Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 29.10.2024 - 01220-1000-0001 -

Vom 29. Oktober 2024 (Nds. MBl. 2024 Nr. 497)

- VORIS 20500 -

Bezug:
Beschl. d. LReg v. 29.10.2024 (Nds. MBl. 2024 Nr. 496)
- VORIS 20500 -

Die LReg hat in ihrer Sitzung am 29.10.2024 den nachstehenden Gem. RdErl. zur Umsetzung der NIS-2-Richtlinie in Niedersachsen (NIS2UmsRdErl) beschlossen.

Vorbemerkung

Die Bedrohungslage für Netz- und Informationssysteme aufgrund von Cybersicherheitsrisiken hat sich in den letzten Jahren drastisch verschärft und erreicht mittlerweile ein beispielloses Ausmaß. Cyberangriffe sind zu einer allgegenwärtigen Gefahr geworden, die den Staat, die Wirtschaft sowie die Gesellschaft in gleichem Maße bedrohen.

Am 16. Januar 2023 ist die Richtlinie (EU) 2022/2555 nach Veröffentlichung am 27.12.2022 im Amtsblatt der Europäischen Union in Kraft getreten. Die Mitgliedstaaten müssen die Richtlinie bis zum 17.10.2024 in nationales Recht umgesetzt haben.

Die NIS-2-Richtlinie löst die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1; L 33 vom 7.2.2018, S. 5) (im Folgenden: NIS-Richtlinie) ab und verfolgt das übergreifende Ziel, den europäischen Binnenmarkt resilienter gegenüber Bedrohungen aus dem Cyberraum zu machen. Große Unterschiede zwischen den Mitgliedstaaten sollen beseitigt werden, indem insbesondere Mindestvorschriften für einen funktionierenden und koordinierten Rechtsrahmen festgelegt werden, Mechanismen für die wirksame Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten vorgesehen werden, die Liste der Sektoren und Tätigkeiten, die Pflichten im Hinblick auf die Cybersicherheit unterliegen, aktualisiert wird und wirksame Abhilfemaßnahmen und Durchsetzungsmaßnahmen eingeführt werden.

Die Umsetzung der NIS-2-Richtlinie erfolgt für den Mitgliedstaat Deutschland im Wesentlichen durch Bundesrecht. Der Bund kann jedoch nur solche Vorgaben der NIS-2-Richtlinie umsetzen, für die ihm das Grundgesetz die Befugnis zur Gesetzgebung eröffnet. Die NIS-2-Richtlinie adressiert neben Unternehmen in kritischen Sektoren auch Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Unter regionaler Ebene ist im europarechtlichen Kontext die Ebene der Landesverwaltungen zu verstehen. Da der Bund mangels Gesetzgebungskompetenz diesbezüglich keine Regelungen treffen kann, sind die Länder ebenso zur Umsetzung verpflichtet.

Dieser Gem. RdErl. dient der Umsetzung der NIS-2-Richtlinie in Niedersachsen.

1.1 MI nimmt die Aufgaben als zuständige Behörde für Cybersicherheit für das Land Niedersachsen und die in Kapitel VII der NIS-2-Richtlinie genannten Aufsichtsaufgaben auf der Ebene der unmittelbaren Landesverwaltung wahr (zuständige Behörde) - vgl. Bezugsbeschluss.

1.2 Die zuständige Behörde handelt in dieser Funktion unabhängig. Sie hat ein direktes Vortragsrecht im Niedersächsischen IT-Planungsrat und berichtet diesem erstmalig zum 31.10.2025 und anschließend jährlich über die Anwendung der NIS-2-Richtlinie.

1.3 Die zuständige Behörde berät und unterstützt wichtige Einrichtungen nach Nummer 3.1 bei der Umsetzung der Anforderungen nach diesem Gem. RdErl. und stellt konkrete, praxisnahe Hilfsmittel zur Umsetzung von Informationssicherheitsvorgaben im Rahmen der eigenen Kapazitäten bereit.

1.4 Die zuständige Behörde ist im Rahmen verfügbarer Haushaltsmittel mit angemessenen Ressourcen auszustatten, damit die übertragenen Aufgaben wirksam und effizient wahrgenommen werden können und somit die Ziele der NIS-2-Richtlinie erreicht werden.

1.5 Die Identität der zuständigen Behörde, ihre Aufgaben sowie etwaige spätere Änderungen dieser Angaben sind der Europäischen Kommission unverzüglich zu notifizieren.

