competent woman thinking over a laptop
Beitrag teilen
HOME
/
blog
/
Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) Aktueller Stand und Bedeutung

Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) Aktueller Stand und Bedeutung

Tobias Forbes

Information Security Expert

September 26, 2024

7 min

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Key Takeaways

Das NIS2 Umsetzungsgesetz ist eine nationale Umsetzung der NIS2-Richtlinie der EU, die die Cybersicherheit in der Europäischen Union stärken soll.

Das Inkrafttreten verzögert sich aller Voraussicht nach bis Ende Q1 2025, allerdings sollten Unternehmen trotzdem sofort mit der Umsetzung starten

Bei Nichtbefolgung des NIS2 Umsetzungsgesetzes drohen Bußgelder und strafrechtliche Konsequenzen.

Die Umsetzung der NIS2 Anforderung gelingt am einfachsten über ein formelles Informationssicherheits-Managementsystem (ISMS)

Die Gefahren der Cyberkriminalität stehen heute mehr denn je im Mittelpunkt der öffentlichen Wahrnehmung und politischen Diskussion. Die Verwundbarkeit des Wirtschaftsstandortes Deutschland war noch nie so groß.

Die jüngsten Erkenntnisse aus einer Studie des Digital-Branchenverbands Bitkom werfen ein alarmierendes Licht auf die Auswirkungen von Cyberangriffen auf die deutsche Wirtschaft. Mit einem Schaden von 206 Milliarden Euro allein im vergangenen Jahr wird deutlich, dass die Bedrohung durch Cyberkriminalität in einem besorgniserregenden Ausmaß zugenommen hat. Diese Angriffe betreffen nicht nur Großunternehmen, sondern auch kleinere und mittelständische Unternehmen. Vor diesem Hintergrund stellt sich die drängende Frage:  

Wie können Sie Ihr Unternehmen effektiv vor den Gefahren der Cyberkriminalität schützen?

Eine Antwort darauf versucht die EU mit der NIS2 Richtlinie zu geben, die bis Oktober 2024 von Deutschland vom nationalen Recht umgesetzt sein muss. Dieser Artikel beleuchtet den aktuellen Stand der NIS2-Umsetzung in Deutschland und erklärt, was Unternehmen jetzt wissen und tun müssen.

Was ist NIS2 und warum ist die Richtlinie so wichtig?

NIS2, die Abkürzung für "Network and Information Systems Directive 2", ist eine EU-Richtlinie zur Verbesserung der Cybersicherheit in Europa. Sie wurde im Dezember 2022 verabschiedet und bringt wichtige Neuerungen im Vergleich mit ihrem Vorgänger mit sich:

  • Erweiterter Geltungsbereich für mehr Branchen
  • Strengere Sicherheitsanforderungen
  • Verschärfte Meldepflichten bei Cybervorfällen
  • Höhere Sanktionen bei Verstößen

Diese Maßnahmen zielen darauf ab, die Cyberresilienz von Unternehmen und kritischen Infrastrukturen deutlich zu erhöhen.

Das NIS2 Umsetzungsgesetz: Ziele und Bedeutung

Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) ist die deutsche Antwort auf die EU-Richtlinie. Es verfolgt mehrere Kernziele:

  1. Erhöhung der Cybersicherheit durch verbesserte Schutzmaßnahmen
  2. Harmonisierung der Cybersicherheitsstandards mit anderen EU-Mitgliedsstaaten
  3. Stärkung kritischer Infrastrukturen gegen Cyberbedrohungen
  4. Verbesserung der Krisenbewältigung bei Cybervorfällen
  5. Ausweitung der Meldepflichten für schnellere Reaktionen auf Bedrohungen

Mit diesen Maßnahmen soll das NIS2 Umsetzungsgesetz rund 30.000 Unternehmen in Deutschland erreichen und neue Cybersicherheitspflichten einführen.

Aktueller Stand des NIS2 Umsetzungsgesetzes in Deutschland

Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) befindet sich derzeit in einem fortgeschrittenen Stadium der Entstehung. Am 24.07.2024 hat das Bundeskabinett den Gesetzentwurf beschlossen und auf den parlamentarischen Weg gebracht.

