competent woman thinking over a laptop
Beitrag teilen
HOME
/
blog
/
Was bedeutet das NIS2 Umsetzungsgesetz für Unternehmen?

Was bedeutet das NIS2 Umsetzungsgesetz für Unternehmen?

Tobias Forbes

Team Lead | SECJUR Information Security Team

October 11, 2023

7 min

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als Team Lead des Information Security Teams bei SECJUR steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Key Takeaways

Das NIS2 Umsetzungsgesetz ist eine nationale Umsetzung der NIS2-Richtlinie der EU, die die Cybersicherheit in der Europäischen Union stärken soll.

Welche Unternehmen vom NIS2 Umsetzungsgesetz betroffen sein werden, hängt von der Unternehmensgröße und dem Unternehmenssektor ab.

Bei Nichtbefolgung des NIS2 Umsetzungsgesetzes drohen Bußgelder und strafrechtliche Konsequenzen.

Die Einhaltung des NIS2 Umsetzungsgesetzes kann als Wettbewerbsvorteil genutzt werden, wobei die Implementierung eines ISMS bei der Einhaltung der Anforderungen hilft.

Die Gefahren der Cyberkriminalität stehen heute mehr denn je im Mittelpunkt der öffentlichen Wahrnehmung und politischen Diskussion. Seit dem Beginn des Ukrainekriegs sind die Sorgen bezüglich der Verwundbarkeit kritischer Infrastrukturen stark gestiegen.

Die jüngsten Erkenntnisse aus einer Studie des Digital-Branchenverbands Bitkom werfen ein alarmierendes Licht auf die Auswirkungen von Cyberangriffen auf die deutsche Wirtschaft. Mit einem Schaden von 206 Milliarden Euro allein im vergangenen Jahr wird deutlich, dass die Bedrohung durch Cyberkriminalität in einem besorgniserregenden Ausmaß zugenommen hat. Diese Angriffe betreffen nicht nur Großunternehmen, sondern auch kleinere und mittelständische Unternehmen. Vor diesem Hintergrund stellt sich die drängende Frage:  

Wie können Sie Ihr Unternehmen effektiv vor den Gefahren der Cyberkriminalität schützen?

Eine Antwort darauf versucht die EU mit der NIS2 Richtlinie zu geben, die bis Oktober 2024 von Deutschland vom nationalen Recht umgesetzt sein muss. In Deutschland liegt bereits ein Entwurf für ein NIS2 Umsetzungsgesetz (NIS2UmsuCG) vor, um die neuen Vorgaben umzusetzen.  

Was ist das NIS2 Umsetzungsgesetz?

Was ist die NIS2 Richtlinie?

Cybersicherheit steht auf der politischen Agenda der Europäischen Union (EU) und ihrer Mitgliedstaaten, einschließlich Deutschland, immer stärker im Fokus. Die Verwundbarkeit von Infrastrukturen durch Hackerangriffe in den letzten Jahren hat dies verdeutlicht. Aus diesem Grund veröffentlicht und überarbeitet die EU aktiv eine Vielzahl von Rechtsvorschriften.  

Die neueste Ergänzung ist die NIS2 Richtlinie, die zusätzliche Maßnahmen enthält, um ein hohes gemeinsames Niveau der Cybersicherheit in der Union sicherzustellen. Die Schaffung eines einheitlichen Informationssicherheitsniveaus für Netz- und Informationssysteme ist schon seit Längerem ein wichtiges Anliegen der EU.

Die NIS2 Richtlinie ist ein Meilenstein in der Entwicklung der Cybersicherheit in Europa. Sie zielt darauf ab, die Widerstandsfähigkeit und den Schutz kritischer Infrastrukturen und digitaler Dienste in der EU zu stärken. Die Richtlinie legt Anforderungen für Unternehmen und Behörden fest, um Risiken zu bewerten, geeignete Sicherheitsvorkehrungen zu treffen und auf Sicherheitsvorfälle zu reagieren.  

Deutschland und die anderen EU-Mitgliedsstaaten haben bis zum Oktober 2024 Zeit, um die neuen Regelungen in nationales Recht umzusetzen, was Anpassungen bestehender Gesetze oder die Einführung neuer Gesetze bedeutet.

