Das Magazin > Umsetzung von NIS2: Was enthält der Gesetzentwurf über die Widerstandsfähigkeit kritischer Infrastrukturen und die Stärkung der Cybersicherheit?
Publiziert am 17/04/2024 par Laure Martin-Tervonen, Direktorin für Marken und öffentliche Angelegenheiten bei Cloud Temple

Der Gesetzentwurf des Textes zur Umsetzung von NIS2 wurde auf dem Schreibtisch des Senats für die erste Lesung hinterlegt. Der Gesetzentwurf mit dem Titel "Resilienz" soll einen globalen Rahmen schaffen, indem er auch zwei andere EU-Richtlinien umsetzt: die Richtlinie über die Widerstandsfähigkeit kritischer Einheiten (REC) und die Richtlinie über die digitale Betriebsfestigkeit (DORA). Fokus auf die Bestimmungen des Textes in Bezug auf NIS 2.

Drei Richtlinien in einem einzigen Gesetzestext umsetzen. Dies ist das ehrgeizige Ziel des am 15. Oktober 2024 vorgelegten Gesetzentwurfs, mit dem eine umfassende und kohärente Politik in Bezug auf die Widerstandsfähigkeit lebenswichtiger Tätigkeiten, den Schutz kritischer Infrastrukturen, die Cybersicherheit und die digitale Betriebsfestigkeit des Finanzsektors eingeführt werden soll. 

Vereinfachung, Harmonisierung und Verhältnismäßigkeit

Die ANSSI nutzt die Gelegenheit dieses Gesetzentwurfs, um die Regeln für die Sicherheit von Informationssystemen zu vereinfachen, indem sie die Überschneidungen der gesetzlichen Anforderungen begrenzt. Sie achtet darauf, dass die Verhältnismäßigkeit der künftigen Vorschriften in Bezug auf die auferlegten Anforderungen und die Sanktionen gewahrt bleibt.

Die Erweiterung des Umfangs der Entitäten, um der Cyberbedrohung zu widerstehen

Als Reaktion auf die sich schnell verändernde und zunehmende Bedrohung aus dem Internet zielt die EU-Richtlinie NIS 2, die auf NIS 1 folgt, darauf ab, die Standards für Cybersicherheit in der gesamten Europäischen Union erheblich zu erhöhen. Die Richtlinie deckt ein breiteres Spektrum an Einrichtungen und Sektoren ab. In Frankreich sind 10 000 öffentliche und private Einrichtungen und mindestens 18 Sektoren betroffen. Die Richtlinie umfasst Sektoren, die mit der elektrischen und digitalen Infrastruktur, dem Gesundheitswesen und dem Transportwesen zusammenhängen, aber auch Sektoren, die bisher nicht erfasst wurden, wie das Bildungswesen, die Lebensmittelindustrie, die öffentliche Verwaltung und Anbieter digitaler Dienstleistungen. Gleichzeitig erweitert der Text den Umfang der zu sichernden Informationssysteme, indem er sich auf das gesamte Informationssystem der Zielunternehmen bezieht und nicht nur auf ihre wesentlichen Informationssysteme.

Wesentlich und wichtig: zwei Ebenen von regulierten Einheiten

Der Grundsatz der Verhältnismäßigkeit wird durch die Schaffung von zwei Kategorien von Einrichtungen umgesetzt, die nach ihrem Kritikalitätsgrad, ihrer Größe und - bei Unternehmen - ihrem Umsatz eingestuft werden. Der Text unterscheidet zwischen "wesentlichen Einrichtungen" und "wichtigen Einrichtungen". Erstere sind aufgrund ihrer Kritikalität bereits mit Sicherheitsauflagen vertraut und erhalten daher strengere Standards, während für letztere grundlegende Anforderungen gelten, die ihre digitale Hygiene verbessern sollen, ohne unverhältnismäßig hohe Kosten zu verursachen. Die ANSSI hat ein Portal eingerichtet, damit die Rechtsträger erfahren können, ob sie reguliert werden und wenn ja, welcher Kategorie sie angehören. Das Portal unterstützt die betroffenen Einrichtungen bei der Umsetzung ihrer drei Hauptpflichten: Bereitstellung von Informationen an die ANSSI, Einführung geeigneter Risikomanagementmaßnahmen und Meldung von Cybersicherheitsvorfällen. 

