NIS2-Compliance für den Sektor der öffentlichen Verwaltung

Behörden und Einrichtungen der öffentlichen Verwaltung erbringen wesentliche staatliche Dienstleistungen auf nationaler, regionaler und lokaler Ebene. Diese Dienstleistungen stützen sich zunehmend auf digitale Plattformen für Besteuerung, Sozialversicherung, Identitätsmanagement, Erteilung von Lizenzen und öffentliche Register. Cybervorfälle, die die öffentliche Verwaltung betreffen, können demokratische Funktionen, das öffentliche Vertrauen und wesentliche Bürgerdienste beeinträchtigen oder unterbrechen.

Die NIS2-Richtlinie legt EU-weite Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Compliance für den Sektor der öffentlichen Verwaltung spiegelt die strategische Bedeutung des Schutzes staatlicher digitaler Infrastrukturen vor Cyberbedrohungen wider.

Die Richtlinie gilt für bestimmte Einrichtungen der öffentlichen Verwaltung in der gesamten Europäischen Union. Der Anwendungsbereich wird durch Verwaltungsebene und nationale Bestimmung festgelegt, nicht durch traditionelle Schwellenwerte für die Unternehmensgröße.

Wenn Ihre Organisation innerhalb der öffentlichen Verwaltung auf zentraler oder benannter regionaler Ebene tätig ist, kann sie als wesentliche Einrichtung unter die NIS2 fallen.

Der Sektor Öffentliche Verwaltung wird wie folgt eingestuft:

Relevanter Anhang: Anhang I (wesentliche Einrichtungen)

Die Mitgliedstaaten können die spezifische Einbeziehung regionaler oder lokaler Behörden auf der Grundlage ihrer Rolle bei der Erbringung kritischer öffentlicher Dienstleistungen bestimmen.

Einrichtungen, die unter diese Einstufung fallen, werden nach NIS2 als wesentliche Einrichtungen behandelt.

• Wesentliche Einrichtung gemäß Anhang I

• Öffentliche Verwaltungen der zentralen Ebene
• Öffentliche Verwaltungen auf regionaler Ebene, sofern sie von den Mitgliedstaaten nach einer Risikobewertung benannt werden

Abdeckung des Subsektors (Anhang I – Öffentliche Verwaltung):

Die NIS2-Vorgaben gelten im Sektor der öffentlichen Verwaltung für:

Anders als bei Unternehmen des Privatsektors sind klassische KMU-Größenschwellen nicht der maßgebliche Faktor für den Anwendungsbereich. Stattdessen hängt die Einbeziehung von der Verwaltungsebene und der nationalen Benennung ab.

Behörden der öffentlichen Verwaltung, die für digitale Identitätssysteme, nationale Register oder zentrale öffentliche Dienste verantwortlich sind, sind typischerweise einbezogen. Die Mitgliedstaaten können bestimmte kommunale Behörden ausschließen, wenn das Risiko als begrenzt eingestuft wird.

• Ministerien und Dienststellen der Zentralregierung
• Nationale Behörden, die für Besteuerung, Zoll, Personenstandsregister, öffentliche Finanzen oder Sozialdienste zuständig sind
• Regionale Behörden, die von den Mitgliedstaaten nach nationalen Umsetzungsgesetzen benannt wurden

Nach Artikel 21 der NIS2-Richtlinie müssen Einrichtungen der öffentlichen Verwaltung geeignete und verhältnismäßige technische und organisatorische Maßnahmen zum Management von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für Einrichtungen der öffentlichen Verwaltung müssen diese NIS2-Sicherheitsmaßnahmen Bürgerportale, Systeme für digitale Identitäten, Steuerplattformen, Systeme der öffentlichen Auftragsvergabe und interne Regierungsnetze schützen.

Die NIS2-Compliance im Sektor der öffentlichen Verwaltung erfordert eine starke behördenübergreifende Koordination, sichere Beschaffungspraktiken sowie die Überwachung externer IT-Dienstleister. Regierungssysteme verarbeiten häufig große Mengen sensibler Daten und sind attraktive Ziele für Cyberangreifer.

• Risikomanagement-Rahmenwerk
• Verfahren zum Umgang mit Sicherheitsvorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• Lieferkettensicherheit
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Schwachstellenmanagement und Patch-Management
• Cyberhygiene-Schulungen
• Nutzung sicherer Kommunikationsmittel

Einrichtungen der öffentlichen Verwaltung müssen den NIS2-Zeitplan für die Meldung erheblicher Sicherheitsvorfälle einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde zu übermitteln.

