NIS2-Richtlinie: Neue Anforderungen für Unternehmen

Die NIS2-Richtlinie (Network and Information Security) ist eine europäische Regelung, die Mindestanforderungen an die Cybersicherheit für viele Unternehmen in Europa festlegt. Sie zielt darauf ab, das Niveau der Cybersicherheit in der EU zu verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyberangriffen zu stärken. Die Richtlinie ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland betrifft dies etwa 30.000 Unternehmen.

Wichtige Änderungen und Anforderungen im Überblick

  1. Erweiterter Geltungsbereich: Die NIS2-Richtlinie betrifft mehr Unternehmen als die vorherige NIS-Richtlinie. Insgesamt sind 18 Sektoren betroffen. 

    Besonders wichtige und wichtige Einrichtungen:

    •    Besonders wichtige Einrichtungen: Energie, Transport, Finanzwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IT und Telekommunikation, öffentliche Verwaltung, Weltraum.
    •    Wichtige Einrichtungen: Post und Kurier, Abfallwirtschaft, Lebensmittel, Chemikalien, verarbeitendes Gewerbe, digitale Dienste, Forschung.
     
  2. Risikomanagement: Betroffene Unternehmen müssen ein NIS2-konformes Risikomanagement einführen, um Risiken für ihre Netz- und Informationssysteme zu bewerten und zu bewältigen.
     
  3. Meldepflichten: Mit NIS2 kommen auf betroffene Unternehmen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG-Meldepflichten hinausgehen. 
     
  4. Schulungen und Audits: Unternehmen sind verpflichtet, regelmäßige Schulungen und Audits zur Cybersicherheit durchzuführen.
     
  5. Haftung der Geschäftsführung: Geschäftsführer haften persönlich für Schäden, die durch Missachtung ihrer Pflichten zum Risikomanagement entstehen.
     
  6. Strafen bei Verstößen: Bei Nichteinhaltung der Richtlinie drohen empfindliche Strafen.
     
  7. Nationale CSIRTs: Die Mitgliedsstaaten richten nationale Computer Security Incident Response Teams (CSIRTs) ein, die EU-weit zusammenarbeiten und an die ENISA (European Union Agency for Cyber Security) berichten.


Umsetzung in Deutschland
Das deutsche Gesetz zur Umsetzung von NIS2 (NIS2UmsuCG) passt bestehende KRITIS-Gesetze, insbesondere das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), an. Es wird dringend empfohlen, mit der Anpassung der IT-Sicherheitsmaßnahmen in den Unternehmen zu beginnen, um den zeitaufwändigen Prozess zu bewältigen.


Die wesentlichen konkreten Umsetzungsmaßnahmen für Unternehmen sind:

Bitte prüfen Sie kurzfristig, ob Ihr Unternehmen betroffen ist. Wenn Sie unsicher sind, führen Sie als erste Orientierung die Betroffenheitsprüfung auf der Seite des BSI durch. 


Registrierungspflicht
Betroffene Unternehmen müssen sich selbst als „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“ einordnen und sich ab dem 17. Oktober 2024 innerhalb von drei Monaten beim BSI registrieren.