Dem Kabinettsbeschluss ging ein finaler Regierungsentwurf mit Bearbeitungsstand vom 22.07.2024 voraus, den das Bundesministerium des Innern (BMI) veröffentlicht hat. Vor diesem Entwurf gab es mehrere Referentenentwürfe sowie eine Verbändeanhörung am 03.06.2024, bei der insgesamt 62 Stellungnahmen eingingen. Bevor das Gesetz in Kraft treten kann, muss es noch den regulären Gesetzgebungsprozess auf Bundesebene durchlaufen, einschließlich Beratungen in Bundestag und Bundesrat.

Auf Basis dieses Zeitverlaufes ist derzeit nicht mit einem fristgerechten Inkrafttreten bis zum 17. Oktober 2024 zu rechnen. Vielmehr deutet Vieles auf eine Verzögerung bis ca. März 2025 hin.

Trotz der Verzögerung empfiehlt es sich für Unternehmen, bereits jetzt mit der Umsetzung der bekannten Basis-Anforderungen zu starten, da keine wesentlichen Änderungen mehr zu erwarten sind und die Umsetzung sechs bis 18 Monate in Anspruch nehmen kann.

Wer ist vom NIS2 Umsetzungsgesetz betroffen?

‍‍

Die beiden Hauptkriterien, um unter das NIS2 Umsetzungsgesetz zu fallen, sind die Unternehmensgröße und der Unternehmenssektor. Ob ein Unternehmen unter das NIS2 Umsetzungsgesetz fällt, hängt also davon ab, ob beide Kriterien erfüllt sind.‍

Bislang geht das NIS2 Umsetzungsgesetz davon aus, dass Unternehmen, die mindestens 50 Mitarbeiter haben und einen Jahresumsatz oder eine Jahresbilanz von über 10 Millionen Euro aufweisen, von NIS2 betroffen sein könnten, sofern sie auch in einem der 18 von der Richtlinie definierten Unternehmenssektoren tätig sind.  

Die Einteilung der Einrichtungen in „Essential Entities“ und „Important Entities“ bestimmt die Art der Aufsicht und die Sanktionsmöglichkeiten bei Verstößen gegen die Richtlinie.

In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.    

NIS2 Umsetzungsgesetz: Welche Sektoren gehören zu den Betreibern kritischer Infrastruktur in Deutschland?

Die folgende Infografik gibt einen Überblick dazu, welche Unternehmen bislang unter die KRITIS-Einordnung fallen und in Zukunft zu den „wesentlichen“ Sektoren im NIS2 Umsetzungsgesetz zählen könnten.

Betreiber Kritischer Infrastruktur in Deutschland

Was besagt die „Size-Cap-Rule“ im NIS2 Umsetzungsgesetz?

Durch die Anwendung der „Size-Cap-Rule“ schafft NIS2 ein ausgewogenes Regelwerk, das sowohl auf Start-ups, mittelständische Unternehmen als auch Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über ausreichende Ressourcen oder Fachwissen für komplexe Sicherheitsmaßnahmen verfügen, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu ermutigt, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.

Vorbereitung auf das NIS2 Umsetzungsgesetz: Was nun zu tun ist

Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen Unternehmen insbesondere die neuen strengen Sicherheitsanforderungen im Rahmen des NIS2 Umsetzungsgesetzes beachten:

  • die Einführung von Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen
  • die Einhaltung zeitkritischer Melde- und Berichtspflichten
  • eine umfassende Risikobewertung, um potenzielle Angriffe und Informationssicherheitsrisiken zu identifizieren und zu bewerten
  • die allgemeine Sensibilisierung und Schulung Ihrer Mitarbeitenden zum Thema Informationssicherheit
  • Technisch-Organisatorische Maßnahmen (TOM) gemäß Stand der Technik
  • Cybersicherheit auch in der Lieferkette sicherstellen

Zusammengefasst: NIS2 macht den Aufbau eines Informationssicherheits-Managementsystems quasi unerlässlich

Informationssicherheits-Managementsysteme (ISMS) spielen eine zentrale Rolle bei der Umsetzung der Anforderungen des NIS2 Umsetzungsgesetzes. Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.  

