NIS-2-Umsetzungsgesetz: Cybersicherheit in Deutschland neu geregelt
Im Oktober 2024 tritt in Deutschland das NIS-2-Umsetzungsgesetz (NIS-2UmsuCG) in Kraft, mit dem die EU-Richtlinie NIS-2 zur Stärkung der Cybersicherheit in nationales Recht überführt wird. Das Gesetz, welches als Referentenentwurf vom Mai 2024 vorliegt, bringt umfangreiche neue Pflichten für Unternehmen und Organisationen mit sich, um die IT-Sicherheit zu verbessern und die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen. Das NIS-2-Umsetzungsgesetz soll am 1. Oktober 2024 in Kraft treten. Besonders wichtige und wichtige Einrichtungen müssen sich innerhalb von drei Monaten beim BSI registrieren und unverzüglich mit der Umsetzung der geforderten Maßnahmen beginnen. Für KRITIS-Betreiber gilt eine Übergangsfrist bis 2027 für den ersten Nachweis der Umsetzung. Unternehmen sollten zügig mit der Analyse ihrer Verpflichtungen und der Planung der notwendigen Schritte starten.
Pflichten zur Gewährleistung der Cybersicherheit im Unternehmen
Betroffene Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und -Prozesse zu schützen. Dazu gehören unter anderem die Implementierung eines effektiven Risikomanagements, die Meldung von erheblichen Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden, der Einsatz von Systemen zur Angriffserkennung und die regelmäßige Schulung von Mitarbeitern in Fragen der IT-Sicherheit. Eine wesentliche Neuerung gegenüber den bisherigen Regeln sind die verschärften Nachweispflichten. KRITIS-Betreiber müssen künftig alle drei Jahre durch Audits, Prüfungen oder Zertifizierungen gegenüber dem BSI nachweisen, dass sie die geforderten Maßnahmen umgesetzt haben. Für die übrigen Einrichtungen sieht das Gesetz anlassbezogene Stichprobenprüfungen durch das BSI vor, die jederzeit durchgeführt werden können.
Strafen und Bußgelder
Das Gesetz sieht Bußgelder von bis zu 20 Millionen € oder bis zu 2% des weltweiten Jahresumsatzes vor, wobei der jeweils höhere Wert zugrunde gelegt wird. Auch Haftungsrisiken für Geschäftsleiter sind in bestimmten Fällen vorgesehen.
Wer fällt unter das Gesetz?
Das NIS-2-Umsetzungsgesetz unterscheidet zwischen zwei Kategorien von betroffenen Unternehmen: den besonders wichtigen Einrichtungen und den wichtigen Einrichtungen. Auch Betreiber sogenannter kritischer Infrastrukturen (KRITIS), die bereits unter die bisherige KRITIS-Regulierung fallen, werden von den neuen Regeln erfasst. Nach Schätzungen des Gesetzgebers werden insgesamt rund 30.000 Unternehmen in Deutschland betroffen sein.
Besonders wichtige Einrichtungen
Sektoren
Öffentliche Verwaltung, Energie, Transport und Verkehr, Bankensektor, Finanzmarkt, Gesundheitswesen, Trinkwasserversorgung, Abwasserwirtschaft, Digitale Infrastruktur, IKT, Raumfahrt
Voraussetzung
NIS-2-Richtlinie gilt für Unternehmen, die
über 250 Mitarbeitende beschäftigen, oder
einen Jahresumsatz von mehr als 50 Millionen € haben und eine Jahresbilanzsumme von mehr als 43 Millionen € haben.
Wichtige Einrichtungen
Sektoren
Post- und Kurierdienste, Abfallwirtschaft, Herstellung & Produktion und Vertrieb von chemischen Stoffen, Herstellung & Produktion und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe (inkl. Medizinprodukte), Digitale Dienstleistungen, Forschung
Voraussetzung
NIS-2-Richtlinie gilt für Unternehmen, die
mehr als 50 Mitarbeiter beschäftigen, oder
einen Jahresumsatz von mehr als 10 Millionen € haben.
Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie der EU betroffen ist? Machen Sie jetzt den Test.
Die NIS-2-Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ermöglicht Ihnen in wenigen Schritten eine prägnante Einschätzung, ob Ihre Organisation von den neuen Regelungen betroffen ist. Die Prüfung stellt konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen.
Unser Angebot umfasst ein Erstgespräch zu NIS-2, bei dem wir grundlegende Fragen klären und gemeinsam die individuellen Bedürfnisse und Ziele besprechen. Dabei stehen wir Ihnen mit fachkundigem Rat und Unterstützung zur Seite, um sie optimal auf die Umsetzung von NIS-2 vorzubereiten. Wir bieten darüber hinaus eine kontinuierliche Begleitung über den gesamten Prozess, um sicherzustellen, dass die angestrebten Ergebnisse erreicht werden.
