NIS-2-Umsetzung: Neue Pflichten für Betroffene

Das neue BSI-Portal ist live – Was IT-Verantwortliche jetzt tun müssen

BIldquelle: Getty Images / Credits: bixpictures

Mit der Bereitstellung des neu entwickelten BSI-Portals hat das Bundesamt für Sicherheit in der Informationstechnik die zentrale Infrastruktur geschaffen, um die gesetzlichen Melde- und Registrierungspflichten technisch abzubilden. Für rund 29.500 betroffene Unternehmen und Institutionen bedeutet dies: Die theoretische Compliance wird zur praktischen Pflichtaufgabe.

Der Prozess ist zweistufig aufgebaut und setzt eine Integration in die bestehende E-Government-Infrastruktur voraus. Zentrales Element ist der digitale Dienst Mein Unternehmenskonto (MUK). Das BSI hat eine Schritt-für-Schritt-Anleitung erstellt.

Unternehmen müssen sich über das MUK identifizieren. Da dieses auf der ELSTER-Technologie basiert, ist ein ELSTER-Organisationszertifikat zwingende Voraussetzung für jeden Login. Erst nach erfolgreicher Authentifizierung erfolgt die eigentliche Registrierung im neu entwickelten Fachportal des BSI.

Image
Description
Screenshot des MUK-Logins mit dem ELSTER-Zertifikat

Die Nutzung des ELSTER-Zertifikats soll ein Höchstmaß an Identitätssicherheit gewährleisten. Für IT-Abteilungen bedeutet dies jedoch eine interne Abstimmung mit der Finanzbuchhaltung, da dort die Verwaltung der ELSTER-Zertifikate in der Regel angesiedelt ist.

Schnelligkeit ist gesetzliche Pflicht

Das BSI-Portal ist nicht nur ein reines Adressverzeichnis. Es fungiert künftig als zentrale Drehscheibe für das Incident Management. Erhebliche Sicherheitsvorfälle müssen über diese Plattform gemeldet werden.

Wichtig für CISOs: Die NIS-2-Richtlinie verschärft die Meldefristen drastisch. Bei einem „erheblichen Vorfall“ ist eine erste Meldung (Early Warning) bereits innerhalb von 24 Stunden erforderlich.

Wer ist betroffen?

Die Ausweitung des Anwendungsbereichs ist massiv. Waren unter dem alten IT-Sicherheitsgesetz vornehmlich KRITIS-Betreiber im Fokus, fallen nun auch „besonders wichtige“ Betriebe (z. B. Energie, Gesundheit, Transport, Bankwesen, öffentliche Verwaltung) und „wichtige“ Einrichtungen wie Abfallwirtschaft, Lebensmittel, chemische Industrie, verarbeitendes Gewerbe unter die Regulierung.

IT-Verantwortliche sollten zunächst prüfen, ob ihr Unternehmen unter die NIS-2-Kategorien fällt. Maßgeblich sind hierbei die Schwellenwerte von mehr als 50 Mitarbeitenden und einem Jahresumsatz von über 10 Millionen Euro.

Im nächsten Schritt ist sicherzustellen, dass ein gültiges ELSTER-Organisationszertifikat vorliegt und dieses dem IT-Sicherheitsteam auch tatsächlich zur Verfügung steht.

Darüber hinaus müssen die bestehenden internen Incident-Response-Pläne daraufhin aktualisiert werden, dass Meldungen erheblicher Sicherheitsvorfälle künftig fristgerecht und über das neue BSI-Portal erfolgen können.

Mehr als nur Bürokratie

Die Einführung des Portals markiert einen Wendepunkt in der deutschen Cyber-Sicherheitsstrategie. Durch die zentrale Erfassung von Vorfällen erhofft sich das BSI ein präziseres Lagebild der IT-Sicherheit in Deutschland.

Für IT-Verantwortliche bedeutet die Registrierung zwar zunächst einen administrativen Mehraufwand, sorgt aber im Ernstfall für einen direkten Draht zu den nationalen Behörden und den Austausch von Threat Intelligence.

BSI-Präsidentin Claudia Plattner ist überzeugt: „NIS-2 ist ein Gamechanger für die Sicherheit und Stabilität unseres Landes. Die neue Gesetzgebung sorgt dafür, dass wichtige und besonders wichtige Einrichtungen sowie die gesamte Bundesverwaltung ihre Cyberresilienz effektiv und effizient stärken. Um diesen und weitere Prozesse komfortabel und unbürokratisch zu gestalten, haben wir das BSI-Portal als One-Stop-Shop konzipiert. Es wird kontinuierlich und im Austausch mit den Nutzenden weiterentwickelt. Das BSI-Portal wird den sicheren und zielgerichteten Austausch relevanter Cybersicherheitsinformationen zwischen Unternehmen, Behörden und Institutionen erleichtern. Mit dem BSI-Portal werden wir künftig noch besser in der Lage sein, die Cybersicherheitslage für verschiedene Zielgruppen transparent, praxisgerecht und handlungsorientiert aufzubereiten. Das ist ein wichtiger Schritt auf dem Weg zur Cybernation Deutschland.“

Die Registrierung ist verpflichtend. Bei Nichtbeachtung drohen empfindliche Sanktionen, die sich am weltweiten Umsatz orientieren können – ähnlich wie man es bereits aus der DSGVO kennt.

Das BSI-Portal basiert auf einer Cloud-Infrastruktur von Amazon Web Services und wird sukzessiv zu einer Informations- und Austauschplattform mit Echtzeit-Daten und aktuellen Analysen für schnelle Reaktionsmöglichkeiten ausgebaut.

Image
Description
Meldung eines Sicherheitsvorfalls im BSI-Portal (Bildquelle: BSI)