Vier Sicherheitsziele

Die betroffenen Stellen müssen Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem bestehenden Risiko angemessen und verhältnismäßig ist. Der im Aufbau befindliche Anforderungsrahmen stützt sich auf Sicherheitsziele, die um vier Achsen herum organisiert sind:

  • Eine Ad-hoc-Governance einrichten, die sicherstellt, dass das Cyberrisiko auf der höchsten Ebene des Unternehmens berücksichtigt wird.
  • Schutzmaßnahmen für IS einrichten
  • Aufbau von Abwehrkapazitäten, um schneller auf Vorfälle reagieren und deren Auswirkungen begrenzen zu können
  • Aufbau von Ausfallsicherheitskapazitäten, um die Kontinuität und Wiederaufnahme des Geschäftsbetriebs zu erleichtern

Sehr abschreckende Strafen

Außerdem ist ein Sanktionsregime vorgesehen, das sich an den hohen Standards der DSGVO orientiert und Geldbußen von bis zu 2 % des weltweiten Umsatzes für wesentliche Einrichtungen und 1,4 % für bedeutende Einrichtungen vorsieht. Diese Regelung soll von Verstößen abschrecken und Investitionen in die Cybersicherheit fördern, wodurch die tatsächlichen, immer höheren Kosten von Cyberangriffen materialisiert werden. Öffentliche Verwaltungen und Körperschaften werden jedoch von den Sanktionen ausgenommen.

Eine ko-konstruktive und schrittweise Umsetzung

Um die Anforderungen festzulegen, wurden im Vorfeld zahlreiche Konsultationen mit Wirtschaftsverbänden, lokalen Behörden und Ministerien durchgeführt. Der Zeitplan für das Inkrafttreten der neuen Verpflichtungen wird gestaffelt, um den betroffenen Akteuren Zeit für die Einhaltung der Vorschriften zu geben. Schließlich wird ANSSI den regulierten Einrichtungen ein Dienstleistungsangebot zur Verfügung stellen, das ihnen helfen soll, das erforderliche Schutzniveau schrittweise zu erreichen.

Der Sonderfall der Gebietskörperschaften

Der Gesetzentwurf berücksichtigt die Verwundbarkeit der lokalen und regionalen Gebietskörperschaften, auf die 17% aller vom ANSSI behandelten Cybervorfälle entfallen, und bezieht sie in den Anwendungsbereich von NIS2 ein. Ziel ist es, einen verhältnismäßigen Ansatz einzuführen, der auf die Reife und die Mittel der Gebietskörperschaften zugeschnitten ist. 
Insgesamt sollen 661 Gebietskörperschaften oder Zusammenschlüsse als wesentliche Einheiten betroffen sein: 22 Regionen, 97 Departements, 263 Großstädte und 279 Gemeinden mit mehr als 30.000 Einwohnern. Die 992 Gemeindeverbände werden als wichtige Einheiten betroffen sein. 
Ihr Bedürfnis nach Unterstützung und Begleitung wurde gehört: Die im Rahmen des Programms France Relance eingerichteten Cybersicherheits-Parcours werden beschleunigt. Außerdem wird ein Übergangsbudget in Betracht gezogen, um die geschätzten durchschnittlichen Kosten von 400.000 Euro zu finanzieren, die erforderlich sind, um die Cyber-Compliance in einer Kommune zu erreichen.

Die Agenda des Gesetzentwurfs

In seiner Eröffnungsrede bei den Assises de la sécurité in Monaco sagte der Generaldirektor der ANSSI, Herr Strubel: "Am 17. Oktober wird nichts passieren", und bezog sich damit auf die Frist, die den Mitgliedstaaten zur Umsetzung der NIS2-Richtlinie eingeräumt wurde.
In diesem Zusammenhang wurde der Gesetzentwurf über die Widerstandsfähigkeit kritischer Infrastrukturen und die Stärkung der Cybersicherheit am 15. Oktober 2024 von drei Ministern auf dem Schreibtisch des Senats eingereicht: Antoine Armand (Wirtschaft, Finanzen und Industrie), Patrick Hetzel (Hochschulwesen und Forschung) und Clara Chappaz (Staatssekretärin für Künstliche Intelligenz und Digitales).
Aufgrund des von der Regierung eingeleiteten beschleunigten Verfahrens wird die Behandlung dieses Textes im Parlament auf eine einzige Lesung in jeder Kammer beschränkt, wodurch sich der Zeitdruck noch weiter erhöht.

Artikel aktualisiert am 17. Dezember 2024

Katégorien
Cybersicherheit & Compliance
Das Magazin
Cookie-Richtlinie

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Seite zu bieten, erheben aber keine personenbezogenen Daten.

Die Dienste zur Messung des Publikums, die für den Betrieb und die Verbesserung unserer Website erforderlich sind, ermöglichen es nicht, Sie persönlich zu identifizieren. Sie haben jedoch die Möglichkeit, sich ihrer Nutzung zu widersetzen.

Weitere Informationen finden Sie in unserem Datenschutzrichtlinie.

Zulassen Ablehnen