein erster Referentenentwurf [des Kritis-Dachgesetzes] in Hintergrundgesprächen an Journalistinnen und Journalisten verteilt wird, noch bevor er den Fraktionen des Parlaments vorliegt, ist äußerst bedauerlich.”
Aus Anwendersicht ist das frühe Bekanntwerden der Entwürfe ein zweischneidiges Schwert:
Einerseits bekommen Betroffene eher mit, wohin die Regulierungs-Reise geht — und haben möglicherweise noch Chancen zur Einflussnahme. Ein häufiger Kritikpunkt bei der Kritis-Gesetzgebung ist, dass die Meinung von Verbänden und Betroffenen nicht ausreichend gehört würde.
Andererseits sind Entwürfe ja aus gutem Grund nur Entwürfe — nichts darin ist final. Wenn frühzeitig öffentliche Diskussionen an noch nicht ausgefeilten Formulierungen oder nicht mehrheitsfähigen Ideen entbrennen, hilft das nicht bei der sachlichen Verhandlung der Gesetzestexte. Außerdem kursieren mittlerweile oft so viele verschiedene Entwurfsversionen, die von so vielen gut oder weniger gut informierten Experten (und Verkäufern von Security-Lösungen) kommentiert werden, dass es fast unmöglich wird, den Überblick zu behalten.
Überblick schaffen
Für alle, die sich in die inhaltliche Diskussion der “ungelegten Eier” stürzen möchten, räumen wir hier unsere schwirrenden Köpfe gemeinsam ein wenig auf, um besser gewappnet in die vielen Entwurfs- und Diskussionrunden zu gehen, die in den nächsten Monaten noch kommen werden. Denn: Ich muss ehrlicherweise auch jedes Mal wieder nachschauen, um was genau es denn jetzt noch mal in welchem Gesetz ging und welche EU-Richtlinie durch welches nationale Gesetz umgesetzt wird…
Dabei hilft ein kleines Bild:
Cybersecurity-Gesetzgebung in Deutschland entsteht meist aus der Umsetzung einer EU-Richtlinie in nationales Recht, und sie ist (bislang) immer Gesetzgebung für kritische Infrastrukturen (zusätzliche branchenspezifische Richtlinien zum Beispiel für Störfallbetriebe, die Bahn oder Automobilhersteller lassen wir hier der Einfachheit halber außen vor.)
Cybersecurity für kritische Infrastrukturen: Was bisher geschah
Das Ganze begann 2008 mit der ECI-Richtlinie, die die EU-Mitgliedsstaaten verpflichtete, kritische Infrastrukturen zu identifizieren. Man begann damals mit den beiden Sektoren Energie und Transport, und Deutschland hat die Richtlinie 2011 in mit einem Gesetz und einer Verordnung umgesetzt. Mit der Cybersecurity ging es dann erst so richtig los, als 2016 die NIS-Richtlinie beschlossen wurde. Wir erinnern uns: Danach kam das deutsche IT-Sicherheitsgesetz (IT-SiG), und plötzlich mussten Betreiber kritischer Infrastrukturen alle zwei Jahre einen Nachweis über Ihre Security erbringen. Welche Betreiber betroffen sind, regeln Kritis-Verordnungen — und da kommen schubweise Sektoren hinzu. Es gab einen ersten Schwung Sektoren, der 2018 erstmals Nachweise erbringen musste und einen weiteren, der 2020 erstmals fällig war.
2021 trat dann das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) in Kraft (als ein Teil des BSI-Gesetzes, BSIG), bei dem sowohl Sektoren als auch Anforderungen hinzukamen — viel beachtet zum Beispiel die “Uniböfi” (Unternehmen im besonderen öffentlichen Interesse und die “SzA” (Systeme zur Angriffserkennung). Mit dem IT-SiG 2.0 hat die Bundesregierung einigen Anforderungen der NIS2-Richtlinie, die damals schon unterwegs, aber noch nicht verabschiedet war, bereits vorgegriffen.
Was im Moment verhandelt wird
So, und nun sind wir bei dem Regulierungsmarathon angekommen, über den momentan alle schreiben. Alles oberhalb der roten Linie im Bild oben ist bereits in Kraft, bei allem unterhalb der Linie diskutieren wir über Entwurfsfassungen. Insgesamt ist es eine deutliche Verbreiterung und Vertiefung der bestehenden Cybersecurity-Regulierung:
Die RCE-Richtlinie (schon in Kraft) ersetzt die ECI-Richtlinie von 2008. Dabei geht es um die “Resilienz kritischer Entitäten” — man könnte auch sagen: Um allgemeine, der Cybersecurity übergeordnete Resilienz. Es werden natürlich mehr Sektoren als kritische Infrastrukturen definiert als in der Version von 2008 — das war aber mit der NIS-Richtlinie ohnehin schon geschehen. Es gibt nur kleine Abweichungen gegenüber den in den NIS- bzw. NIS2-Richtlinien definierten Sektoren.
