Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) Aktueller Stand und Bedeutung
Information Security Expert
September 26, 2024
7 min
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
Das NIS2 Umsetzungsgesetz ist eine nationale Umsetzung der NIS2-Richtlinie der EU, die die Cybersicherheit in der Europäischen Union stärken soll.
Das Inkrafttreten verzögert sich aller Voraussicht nach bis Ende Q1 2025, allerdings sollten Unternehmen trotzdem sofort mit der Umsetzung starten
Bei Nichtbefolgung des NIS2 Umsetzungsgesetzes drohen Bußgelder und strafrechtliche Konsequenzen.
Die Umsetzung der NIS2 Anforderung gelingt am einfachsten über ein formelles Informationssicherheits-Managementsystem (ISMS)
Die Gefahren der Cyberkriminalität stehen heute mehr denn je im Mittelpunkt der öffentlichen Wahrnehmung und politischen Diskussion. Die Verwundbarkeit des Wirtschaftsstandortes Deutschland war noch nie so groß.
Die jüngsten Erkenntnisse aus einer Studie des Digital-Branchenverbands Bitkom werfen ein alarmierendes Licht auf die Auswirkungen von Cyberangriffen auf die deutsche Wirtschaft. Mit einem Schaden von 206 Milliarden Euro allein im vergangenen Jahr wird deutlich, dass die Bedrohung durch Cyberkriminalität in einem besorgniserregenden Ausmaß zugenommen hat. Diese Angriffe betreffen nicht nur Großunternehmen, sondern auch kleinere und mittelständische Unternehmen. Vor diesem Hintergrund stellt sich die drängende Frage:
Wie können Sie Ihr Unternehmen effektiv vor den Gefahren der Cyberkriminalität schützen?
Eine Antwort darauf versucht die EU mit der NIS2 Richtlinie zu geben, die bis Oktober 2024 von Deutschland vom nationalen Recht umgesetzt sein muss. Dieser Artikel beleuchtet den aktuellen Stand der NIS2-Umsetzung in Deutschland und erklärt, was Unternehmen jetzt wissen und tun müssen.
Was ist NIS2 und warum ist die Richtlinie so wichtig?
NIS2, die Abkürzung für "Network and Information Systems Directive 2", ist eine EU-Richtlinie zur Verbesserung der Cybersicherheit in Europa. Sie wurde im Dezember 2022 verabschiedet und bringt wichtige Neuerungen im Vergleich mit ihrem Vorgänger mit sich:
- Erweiterter Geltungsbereich für mehr Branchen
- Strengere Sicherheitsanforderungen
- Verschärfte Meldepflichten bei Cybervorfällen
- Höhere Sanktionen bei Verstößen
Diese Maßnahmen zielen darauf ab, die Cyberresilienz von Unternehmen und kritischen Infrastrukturen deutlich zu erhöhen.
Das NIS2 Umsetzungsgesetz: Ziele und Bedeutung
Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) ist die deutsche Antwort auf die EU-Richtlinie. Es verfolgt mehrere Kernziele:
- Erhöhung der Cybersicherheit durch verbesserte Schutzmaßnahmen
- Harmonisierung der Cybersicherheitsstandards mit anderen EU-Mitgliedsstaaten
- Stärkung kritischer Infrastrukturen gegen Cyberbedrohungen
- Verbesserung der Krisenbewältigung bei Cybervorfällen
- Ausweitung der Meldepflichten für schnellere Reaktionen auf Bedrohungen
Mit diesen Maßnahmen soll das NIS2 Umsetzungsgesetz rund 30.000 Unternehmen in Deutschland erreichen und neue Cybersicherheitspflichten einführen.
Aktueller Stand des NIS2 Umsetzungsgesetzes in Deutschland
Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) befindet sich derzeit in einem fortgeschrittenen Stadium der Entstehung. Am 24.07.2024 hat das Bundeskabinett den Gesetzentwurf beschlossen und auf den parlamentarischen Weg gebracht.
Dem Kabinettsbeschluss ging ein finaler Regierungsentwurf mit Bearbeitungsstand vom 22.07.2024 voraus, den das Bundesministerium des Innern (BMI) veröffentlicht hat. Vor diesem Entwurf gab es mehrere Referentenentwürfe sowie eine Verbändeanhörung am 03.06.2024, bei der insgesamt 62 Stellungnahmen eingingen. Bevor das Gesetz in Kraft treten kann, muss es noch den regulären Gesetzgebungsprozess auf Bundesebene durchlaufen, einschließlich Beratungen in Bundestag und Bundesrat.
Auf Basis dieses Zeitverlaufes ist derzeit nicht mit einem fristgerechten Inkrafttreten bis zum 17. Oktober 2024 zu rechnen. Vielmehr deutet Vieles auf eine Verzögerung bis ca. März 2025 hin.
Trotz der Verzögerung empfiehlt es sich für Unternehmen, bereits jetzt mit der Umsetzung der bekannten Basis-Anforderungen zu starten, da keine wesentlichen Änderungen mehr zu erwarten sind und die Umsetzung sechs bis 18 Monate in Anspruch nehmen kann.