Die 24-Stunden-Meldepflicht nach NIS2 ist insbesondere bei Vorfällen von entscheidender Bedeutung, die Bürgerdienste, Systeme der digitalen Identität oder nationale Verwaltungsplattformen betreffen. Die Störung grundlegender staatlicher Dienste wird in der Regel als erheblicher Sicherheitsvorfall eingestuft.

Die Nichteinhaltung der vorgeschriebenen Fristen kann Aufsichts- und Durchsetzungsmaßnahmen nach sich ziehen.

Die NIS2-Compliance im Sektor der öffentlichen Verwaltung auferlegt dem Leitungsorgan oder einer gleichwertigen Leitungsbehörde klare Rechenschaftspflichten.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie hebt die Aufsicht über die Cybersicherheit in öffentlichen Einrichtungen auf die Leitungsebene an. Führungskräfte müssen sicherstellen, dass Cybersicherheitsmaßnahmen formell verabschiedet, angemessen mit Ressourcen ausgestattet und überwacht werden.

Angesichts der öffentlichen Interessenlage können Governance-Versäumnisse sowohl regulatorische als auch politische Folgen haben.

• Genehmigung der Maßnahmen des Cybersicherheits-Risikomanagements durch die oberste Leitung
• Laufende Überwachung der Umsetzung
• Verpflichtende Schulungen zur Cybersicherheit für die Leitungsebene
• Mögliche persönliche Haftung nach nationalem Recht

Als Einrichtungen gemäß Anhang I unterliegen Einrichtungen der öffentlichen Verwaltung, die als wesentliche Einrichtungen eingestuft sind, der proaktiven Aufsicht. Zuständige Behörden können Prüfungen, Inspektionen und Bewertungen der Cybersicherheit durchführen, unabhängig davon, ob ein Vorfall eingetreten ist.

Verwaltungsrechtliche Geldbußen nach NIS2 für wesentliche Einrichtungen:

Für Einrichtungen der öffentlichen Verwaltung können die Mitgliedstaaten nach nationalem Recht besondere Durchsetzungsmodalitäten anwenden, einschließlich administrativer Maßnahmen anstelle finanzieller Sanktionen. Abweichungen bei der nationalen Umsetzung sind möglich.

Es ist zu erwarten, dass die Aufsicht strukturiert erfolgt und mit den nationalen Sicherheitsprioritäten im Einklang steht.

• Bis zu 10 Millionen € oder 2 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Einrichtungen der öffentlichen Verwaltung sollten strukturierte Maßnahmen zur NIS2-Compliance ergreifen:

Frühzeitige Vorbereitung reduziert das Durchsetzungsrisiko und schützt die Kontinuität öffentlicher Dienste.

1. Führen Sie eine NIS2-Gap-Analyse in allen Ministerien und Behörden durch
2. Erfassen Sie kritische Systeme mit Bürgerkontakt sowie interne Systeme
3. Formalisieren Sie ein dokumentiertes Rahmenwerk für das Cybersicherheits-Risikomanagement
4. Aktualisieren und testen Sie Verfahren zur Vorfallreaktion und Krisenkommunikation
5. Überprüfen Sie Verträge der öffentlichen Beschaffung auf Klauseln zur Cybersicherheit
6. Schulen Sie Führungskräfte und Abteilungsleitungen
7. Etablieren Sie einen Meldeprozess für 24 h/72 h/1 Monat

Einrichtungen der öffentlichen Verwaltung stehen gemäß NIS2 sektorspezifischen Risiken gegenüber:

Die NIS2-Compliance für den Sektor der öffentlichen Verwaltung ist daher von grundlegender Bedeutung für die staatliche Resilienz und das öffentliche Vertrauen.

• Dienstunterbrechung: Cybervorfälle können die Steuererhebung, Identitätssysteme oder soziale Dienste unterbrechen.
• Gefährdung der nationalen Sicherheit: Staatliche Systeme sind hochwertige Ziele für staatlich unterstützte Akteure.
• Kompromittierung der Lieferkette: IT-Drittanbieter oder Auftragnehmer können Schwachstellen einführen.
• Regulatorische oder verwaltungsrechtliche Sanktionen: Nichteinhaltung kann Aufsichtsmaßnahmen nach sich ziehen.
• Reputations- und politischer Schaden: Das öffentliche Vertrauen in Institutionen kann durch Versäumnisse in der Cybersicherheit beeinträchtigt werden.