Welches Ziel hat das NIS2 Umsetzungsgesetz?

Der vorliegende Entwurf des NIS2 Umsetzungsgesetzes ergänzt das bestehende BSI-Gesetz wie geplant um wichtige beziehungsweise sehr wichtige („wesentliche“) Einrichtungen. Dabei bleibt die bisherige Kategorie der Kritischen Infrastrukturen unverändert.

Derzeit befindet sich das NIS2 Umsetzungsgesetz in der Phase des zweiten Referentenentwurfs und muss nach der Abstimmung in der Bundesregierung noch den Gesetzgebungsprozess auf Bundesebene durchlaufen. Dieses Gesetz, das in erster Linie das BSI-Gesetz betrifft, stellt eine Änderung und Ergänzung verschiedener anderer Gesetze dar. Zusätzlich regelt das KRITIS-Dachgesetz die Resilienz von kritischen Betreibern.

Wer wird vom NIS2 Umsetzungsgesetz betroffen sein?

Die beiden Hauptkriterien, um unter das NIS2 Umsetzungsgesetz zu fallen, sind die Unternehmensgröße und der Unternehmenssektor. Ob ein Unternehmen unter das NIS2 Umsetzungsgesetz fällt, hängt also davon ab, ob beide Kriterien erfüllt sind.‍

Bislang geht das NIS2 Umsetzungsgesetz davon aus, dass Unternehmen, die mindestens 50 Mitarbeiter haben und einen Jahresumsatz oder eine Jahresbilanz von über 10 Millionen Euro aufweisen, von NIS2 betroffen sein könnten, sofern sie auch in einem der 18 von der Richtlinie definierten Unternehmenssektoren tätig sind.  

Die Einteilung der Einrichtungen in „Essential Entities“ und „Important Entities“ bestimmt die Art der Aufsicht und die Sanktionsmöglichkeiten bei Verstößen gegen die Richtlinie.

In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.    

Laut Schätzungen werden in Deutschland zwischen 29.000 bis 40.000 Unternehmen von der NIS2 Richtlinie betroffen sein.

NIS2 Umsetzungsgesetz: Welche Sektoren gehören zu den Betreibern kritischer Infrastruktur in Deutschland?

Die folgende Infografik gibt einen Überblick dazu, welche Unternehmen bislang unter die KRITIS-Einordnung fallen und in Zukunft zu den „wesentlichen“ Sektoren im NIS2 Umsetzungsgesetz zählen könnten.

Übersicht über die Sektoren kritischer Infrastruktur

Was besagt die „Size-Cap-Rule“ im NIS2 Umsetzungsgesetz?

Die NIS2 Richtlinie führt im Vergleich zur NIS1 Richtlinie mehrere Neuerungen ein, um die Cybersicherheit in der Europäischen Union zu stärken. Eine wichtige Neuerung ist die Einführung der „Size-Cap-Rule“, die eine neue Definition des Anwendungsbereichs festlegt. Sie besagt, dass mittelgroße und große Unternehmen in insgesamt achtzehn verschiedenen Sektoren nach ihrer Größe reguliert werden.

Durch die Anwendung der „Size-Cap-Rule“ schafft NIS2 ein ausgewogenes Regelwerk, das sowohl auf Start-ups, mittelständische Unternehmen als auch Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über ausreichende Ressourcen oder Fachwissen für komplexe Sicherheitsmaßnahmen verfügen, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu ermutigt, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.

NIS2 Umsetzungsgesetz: Folgen und Pflichten für Unternehmen

Laut einer Folgekostenabschätzung des Statistischen Bundesamtes belaufen sich die jährlichen Kosten für die Wirtschaft durch die Einführung der NIS2 Richtlinie auf 1,65 Milliarden Euro. Für die Implementierung neuer Prozesse im Rahmen der NIS2 Konformität wird ein einmaliger Aufwand von 1,37 Milliarden Euro erwartet. Diese Kosten könnten für deutsche Unternehmen, einschließlich mittelständischer Unternehmen mit mehr als 49 Mitarbeitenden, erheblich sein.