‍Die NIS2 orientiert sich dabei stark am globalen Goldstandard für Informationssicherheit, der ISO 27001 Zertifizierung.

Sanktionen bei Nichteinhaltung des NIS2 Umsetzungsgesetzes

Im Rahmen der NIS2 Richtlinie liegt die übergeordnete Verantwortung für die Cybersecurity und die Prävention von Sicherheitsvorfällen beim oberen Management. Die Richtlinie betont, dass das Management persönlich für die Durchführung dieser Maßnahmen verantwortlich sei.

Höhere Bußgelder

Die NIS2 Richtlinie führt höhere Bußgelder und Strafen ein. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) ausmachen.  

Für wichtige Einrichtungen können Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Diese strengeren Strafen sollen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und mögliche Verstöße ernst zu nehmen.

Fazit und Handlungsempfehlungen

Obwohl das NIS2 Umsetzungsgesetz voraussichtlich erst 2025 in Kraft tritt, sollten sich Unternehmen bereits jetzt vorbereiten. da die Umsetzung der Maßnahmen mehrere Monate in Anspruch nimmt:

  1. Prüfen Sie, ob Ihr Unternehmen unter den Anwendungsbereich fällt
  2. Planen Sie Ressourcen für die Implementierung ein (6-18 Monate)
  3. Beginnen Sie mit der Umsetzung bekannter Basis-Anforderungen (ISMS nach ISO 27001)
  4. Bleiben Sie über Entwicklungen im Gesetzgebungsprozess informiert

Das NIS2 Umsetzungsgesetz stellt Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, die eigene Cybersicherheit nachhaltig zu verbessern und sich als vertrauenswürdiger Partner zu positionieren.

Mit der ISMS-Lösung von SECJUR setzen Sie alle NIS2-Anforderungen entspannt auf einer Plattform um. Dank Automatisierung sparen Sie sich hierbei bis zu 50% an internen und externen Aufwänden. Sprechen Sie uns noch heute an.

NIS2 Umsetzung leicht gemacht mit Automatisierung

Mit der SECJUR Automatisierungsplattform setzen Unternehmen die NIS2-Anforderungen in Rekordzeit um und sparen sich dadurch wertvolle Ressourcen.

Mehr erfahren
Tobias Forbes

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 5, 2023
4 min
Cookie-Einwilligung: Wie holt man sie rechtskonform ein?

Seit dem Inkrafttreten der DSGVO im Mai 2018 ist es für den Benutzer im Web zum Alltag geworden: Beim Öffnen einer neuen Website wird man aufgefordert, seine Einwilligung zum Sammeln von Daten zu geben, sogenannte Cookies. Laut den ersten Informationen einer Studie der Ruhr-Uni Bochum sind diese Einwilligungen in den meisten Fällen nicht rechtskonform.‍ Wie soll man Cookie-Banner also gestalten? Unsere Experten verraten es.

Lesen
June 5, 2023
10 min
Datenschutz-Folgenabschätzung: So funktioniert das Risiko-Werkzeug

Erfahren Sie in unserem neuesten Blogartikel, wie die Datenschutz-Folgenabschätzung (DSFA) Unternehmen dabei unterstützt, personenbezogene Daten effektiv zu schützen. Lesen Sie, welche Kriterien eine DSFA erforderlich machen und wie Unternehmen die Risiken für die Rechte und Freiheiten der Betroffenen bewerten können. Zudem erklären wir, warum die DSFA kein einmaliger Prozess ist, sondern regelmäßig durchgeführt werden sollte.

Lesen
June 2, 2023
8 min
Google Analytics: Bald illegal? Das sagen die SECJUR-Experten!

Dass der Statistik-Dienst von Google, Google Analytics, nicht ohne Weiteres auf Webseiten datenschutzkonform einsetzbar ist, dürfte bekannt sein. In den letzten Tagen gab es dennoch vermehrt Berichte über den Dienst und dessen mangelnde Datenschutzkonformität. Insbesondere die Aufsichtsbehörden innerhalb der Europäischen Union beschäftigen sich intensiv mit dem Dienst.

Lesen
TO TOP