1.6 Die zuständige Behörde arbeitet zur Erfüllung ihrer Aufgaben mit den zuständigen Behörden der anderen Länder, dem Bundesamt für Sicherheit in der Informationstechnik als zentrale Anlaufstelle, den Computer-Notfallteams, den Strafverfolgungsbehörden, den Datenschutzbehörden, den nationalen Behörden gemäß den Verordnungen (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) Nr. 2320/2002 (ABl. L 97 vom 9.4.2008, S. 72; L 164 vom 23.6.2012, S. 18), geändert durch die Verordnung (EU) Nr. 18/2010 der Kommission vom 8. Januar 2010 (ABl. L 7 vom 12.1.2010, S. 3), und (EU) 2018/1139 des Europäischen Parlaments und des Rates vom 4. Juli 2018 zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit sowie zur Änderung der Verordnungen (EG) Nr. 2111/2005, (EG) Nr. 1008/2008, (EU) Nr. 996/2010, (EU) Nr. 376/2014 und der Richtlinien 2014/30/EU und 2014/53/EU des Europäischen Parlaments und des Rates, und zur Aufhebung der Verordnungen (EG) Nr. 552/2004 und (EG) Nr. 216/2008 des Europäischen Parlaments und des Rates und der Verordnung (EWG) Nr. 3922/91 des Rates (ABl. L 212 vom 22.8.2018, S. 1; L 296 vom 22.11.2018, S. 41), geändert durch die Delegierte Verordnung (EU) 2021/1087 der Kommission vom 7. April 2021 (ABl. L 236 vom 5.7.2021, S. 1), den Aufsichtsstellen gemäß der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73; L 23 vom 29.1.2015, S. 19; L 155 vom 14.6.2016, S. 44), geändert durch die Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 (ABl. L, 2024/1183, 30.4.2024), den gemäß der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1) zuständigen Behörden, den nationalen Regulierungsbehörden gemäß der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (ABl. L 321 vom 17.12.2018, S. 36; L 334 vom 27.12.2019, S. 164), den gemäß der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates (ABl. L 333 vom 27.12.2022, S. 164) zuständigen Behörden sowie im Rahmen anderer sektorspezifischer Rechtsakte der Europäischen Union innerhalb des jeweiligen Mitgliedstaats zuständiger Behörden zusammen.

2.1 Die Zentralstelle für Informationssicherheit i. S. von § 14 Abs. 1 NDIG nimmt die Aufgaben als Computer-Notfallteam (Computer Security Incident Response Team - CSIRT) i. S. von Artikel 10 Abs. 1 NIS-2-Richtlinie auf der Ebene der unmittelbaren Landesverwaltung wahr - vgl. Bezugsbeschluss.

2.2 Das Computer-Notfallteam gewährleistet folgende Anforderungen:

1. a)

   Das Computer-Notfallteam sorgt für einen hohen Grad der Verfügbarkeit seiner Kommunikationskanäle, indem es punktuellen Ausfällen vorbeugt und mehrere Kanäle bereitstellt, damit es jederzeit erreichbar bleibt und selbst mit Anderen Kontakt aufnehmen kann; es legt die Kommunikationskanäle genau fest und macht sie den wichtigen Einrichtungen nach Nummer 3.1 bekannt.

2. b)

   Die Räumlichkeiten des Computer-Notfallteams und die unterstützenden Informationssysteme werden an sicheren Standorten eingerichtet.

3. c)

   Das Computer-Notfallteam muss über ein geeignetes System zur Verwaltung und Weiterleitung von Anfragen verfügen, insbesondere um wirksame und effiziente Übergaben zu erleichtern.

4. d)

   Das Computer-Notfallteam stellt die Vertraulichkeit und Vertrauenswürdigkeit seiner Tätigkeiten sicher.

5. e)

   Das Computer-Notfallteam muss personell so ausgestattet sein, dass es eine ständige Bereitschaft seiner Dienste gewährleisten kann, und es muss sicherstellen, dass sein Personal entsprechend geschult ist.

6. f)

   Das Computer-Notfallteam muss über Redundanzsysteme und Ausweicharbeitsräume verfügen, um die Kontinuität seiner Dienste sicherzustellen.

2.3 Das Computer-Notfallteam nimmt folgende Aufgaben wahr:

1. a)

   Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf Ebene der unmittelbaren Landesverwaltung und auf Anfrage Bereitstellung von Unterstützung für wichtige Einrichtungen nach Nummer 3.1 hinsichtlich der Überwachung ihrer Netz- und Informationssysteme in Echtzeit oder nahezu in Echtzeit;

2. b)

   Ausgabe von Frühwarnungen und Alarmmeldungen sowie Bekanntmachung und Weitergabe von Informationen über Cyberbedrohungen, Schwachstellen und Sicherheitsvorfälle an wichtige Einrichtungen nach Nummer 3.1 sowie an das Bundesamt für Sicherheit in der Informationstechnik als zentrale Anlaufstelle, möglichst echtzeitnah;

3. c)

   Reaktion auf Sicherheitsvorfälle und gegebenenfalls Unterstützung der wichtigen Einrichtungen nach Nummer 3.1;

4. d)

   Erhebung und Analyse forensischer Daten sowie dynamische Analyse von Risiken und Sicherheitsvorfällen sowie Lagebeurteilung im Hinblick auf die Cybersicherheit;

5. e)

   auf Ersuchen einer wichtigen Einrichtung nach Nummer 3.1 eine proaktive Überprüfung der Netz- und Informationssysteme der betreffenden Einrichtung auf Schwachstellen mit potenziell signifikanten Auswirkungen (Schwachstellenscan);

6. f)

   Beitrag zum Einsatz sicherer Instrumente für den Informationsaustausch gemäß Artikel 10 Abs. 3 NIS-2-Richtlinie.