Die Einführung des NIS2 Umsetzungsgesetzes führt zu einer Vielzahl neuer Pflichten und Anforderungen für Unternehmen. Zunächst müssen Unternehmen sich selbst in die entsprechenden Stufen (KRITIS beziehungsweise „wesentliche“ oder „wichtige“ Einrichtung) einordnen und sich innerhalb von drei Monaten nach Identifikation beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Vorbereitung auf das NIS2 Umsetzungsgesetz: Was nun zu tun ist

Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen Unternehmen insbesondere die neuen strengen Sicherheitsanforderungen im Rahmen des NIS2 Umsetzungsgesetzes beachten:

  • die Einführung von Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen
  • die Einhaltung zeitkritischer Melde- und Berichtspflichten
  • eine umfassende Risikobewertung, um potenzielle Angriffe und Informationssicherheitsrisiken zu identifizieren und zu bewerten
  • die Implementierung eines Informationssicherheitsmanagementsystems (ISMS), um die Sicherheitsmaßnahmen effektiv zu überwachen und auf dem neuesten Stand zu halten
  • die allgemeine Sensibilisierung und Schulung Ihrer Mitarbeitenden zum Thema Informationssicherheit

Cybersicherheits-Risikomanagement

Cybersicherheits-Risikomanagement bedeutet, dass Unternehmen und Behörden Risiken im Bereich der Cybersicherheit analysieren und Sicherheitspläne entwickeln müssen. Außerdem müssen sie darauf achten, dass ihre Lieferketten sicher sind.

Diese Maßnahmen sollen sicherstellen, dass Unternehmen und Behörden frühzeitig erkennen können, wenn es Gefahren in der Online-Welt gibt. Sie sollen dann die richtigen Schritte unternehmen, um sich zu schützen, und im Fall von Sicherheitsproblemen effektiv reagieren können.

TOM gemäß dem Stand der Technik

Die NIS2 Richtlinie verlangt technische und organisatorische Maßnahmen (TOM) entsprechend dem aktuellen Stand der Technik. Das heißt, Unternehmen und Behörden müssen aktuelle technologische Entwicklungen in Betracht ziehen und geeignete Sicherheitsmaßnahmen ergreifen, um den Schutz ihrer digitalen Infrastrukturen und Dienste sicherzustellen.

Meldepflichten

Die Meldepflichten sind ein weiterer zentraler Aspekt des NIS2 Umsetzungsgesetzes. Vorfälle müssen innerhalb von 24 Stunden nach ihrer Entdeckung gemeldet werden, gefolgt von einer Aktualisierung und ersten Bewertung innerhalb von 72 Stunden nach der Meldung. Endgültige Berichte sind spätestens einen Monat nach Entdeckung des Vorfalls vorzulegen. Diese Meldepflichten sollen Transparenz und Koordination bei der Behandlung von Cybersicherheitsvorfällen verbessern.

Lieferketten sicherstellen

Die Sicherstellung von Informationssicherheitsstandards in Lieferketten ist ein zentraler Aspekt des NIS2 Umsetzungsgesetzes. Unternehmen müssen gewährleisten, dass ihre Geschäftspartner und Dienstleister angemessene Sicherheitsmaßnahmen für ihre Informationssicherheit umsetzen.  

Dazu können vertragliche Vereinbarungen mit festgelegten Sicherheitsanforderungen und Zertifizierungen zur Bestätigung der Einhaltung von Standards gehören. Ein automatisiertes ISMS kann dabei helfen, Angriffe zu verhindern und potenzielle Schäden zu begrenzen.

Ein ISMS für NIS2 Compliance

Informationssicherheitsmanagementsysteme (ISMS) spielen eine zentrale Rolle bei der Umsetzung der Anforderungen des NIS2 Umsetzungsgesetzes. Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.  

Sanktionen bei Nichteinhaltung des NIS2 Umsetzungsgesetzes

In Deutschland wurde der Entwurf eines neuen Gesetzes zur Umsetzung der NIS2 Richtlinie (das NIS2 Umsetzungsgesetz) und zur Regelung des Informationssicherheitsmanagements in der Bundesverwaltung vorgestellt. Dieser Entwurf beinhaltet eine grundlegende Überarbeitung und Erweiterung des bestehenden Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).