Wer ist vom NIS2 Umsetzungsgesetz betroffen?
Die beiden Hauptkriterien, um unter das NIS2 Umsetzungsgesetz zu fallen, sind die Unternehmensgröße und der Unternehmenssektor. Ob ein Unternehmen unter das NIS2 Umsetzungsgesetz fällt, hängt also davon ab, ob beide Kriterien erfüllt sind.
Bislang geht das NIS2 Umsetzungsgesetz davon aus, dass Unternehmen, die mindestens 50 Mitarbeiter haben und einen Jahresumsatz oder eine Jahresbilanz von über 10 Millionen Euro aufweisen, von NIS2 betroffen sein könnten, sofern sie auch in einem der 18 von der Richtlinie definierten Unternehmenssektoren tätig sind.
Die Einteilung der Einrichtungen in „Essential Entities“ und „Important Entities“ bestimmt die Art der Aufsicht und die Sanktionsmöglichkeiten bei Verstößen gegen die Richtlinie.
In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.
NIS2 Umsetzungsgesetz: Welche Sektoren gehören zu den Betreibern kritischer Infrastruktur in Deutschland?
Die folgende Infografik gibt einen Überblick dazu, welche Unternehmen bislang unter die KRITIS-Einordnung fallen und in Zukunft zu den „wesentlichen“ Sektoren im NIS2 Umsetzungsgesetz zählen könnten.
Was besagt die „Size-Cap-Rule“ im NIS2 Umsetzungsgesetz?
Durch die Anwendung der „Size-Cap-Rule“ schafft NIS2 ein ausgewogenes Regelwerk, das sowohl auf Start-ups, mittelständische Unternehmen als auch Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über ausreichende Ressourcen oder Fachwissen für komplexe Sicherheitsmaßnahmen verfügen, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu ermutigt, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.
Vorbereitung auf das NIS2 Umsetzungsgesetz: Was nun zu tun ist
Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen Unternehmen insbesondere die neuen strengen Sicherheitsanforderungen im Rahmen des NIS2 Umsetzungsgesetzes beachten:
- die Einführung von Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen
- die Einhaltung zeitkritischer Melde- und Berichtspflichten
- eine umfassende Risikobewertung, um potenzielle Angriffe und Informationssicherheitsrisiken zu identifizieren und zu bewerten
- die allgemeine Sensibilisierung und Schulung Ihrer Mitarbeitenden zum Thema Informationssicherheit
- Technisch-Organisatorische Maßnahmen (TOM) gemäß Stand der Technik
- Cybersicherheit auch in der Lieferkette sicherstellen
Zusammengefasst: NIS2 macht den Aufbau eines Informationssicherheits-Managementsystems quasi unerlässlich
Informationssicherheits-Managementsysteme (ISMS) spielen eine zentrale Rolle bei der Umsetzung der Anforderungen des NIS2 Umsetzungsgesetzes. Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Die NIS2 orientiert sich dabei stark am globalen Goldstandard für Informationssicherheit, der ISO 27001 Zertifizierung.
Sanktionen bei Nichteinhaltung des NIS2 Umsetzungsgesetzes
Im Rahmen der NIS2 Richtlinie liegt die übergeordnete Verantwortung für die Cybersecurity und die Prävention von Sicherheitsvorfällen beim oberen Management. Die Richtlinie betont, dass das Management persönlich für die Durchführung dieser Maßnahmen verantwortlich sei.
Höhere Bußgelder
Die NIS2 Richtlinie führt höhere Bußgelder und Strafen ein. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) ausmachen.
Für wichtige Einrichtungen können Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Diese strengeren Strafen sollen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und mögliche Verstöße ernst zu nehmen.
Fazit und Handlungsempfehlungen
Obwohl das NIS2 Umsetzungsgesetz voraussichtlich erst 2025 in Kraft tritt, sollten sich Unternehmen bereits jetzt vorbereiten. da die Umsetzung der Maßnahmen mehrere Monate in Anspruch nimmt:
- Prüfen Sie, ob Ihr Unternehmen unter den Anwendungsbereich fällt
- Planen Sie Ressourcen für die Implementierung ein (6-18 Monate)
- Beginnen Sie mit der Umsetzung bekannter Basis-Anforderungen (ISMS nach ISO 27001)
- Bleiben Sie über Entwicklungen im Gesetzgebungsprozess informiert
Das NIS2 Umsetzungsgesetz stellt Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, die eigene Cybersicherheit nachhaltig zu verbessern und sich als vertrauenswürdiger Partner zu positionieren.
Mit der ISMS-Lösung von SECJUR setzen Sie alle NIS2-Anforderungen entspannt auf einer Plattform um. Dank Automatisierung sparen Sie sich hierbei bis zu 50% an internen und externen Aufwänden. Sprechen Sie uns noch heute an.
Mit der SECJUR Automatisierungsplattform setzen Unternehmen die NIS2-Anforderungen in Rekordzeit um und sparen sich dadurch wertvolle Ressourcen.
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office