2.4 Das Computer-Notfallteam wird auf Anforderung in der Wahrnehmung seiner Aufgaben nach Nummer 2.3 durch die IT betreibenden Stellen des Landes unterstützt. Das Computer-Notfallteam erstattet der ersuchten Stelle Auslagen, die den allgemeinen Verwaltungsaufwand übersteigen, sofern die ersuchte Stelle dies verlangt.

2.5 Die Landesregierung gewährleistet, dass das Computer-Notfallteam im Rahmen verfügbarer Haushaltsmittel mit angemessenen Ressourcen ausgestattet wird, damit es seine Aufgaben nach Nummer 2.3 wirksam erfüllen kann.

2.6 Die Identität des Computer-Notfallteams, seine Aufgaben in Bezug auf wichtige Einrichtungen nach Nummer 3.1 sowie etwaige spätere Änderungen dieser Angaben sind der Europäischen Kommission unverzüglich zu notifizieren.

3.1 Als wichtige Einrichtung i. S. von Artikel 3 Abs. 2 Satz 1 i. V. m. Nr. 10 Alternative 2 Anhang I NIS-2-Richtlinie gilt gemäß Artikel 2 Abs. 2 Buchst. f Doppelbuchst. ii NIS-2-Richtlinie eine Einrichtung der öffentlichen Verwaltung des Landes Niedersachsen, die nach einer risikobasierten Bewertung Dienste erbringt, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Zur Ermittlung ist das vom IT-Planungsrat Bund/Länder in seiner 42. Sitzung am 03.11.2023 beschlossene Identifizierungskonzept (Beschluss 2023/39) heranzuziehen. Sofern der IT-Planungsrat Bund/Länder das Identifizierungskonzept aktualisiert, ist die jeweils aktuellste Fassung anzuwenden.

3.2 Die StK und die Ministerien sind wichtige Einrichtungen i. S. von Nummer 3.1 Satz 1.

3.3 Die StK und die Ministerien wenden das Identifizierungskonzept nach Nummer 3.1 Sätze 2 und 3 in eigener Verantwortung in ihrem jeweiligen Geschäftsbereich an und identifizieren darüber Einrichtungen, die in den Anwendungsbereich der NIS-2-Richtlinie fallen.

3.4 Die StK und die Ministerien übermitteln der zuständigen Behörde erstmalig spätestens zum 17.01.2025 folgende Informationen zu der eigenen Behörde sowie zu den nach Nummer 3.3 identifizierten Einrichtungen in ihrem jeweiligen Geschäftsbereich:

1. a)

   Name der Behörde,

2. b)

   Anschrift der Behörde und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse und Telefonnummer einer Ansprechperson sowie einer Vertreterin oder eines Vertreters, sowie

3. c)

   IP-Adressbereiche.

Die StK und die Ministerien teilen der zuständigen Behörde alle Änderungen an den übermittelten Angaben unverzüglich mit, in jedem Fall jedoch innerhalb von zwei Wochen ab dem Zeitpunkt der Änderung.

3.5 Die StK und die Ministerien überprüfen in eigener Verantwortung in ihrem jeweiligen Geschäftsbereich die Identifizierung nach Nummer 3.3 alle zwei Jahre und teilen das Ergebnis der zuständigen Behörde mit.

3.6 Die zuständige Behörde erstellt bis zum 28.02.2025 eine Liste von wichtigen Einrichtungen nach Nummer 3.1 und aktualisiert diese alle zwei Jahre. Die Liste ist zu klassifizieren.

3.7 Die zuständige Behörde übermittelt der zentralen Anlaufstelle nach Artikel 8 Abs. 3 NIS-2-Richtlinie erstmalig zum 31.03.2025 und danach alle zwei Jahre die Anzahl der wichtigen Einrichtungen nach Nummer 3.1.

4.1 Wichtige Einrichtungen nach Nummer 3.1 sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf ihre oder andere Dienste zu verhindern oder möglichst gering zu halten. Die Einhaltung der Verpflichtung nach Satz 1 ist durch die jeweilige Einrichtung zu dokumentieren.

4.2 Maßnahmen nach Nummer 4.1 müssen den Stand der Technik einhalten und unter Berücksichtigung der einschlägigen europäischen und internationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau der informationstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

4.3 Maßnahmen nach Nummer 4.1 müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die informationstechnischen Systeme, Komponenten und Prozesse und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:

1. a)

   Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,

2. b)

   Bewältigung von Sicherheitsvorfällen,

3. c)

   Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,

4. d)

   Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,

5. e)

   Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,

6. f)

   Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,

7. g)

   grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,

8. h)

   Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,

9. i)

   Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,

10. j)

    Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie ggf. gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

4.4 Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Artikel 21 Abs. 5 Unterabs. 2 NIS-2-Richtlinie erlässt, in dem die technischen und methodischen Anforderungen sowie erforderlichenfalls die sektoralen Anforderungen der in Nummer 4.3 genannten Maßnahmen festgelegt werden, so gehen diese Anforderungen vor.