Im Rahmen dieser umfassenden Reform des BSIG (BSIG-E) wird die Anzahl der Abschnitte im Gesetz um mehr als das Vierfache erhöht. Viele dieser Vorschriften richten sich an private Unternehmen.  

Haftung der Geschäftsleitung

Im Rahmen der NIS2 Richtlinie liegt die übergeordnete Verantwortung für die Cybersecurity und die Prävention von Sicherheitsvorfällen beim oberen Management. Die Richtlinie betont, dass das Management persönlich für die Durchführung dieser Maßnahmen verantwortlich sei.

Das NIS2 Umsetzungsgesetz befindet derzeit noch in der Entwurfsphase. Wie das NIS2 Umsetzungsgesetz die Haftung für Geschäftsführer übernehmen wird, ist derzeit noch unklar.

Höhere Bußgelder

Die NIS2 Richtlinie führt höhere Bußgelder und Strafen ein. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) ausmachen.  

Für wichtige Einrichtungen können Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Diese strengeren Strafen sollen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und mögliche Verstöße ernst zu nehmen.

Finanzielle Schäden durch Prestigeverlust

Wenn Unternehmen das NIS2 Umsetzungsgesetz nicht einhalten, kann dies zu erheblicher Rufschädigung führen. Die Nichteinhaltung von Cybersicherheitsvorschriften kann das Vertrauen der Kunden erschüttern und zu einem Verlust von Geschäftsmöglichkeiten führen.  

Zudem können Datenschutzverletzungen und Sicherheitsvorfälle negative Medienberichterstattung zur Folge haben, was den Ruf eines Unternehmens nachhaltig schädigen kann. Es ist daher von großer Bedeutung, dass Unternehmen die erforderlichen Maßnahmen ergreifen, um das NIS2 Umsetzungsgesetz zu erfüllen und die Sicherheit ihrer digitalen Infrastrukturen zu gewährleisten.

NIS2 Compliance durch ein automatisiertes ISMS

Die Einrichtung eines ISMS nach dem Goldstandard ISO 27001, einer international anerkannten Norm für Informationssicherheitsmanagementsysteme, kann Unternehmen dabei unterstützen, den spezifischen Anforderungen des NIS2 Umsetzungsgesetzes zu entsprechen und den Sanktionen zu entgehen.  

Es ermöglicht eine proaktive Herangehensweise an die Informationssicherheit einschließlich regelmäßiger Überprüfungen, Audits und Verbesserungsmaßnahmen. Mit einem ISMS können Unternehmen Compliance-Anforderungen gezielt angehen und eine Kultur der Sensibilisierung und Schulung der Mitarbeiter fördern.

Die Vorteile der Einhaltung des NIS2 Umsetzungsgesetzes

Das NIS2 Umsetzungsgesetz hat das Ziel, die Cybersicherheit in der Europäischen Union zu stärken. Dies geschieht durch die Harmonisierung von Standards, die Verbesserung des Risikomanagements, die Einführung von Meldepflichten und die Verschärfung von Bußgeldern.

Das Hauptziel des NIS2 Umsetzungsgesetzes besteht darin, die Cybersicherheit für kritische Infrastrukturen in der gesamten EU zu erhöhen und sie vor Bedrohungen wie Hackerangriffen zu schützen.  

Die Richtlinie berücksichtigt dabei insbesondere die wachsende Digitalisierung von Diensten und die Verbreitung von IoT-Geräten. Das übergeordnete Ziel ist die Stärkung der Resilienz und Reaktionsfähigkeit in der Cybersicherheit, um die Funktionsfähigkeit kritischer Infrastrukturen und digitaler Dienste in öffentlichen und privaten Sektoren sowie in der gesamten EU auch in Krisenzeiten sicherzustellen.

NIS2 Compliance als Wettbewerbsvorteil

Unternehmen können die NIS2 Compliance als einen wichtigen Wettbewerbsvorteil nutzen. Indem sie die Anforderungen des NIS2 Umsetzungsgesetzes erfüllen und ein hohes Maß an Cybersicherheit gewährleisten, können sie das Vertrauen ihrer Kunden stärken und ihre Reputation als vertrauenswürdiger und zuverlässiger Anbieter festigen.  

