Gültigkeit des Gesetzes:
Die NIS-2-Richtlinie wurde am 14. Dezember 2022 verabschiedet und hätte bis zum
17. Oktober 2024 in nationales Recht umgesetzt werden müssen. In Deutschland erfolgt diese Umsetzung durch das NIS2-
Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das nach dem Regierungswechsel voraussichtlich in der zweiten
Jahreshälfte 2025 in Kraft treten wird. Alle nachfolgenden Angaben können sich daher ggf. nochmals ändern, da das NIS2UmsuCG
von der aktuellen Regierung nochmals neu angepasst wird.
Ziel:
Stärkung der Cybersicherheit in der EU durch Erweiterung des Geltungsbereichs auf mehr Sektoren und Unternehmen sowie
Einführung strengerer Sicherheitsanforderungen und Meldepflichten.
Wesentliche Punkte:
•
Erweiterter Anwendungsbereich auf zusätzliche Sektoren wie Abfallwirtschaft, Lebensmittelproduktion und digitale Dienste.
•
Einführung von Sicherheitsanforderungen und Meldepflichten für betroffene Unternehmen.
•
Unterscheidung zwischen "wesentlichen" und "wichtigen" Einrichtungen mit unterschiedlichen Aufsichtspflichten.
•
Strengere Sanktionen bei Nichteinhaltung, einschließlich Bußgeldern und Haftung der Geschäftsführung.
Wer ist betroffen (Unternehmensgröße und Umsatz):
Unternehmen, welche als Wesentliche Einrichtungen oder Wichtige Einrichtungen kategorisiert werden können sowie alle bisherigen
Kritis-Unternehmen fallen unter die NIS2.
Wesentliche Einrichtungen:
•
Wesentliche Einrichtungen sind Unternehmen mit mindestens 250 Beschäftigten oder einem Jahresumsatz von über 50 Mio. EUR
und einer Jahresbilanzsumme von über 43 Mio. EUR.
•
Sektoren: Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt.
Wichtige Einrichtungen:
•
Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio.
EUR.
•
Sektoren: Abfallwirtschaft, Lebensmittelproduktion, digitale Dienste, Forschungseinrichtungen.
To-Do-Liste für Unternehmen:
1.
Prüfen, ob das Unternehmen unter den Anwendungsbereich der NIS-2-Richtlinie fällt.
2.
Implementierung von Sicherheitsmaßnahmen gemäß den Anforderungen der Richtlinie.
3.
Einrichtung eines Risikomanagementsystems für Netz- und Informationssysteme.
4.
Schulung der Mitarbeiter in Bezug auf Cybersicherheit.
5.
Einrichtung von Meldeverfahren für Sicherheitsvorfälle.
Erste Schritte:
•
Durchführung einer Risikoanalyse der bestehenden IT-Infrastruktur.
•
Benennung eines Verantwortlichen für Informationssicherheit.
•
Identifizieren des Bedarfs von externer Unterstützung.
•
Bei Bedarf: Kontaktaufnahme mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für weitere Informationen und
Unterstützung.
Anmerkungen zur Vorbereitung und Umsetzung der NIS-2 aus der Praxis:
Die NIS-2-Richtlinie (EU) sowie das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) haben die Aufgabe, das
Sicherheitsniveau der Europäischen Wirtschaft, d.h. jedes einzelne für die Wirtschaft und den Standort Deutschland und EU wichtige
Unternehmen konkurrenzfähiger zu machen und die Widerstandsfähigkeit der EU-Wirtschaft zu erhöhen.
Diese Aufgabe obliegt die Unternehmen mit Unterstützung der jeweiligen Behörden. Die Behörden haben zudem die Aufgabe
Sicherheitsvorfälle entgegenzunehmen und mit den anderen EU-Ländern abzugleichen. Dies dient dem frühen Erkennen von
Angriffen und ermöglicht es den Behörden, die Unternehmen ggf. rechtzeitig zu warnen.
Zudem hat die Behörde für die Umsetzung der NIS-2 zu sorgen (Prüfungen).
Randnotiz:
Die Behörden haben viel im Umgang und der Umsetzung von Compliance-Vorgaben gelernt. Es ist insbesondere bei der Umsetzung
der NIS-2 ein erklärtes Anliegen der umzusetzenden Behörde, die Unternehmen zu unterstützen und ihnen Hilfe an die Hand zu
geben. Machen Sie Gebrauch davon und beginnen Sie zeitnah!
Es ist davon auszugehen, dass auf die jeweiligen Behörden eine hohe Belastung zukommen wird und Prüfungen nicht
flächendeckend durchgeführt werden können.
Ein geringeres Risiko geprüft zu werden, sollte für betroffene Unternehmen jedoch keine „Hoffnung“ darstellen, die Umsetzung der
NIS-2 nur halbherzig oder verspätet durchzuführen. Denn sollte das Unternehmen einen relevanten Sicherheitsvorfall haben, muss
es eine Meldung (gefolgt von einem Bericht) an die Behörde geben.