Spannender ist die Definition von übergreifenden Maßnahmen, die die Resilienz, also die Ausfallsicherheit der kritischen Dienstleistungen sicherstellen sollen: etwa Risikoanalysen, Notfallmanagement, Alarmierung und Business Continuity, physische Sicherheit undPerimeterschutz und Sicherheitsüberprüfungen des Personals.
Die NIS2-Richtlinie (ebenfalls schon in Kraft) ersetzt die NIS-Richtlinie von 2016. Dabei geht es um Cybersecurity für kritische Infrastrukturen, also das, was bislang in den Versionen des IT-Sicherheitsgesetzes geregelt war — aber es sind mehr Betreiber betroffen (kleinere Organisationen, mehr Sektoren) und es kommen zusätzliche Security-Anforderungen hinzu, beispielsweise für die Security der Lieferketten.
Wenn man diese Unterscheidung kennt — RCE-Richtlinie für die allgemeine Resilienz, NIS-Richtlinie für die Cybersecurity — leuchtet auch die Übersetzung in deutsches Recht direkt ein.
Das NIS2UmsuCG (NIS2-Umsetzungsgesetz) erweitert die im IT-Sicherheitsgesetz schon getroffenen Regeln zur Cybersecurity. Das Kritis-Dachgesetz ist ziemlich genau das, was der Titel sagt: Es betrifft alle übergeordneten Maßnahmen, die kritische Infrastrukturen zusätzlich zur Cybersecurity treffen müssen. Es setzt sozusagen ein Dach mit allgemeiner Resilienz über die bestehende Cybersecurity-Regulierung für kritische Infrastrukturen.
Und dann gibt es ja noch den Cyber Resilience Act (CRA). Der macht ein ganz neues Fass auf: Er adressiert nicht Cybersecurity für Betreiber kritischer Infrastrukturen, sondern für Produkthersteller — ganz allgemein, unabhängig von der KRITIS-Regulierung.
Fazit: Cybersecurity-Regulierung wird breiter und tiefer
Fassen wir zusammen: Momentan geht es um Verbreiterung und Vertiefung der bestehenden Cybersecurity-Gesetzgebung:
- Verbreiterung 1 (RCE-Direktive und Kritis-Dachgesetz): Betreiber kritischer Infrastrukturen müssen zusätzlich zu Cybersecurity nun auch allgemeine Maßnahmen gegen Ausfallsicherheit ergreifen.
- Vertiefung (NIS2-Direktive und NIS2UmsuCG): Die Cybersecurity-Anforderungen für die Betreiber kritischer Infrastrukturen werden ergänzt.
- Verbreiterung 2 (CRA): Hersteller müssen nun auch Cybersecurity-Anforderungen erfüllen.
Weiterlesen?
Mit Ihrem nun aufgeräumteren Kopf schicke ich Sie nun los, um nach Herzenslust Entwürfe und Kommentare zu Entwürfen der drei Gesetzestexte “unter der roten Linie” zu lesen. Sie können ja nun einordnen, worum es geht. Sie dürfen auf alle Texte mit einer ordentlichen Portion Gelassenheit schauen, denn es kann sich grundsätzlich noch alles daran ändern.
Voilà, hier ist Ihr Lesestoff-Berg (Stand: 08.08.2023):
RCE und Kritis-Dachgesetz:
- RCE-Direktive
- Kritis-Dachgesetz (Entwurf)
- Kommentar zum Kritis-DachG (Dennis-Kenji Kipker und Tilmann Dittrich bei beck)
- Kommentar zum Kritis-DachG (Falk Steiner bei heise)
NIS2 und NIS2UmsuCG:
Cyber Resilience Act (CRA):
- CRA (Entwurf)
- Erklärtext (Sarah Fluchs via Medium)
- Zusammenfassung der aktuellen Debatte (Stand: Ende Mai)
Kurze Zusammenfassungen aller obenstehenden Gesetze außer dem CRA finden Sie bei OpenKRITIS.
Dieser Beitrag ist als Teil des monatlichen “Security-Briefings für Hard Hats” erschienen.