Unternehmen, die nachweislich robuste Sicherheitsmaßnahmen implementiert haben, können sich von Mitbewerbern abheben und potenzielle Kunden dazu ermutigen, ihre Dienstleistungen oder Produkte in Anspruch zu nehmen.  

Durch die proaktive Umsetzung des NIS2 Umsetzungsgesetzes können Unternehmen ihre Widerstandsfähigkeit gegenüber Cyberangriffen stärken und dadurch langfristig ihre Wettbewerbsfähigkeit steigern.

Fazit: Bereiten Sie sich frühzeitig auf NIS2 vor

Obwohl es noch viele Details bezüglich des NIS2 Umsetzungsgesetzes zu klären gibt, sollten Unternehmen, die als wesentliche oder wichtige Einrichtungen eingestuft sind, bereits jetzt Schritte zur Vorbereitung auf NIS2 unternehmen.  

Die Durchführung von Risikoanalysen, die Überwachung der eigenen Lieferkette, die Entwicklung eines IT-Sicherheitsprogramms und die Auswahl geeigneter Sicherheitsprodukte sind zeitaufwendige Prozesse. Daher ist es ratsam, so früh wie möglich mit den Vorbereitungen für die Anforderungen von NIS2 zu beginnen.

Die beste Methode zur Einhaltung des NIS2 Umsetzungsgesetzes ist die Einführung eines umfassenden Informationssicherheitsmanagementsystems (ISMS). Ein anerkannter Goldstandard für ISMS ist die ISO 27001. Der Aufbau eines ISMS nach diesem internationalen Standard kann recht komplex sein und sollte nicht unterschätzt werden.

Mit dem Digital Compliance Office (DCO) von SECJUR können Sie ein Informationssicherheitsmanagementsystem implementieren, das eine effiziente Umsetzung und Überwachung der Standards des NIS2 Umsetzungsgesetzes ermöglicht. Dieser Prozess ist deutlich schneller, effizienter und kosteneffektiver im Vergleich zu manuellen Methoden.

Tobias Forbes

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als Team Lead des Information Security Teams bei SECJUR steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

August 25, 2023
12 min
Datenschutzgesetz Schweiz: Was Unternehmen jetzt tun müssen

Mit dem kürzlich überarbeiteten Datenschutzgesetz (DSG) steht die Schweizer Geschäftswelt vor neuen Herausforderungen. In diesem informativen Artikel werfen wir einen Blick auf die sich ergebenden Verpflichtungen und beleuchten die wesentlichen Unterschiede zwischen dem revidierten DSG und der DSGVO. Besonders markant ist die Einführung der persönlichen strafrechtlichen Haftung, die zur Folge hat, dass nicht nur Unternehmen, sondern auch Privatpersonen bei Verstößen gegen das DSG zur Rechenschaft gezogen werden können. Unser Rechtsexperte Simon Pentzien gibt wertvolle Empfehlungen zur reibungslosen Umsetzung.

Lesen
November 6, 2023
7 min
NIS2 Cybersecurity – was bedeutet die neue EU-Richtlinie für die Cybersicherheit in Europa?

Das Europäische Parlament hat einen bedeutenden Schritt in Richtung umfassenderer und effektiverer Cybersicherheit unternommen. Am 10. November 2022 billigte es den Entwurf der NIS2 Richtlinie, die seit Anfang 2023 in der EU in Kraft ist. Angesichts der anhaltenden Bedrohung durch Cyberangriffe erkannte die Europäische Union die Notwendigkeit, Maßnahmen zu ergreifen. Die NIS2 Richtlinie, die unter anderem die Definition kritischer Dienstanbieter erweitert und strengere Sicherheitsstandards einführt, zielt darauf ab, die Cybersicherheit in Europa zu stärken.

Lesen
June 2, 2023
6 min
Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Die Organisation Noyb („My Privacy is None of Your Business“) unter dem Vorsitz von Max Schrems startete Anfang 2021 eine Abmahnwelle gegenüber Unternehmen wegen datenschutzwidriger Cookie-Banner. Doch wie soll ein rechtskonformes Cookie-Banner eigentlich aussehen? Lesen Sie mehr Tipps zur Gestaltung Ihres Banners.

Lesen
TO TOP