Spätestens ab diesem Zeitpunkt ist das Unternehmen auf dem Schirm der Behörde; eine Meldung zu unterlassen ist selbstredend
keine Option.
Der Schutz ihres Unternehmens, ihrer Unternehmens-werte, ihrer Kunden, Geschäftsbeziehungen und ihrer Mitarbeiter sollte für Sie
im Vordergrund stehen.
Empfehlung zur NIS-2 aus der Praxis:
Prüfen Sie, ob ihr Unternehmen unter die NIS-2 fällt.
a.
Fällt ihr Unternehmen unter die NIS-2, dann beginnen Sie sobald als möglich mit der Planung und Umsetzung (niemand wird
erwarten, dass sofort alles perfekt umgesetzt ist) und beachten Sie auch die Abhängigkeiten mit der DSGVO, CRA, Data Act und dem
AI-Act (siehe die anderen Artikel hier) und holen Sie sich Unterstützung damit Synergien besser genutzt und Ihre Mitarbeiter nicht
unnötig belastet werden.
b.
Fällt ihr Unternehmen nicht unter die NIS-2, aber sind relevante Auftraggeber oder Kunden ihres Unternehmens von der
NIS-2 betroffen,
so beschäftigen Sie sich ebenfalls mit der NIS-2 und betrachten Sie insbesondere die Bereiche ihres Unternehmens und die Prozesse
sowie Abläufe, welche ihre NIS-2 Kunden/Auftraggeber als sicherheitskritisch ansehen könnten (dabei sollten Sie auch an die
Verfügbarkeit von Zulieferungen oder Dienstleistungen denken!).
Datenschutz | Impressum | Kontakt |
NIS-2 Richtlinie
Expertise für die digitale EU-Regulierung
Beratung, Unterstützung, Umsetzungsbegleitung, Projektmanagement zu
DSGVO + KI, AI Act, Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märkte,
zu Organisation, Prozessen/Abläufen, Anforderungen an IT-Systeme
Gültigkeit des Gesetzes:
Die NIS-2-Richtlinie wurde am 14. Dezember 2022
verabschiedet und hätte bis zum
17. Oktober 2024 in nationales Recht umgesetzt
werden müssen. In Deutschland erfolgt diese
Umsetzung durch das NIS2-Umsetzungs- und
Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das
nach dem Regierungswechsel voraussichtlich in der
zweiten Jahreshälfte 2025 in Kraft treten wird. Alle
nachfolgenden Angaben können sich daher ggf.
nochmals ändern, da das NIS2UmsuCG von der
aktuellen Regierung nochmals neu angepasst wird.
Ziel:
Stärkung der Cybersicherheit in der EU durch
Erweiterung des Geltungsbereichs auf mehr Sektoren
und Unternehmen sowie Einführung strengerer
Sicherheitsanforderungen und Meldepflichten.
Wesentliche Punkte:
•
Erweiterter Anwendungsbereich auf zusätzliche
Sektoren wie Abfallwirtschaft,
Lebensmittelproduktion und digitale Dienste.
•
Einführung von Sicherheitsanforderungen und
Meldepflichten für betroffene Unternehmen.
•
Unterscheidung zwischen "wesentlichen" und
"wichtigen" Einrichtungen mit unterschiedlichen
Aufsichtspflichten.
•
Strengere Sanktionen bei Nichteinhaltung,
einschließlich Bußgeldern und Haftung der
Geschäftsführung.
Wer ist betroffen (Unternehmensgröße und
Umsatz):
Unternehmen, welche als Wesentliche Einrichtungen
oder Wichtige Einrichtungen kategorisiert werden
können sowie alle bisherigen Kritis-Unternehmen fallen
unter die NIS2.
Wesentliche Einrichtungen:
•
Wesentliche Einrichtungen sind Unternehmen mit
mindestens 250 Beschäftigten oder einem
Jahresumsatz von über 50 Mio. EUR und einer
Jahresbilanzsumme von über 43 Mio. EUR.
•
Sektoren: Energie, Verkehr, Gesundheit, digitale
Infrastruktur, öffentliche Verwaltung, Raumfahrt.
Wichtige Einrichtungen:
•
Unternehmen mit mindestens 50 Beschäftigten oder
einem Jahresumsatz und einer Jahresbilanzsumme
von jeweils über 10 Mio. EUR.
•
Sektoren: Abfallwirtschaft, Lebensmittelproduktion,
digitale Dienste, Forschungseinrichtungen.
To-Do-Liste für Unternehmen:
1.
Prüfen, ob das Unternehmen unter den
Anwendungsbereich der NIS-2-Richtlinie fällt.
2.
