NIS2-Umsetzung bringt neue Cybersicherheits-Pflichten für Banken und Versicherer

Mit dem heutigen Kabinettsbeschluss zum NIS2-Umsetzungsgesetz verpflichtet die Bundesregierung auch Banken, Versicherungen und andere Finanzdienstleister zu deutlich strengeren Maßnahmen in der Cybersicherheit. Die Umsetzung der EU-Richtlinie NIS2 markiert damit eine neue Stufe regulatorischer Anforderungen für die Finanzbranche in Deutschland. Die Reaktionen der einschlägigen Institutionen und Verbände fallen unterschiedlich aus.

Während bisher primär Betreiber kritischer Infrastrukturen (KRITIS) unter regulatorische Sicherheitsanforderungen fielen, erfasst NIS2 nun auch zahlreiche Finanzinstitute, Versicherungen sowie deren IT-Dienstleister. Maßgeblich ist die Unternehmensgröße: In der Regel gilt die Richtlinie für mittelgroße und große Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz über 10 Millionen Euro. Damit fällt ein erheblicher Teil des Finanzsektors unter die neuen Regeln – unabhängig davon, ob die Unternehmen bislang als KRITIS-Betreiber eingestuft waren.

Die neuen Vorgaben der NIS2-Richtlinie bringen für Banken und Versicherungen ein deutlich verschärftes Anforderungsprofil im Bereich der Cybersicherheit mit sich. So sind Unternehmen künftig verpflichtet, Cybersicherheitsrisiken systematisch zu analysieren, zu dokumentieren und zu steuern. Dabei sind technische und organisatorische Schutzmaßnahmen auf dem Stand der Technik umzusetzen. Auch die Meldepflichten werden deutlich ausgeweitet: Sicherheitsvorfälle, die den Geschäftsbetrieb erheblich beeinträchtigen oder Auswirkungen auf Dritte haben könnten, müssen innerhalb von 24 Stunden nach Bekanntwerden an die zuständigen Behörden gemeldet werden. Eine vertiefte Analyse des Vorfalls ist spätestens nach 72 Stunden nachzureichen.

Ergänzend verlangt das Gesetz die Einhaltung verbindlicher Mindeststandards für IT-Systeme. Dazu zählen unter anderem Anforderungen an Verschlüsselungstechniken, Zugriffskontrollen, Notfallmanagement sowie die Absicherung von Lieferketten und Dienstleistern. Besonders relevant ist auch die ausdrückliche Zuweisung der Verantwortung an die Unternehmensleitung: Die Geschäftsführung haftet persönlich für die Einhaltung der Vorschriften. Bei Verstößen drohen empfindliche Sanktionen – je nach Schwere können Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes verhängt werden. Dabei gilt stets der höhere Betrag.

Finanzdienstleister in Zugzwang

Für Banken und Versicherungen kommt die NIS2-Umsetzung inmitten eines ohnehin dichten Geflechts an IT-Regulierungen. Neben der Digital Operational Resilience Act (DORA), die ab Januar 2025 gilt, reiht sich NIS2 als weiteres Instrument ein, das auf die Resilienz und Widerstandsfähigkeit digitaler Infrastrukturen abzielt. Während DORA primär aufs Risikomanagement im Finanzwesen fokussiert ist, adressiert NIS2 sektorenübergreifend die Prävention und Reaktion auf Cyberangriffe.

Unterschiedlich fallen die Reaktionen der einschlägigen Verbände und Institutionen aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht sich nun mehr denn jein einer Schlüsselrolle. Mit der Erweiterung werde das BSI künftig rund 29.500 Einrichtungen beaufsichtigen, für die neue gesetzliche Pflichten in der IT-Sicherheit greifen. Dabei macht die NIS-2-Richtlinie Cybersicherheit zur Chefsache und verpflichtet die Unternehmen , Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.

Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation. Um Wohlstand und Stabilität weiterhin sichern zu können, müssen Wirtschaft und Staat sich besser gegen Cybergefahren wappnen. Die Wirtschaft braucht dabei Planungssicherheit. Für den Cyberschutz des Staates ist der Regierungsentwurf ebenfalls ein wichtiger Meilenstein: Dass Einrichtungen der Bundesverwaltung BSI-Standards wie den IT-Grundschutz umsetzen, ist dafür wesentliche Voraussetzung.“

Claudia Plattner, Präsidentin des BSI

Der stetig wachsenden Bedrohungslage im Cyberraum müsse besonders in der Bundesverwaltung zudem eine wirkungsvolle Antwort in Form einer robusten IT-Governance-Struktur entgegengesetzt werden. Diese Struktur solle sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken und dem Ziel dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern.”

Der IT-Branchenverband Bitkom sieht indes trotz der verpassten Umsetzungsfrist im Oktober 2024 Deutschland auf einem guten Weg.:

Die neue Bundesregierung kommt beim Thema Cybersicherheit voran. Die NIS-2-Richtlinie kann nicht nur einen einheitlichen Rahmen für Cybersicherheit in der ganzen EU schaffen, sondern auch die Sicherheit vor Cyberangriffen insgesamt erhöhen. Wichtig dafür ist, dass wir in Deutschland für eine Eins-zu-eins-Umsetzung der europäischen Vorgaben sorgen und auch in Einzelaspekten keinen nationalen Sonderweg einschlagen.“

Ralf Wintergerst, Bitkom-Präsident

Allerdings gebe es im vorliegenden Regierungsentwurf noch dringenden Änderungsbedarf insofern als dass sich die Bundesverwaltung weiterhin selbst von den strengeren Cybersicherheitsvorgaben ausnehme. „Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cybersicherheit sein, wir können uns angesichts der Bedrohungslage keine Sicherheitslücken leisten. Für Unternehmen, bei denen nur ein Teil der Tätigkeit in kritischen Geschäftsfeldern erfolgt, herrscht aufgrund unklarer Formulierungen Ungewissheit, ob sie unter NIS2 fallen werden oder nicht“, so der Bitkom-Präsiden. Weiterhin fehle eine erkennbare Abstimmung mit der geplanten Umsetzung der europäischen CER-Richtlinie.

Aus Sicht des TÜV-Verbands ist es nun Aufgabe des Bundestags, den Gesetzesentwurf an entscheidenden Stellen zu schärfen, um die Wirksamkeit in der Praxis zu erhöhen – insbesondere bei den zu definierenden Ausnahmeregelungen und Nachweispflichten, sowie was die unabhängigen Zertifizierungen betreffe.

Das Gesetz ist längst überfällig und muss angesichts der Bedrohungslage im Cyberraum zügig beschlossen werden. Mit dem aktuellen Entwurf liegt eine solide Grundlage vor – jetzt braucht es den politischen Willen, offene Punkte im parlamentarischen Verfahren konstruktiv und schnell zu klären.“

Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband

Obwohl das Bundeskabinett das Umsetzungsgesetz heute beschlossen hat, muss es nach der Bundestagswahl im Frühjahr 2025 erneut in den Bundestag eingebracht werden. Ein Inkrafttreten wird derzeit für Ende 2025 erwartet. Die Verpflichtungen gelten dann ohne Übergangsfristen – betroffene Institute müssen sich frühzeitig auf die neuen Anforderungen vorbereiten.tw