Implementierung von Sicherheitsmaßnahmen
gemäß den Anforderungen der Richtlinie.
3.
Einrichtung eines Risikomanagementsystems für
Netz- und Informationssysteme.
4.
Schulung der Mitarbeiter in Bezug auf
Cybersicherheit.
5.
Einrichtung von Meldeverfahren für
Sicherheitsvorfälle.
Erste Schritte:
•
Durchführung einer Risikoanalyse der bestehenden
IT-Infrastruktur.
•
Benennung eines Verantwortlichen für
Informationssicherheit.
•
Identifizieren des Bedarfs von externer
Unterstützung.
•
Bei Bedarf: Kontaktaufnahme mit dem Bundesamt
für Sicherheit in der Informationstechnik (BSI) für
weitere Informationen und Unterstützung.
Anmerkungen zur Vorbereitung und Umsetzung
der NIS-2 aus der Praxis:
Die NIS-2-Richtlinie (EU) sowie das NIS2-Umsetzungs-
und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
haben die Aufgabe, das Sicherheitsniveau der
Europäischen Wirtschaft, d.h. jedes einzelne für die
Wirtschaft und den Standort Deutschland und EU
wichtige Unternehmen konkurrenzfähiger zu machen
und die Widerstandsfähigkeit der EU-Wirtschaft zu
erhöhen.
Diese Aufgabe obliegt die Unternehmen mit
Unterstützung der jeweiligen Behörden. Die Behörden
haben zudem die Aufgabe Sicherheitsvorfälle
entgegenzunehmen und mit den anderen EU-Ländern
abzugleichen. Dies dient dem frühen Erkennen von
Angriffen und ermöglicht es den Behörden, die
Unternehmen ggf. rechtzeitig zu warnen.
Zudem hat die Behörde für die Umsetzung der NIS-2 zu
sorgen (Prüfungen).
Randnotiz:
Die Behörden haben viel im Umgang und der
Umsetzung von Compliance-Vorgaben gelernt. Es ist
insbesondere bei der Umsetzung der NIS-2 ein
erklärtes Anliegen der umzusetzenden Behörde, die
Unternehmen zu unterstützen und ihnen Hilfe an die
Hand zu geben. Machen Sie Gebrauch davon und
beginnen Sie zeitnah!
Es ist davon auszugehen, dass auf die jeweiligen
Behörden eine hohe Belastung zukommen wird und
Prüfungen nicht flächendeckend durchgeführt werden
können.
Ein geringeres Risiko geprüft zu werden, sollte für
betroffene Unternehmen jedoch keine „Hoffnung“
darstellen, die Umsetzung der NIS-2 nur halbherzig
oder verspätet durchzuführen. Denn sollte das
Unternehmen einen relevanten Sicherheitsvorfall
haben, muss es eine Meldung (gefolgt von einem
Bericht) an die Behörde geben.
Spätestens ab diesem Zeitpunkt ist das Unternehmen
auf dem Schirm der Behörde; eine Meldung zu
unterlassen ist selbstredend keine Option.
Der Schutz ihres Unternehmens, ihrer Unternehmens-
werte, ihrer Kunden, Geschäftsbeziehungen und ihrer
Mitarbeiter sollte für Sie im Vordergrund stehen.
Empfehlung zur NIS-2 aus der Praxis:
Prüfen Sie, ob ihr Unternehmen unter die NIS-2 fällt.
a.
Fällt ihr Unternehmen unter die NIS-2, dann
beginnen Sie sobald als möglich mit der Planung und
Umsetzung (niemand wird erwarten, dass sofort alles
perfekt umgesetzt ist) und beachten Sie auch die
Abhängigkeiten mit der DSGVO, CRA, Data Act und dem
AI-Act (siehe die anderen Artikel hier) und holen Sie
sich Unterstützung damit Synergien besser genutzt
und Ihre Mitarbeiter nicht unnötig belastet werden.
b.
Fällt ihr Unternehmen nicht unter die NIS-2,
aber sind relevante Auftraggeber oder Kunden ihres
Unternehmens von der NIS-2 betroffen,
so beschäftigen Sie sich ebenfalls mit der NIS-2 und
betrachten Sie insbesondere die Bereiche ihres
Unternehmens und die Prozesse sowie Abläufe, welche
ihre NIS-2 Kunden/Auftraggeber als sicherheitskritisch
ansehen könnten (dabei sollten Sie auch an die
Verfügbarkeit von Zulieferungen oder Dienstleistungen
denken!).
Datenschutz 
| Impressum | Kontakt
| Impressum | Kontakt
NIS-2 Richtlinie
Expertise für die digitale EU-Regulierung
Beratung, Unterstützung, Umsetzungsbegleitung,
Projektmanagement zu DSGVO + KI, AI Act,
Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märkte
zu Organisation, Prozess/Abläufen,
Anforderungen an IT-Systeme
