Mit dem neuen Gesetz zur Umsetzung der EU NIS2-Richtlinie, bekannt als NIS2UmsuCG (Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit), wird sich die digitale Landschaft in Deutschland verändern. Das Gesetz zielt darauf ab, die Cybersicherheit in Unternehmen zu stärken und harmonisiert die EU-weiten Mindeststandards für Cybersicherheit auf nationaler Ebene. Die Auswirkungen sind enorm: Fast 40.000 Unternehmen in Deutschland werden von den neuen Regelungen betroffen sein, eine erhebliche Steigerung gegenüber den rund 3.000 Unternehmen, die bisher unter die KRITIS-Verordnung fielen. Da ab Veröffentlichung eine 9-monatige Frist zur Registrierung besteht, sollten Unternehmen jetzt prüfen, ob sie betroffen sind.

Wer ist betroffen?

Unternehmen, die von NIS2 betroffen sind, lassen sich in drei (bis vier) Gruppen einteilen:

  1. Besonders wichtige Einrichtungen
  2. Wichtige Einrichtungen
  3. Betreiber kritischer Anlagen (KRITIS)
  4. Einige Bundeseinrichtungen

Einstufungskriterien für Unternehmen im Rahmen des NIS2UmsuCG:

– Unternehmen mit mindestens 250 Mitarbeitern oder

– Unternehmen mit einem Umsatz von über 50 Millionen EUR und einer Bilanzsumme von mehr als 43 Millionen EUR

– Sonderfälle wie qualifizierte Vertrauensdiensteanbieter (qTSP), Top-Level-Domain-Registries (TLD), Domain Name System (DNS) Anbieter, Telekommunikationsanbieter (TK-Anbieter) und kritische Anlagen

– Unternehmen mit mindestens 50 Mitarbeitern oder

–  Unternehmen mit einem Umsatz von über 10 Millionen EUR und einer Bilanzsumme von mehr als 10 Millionen EUR

–  Vertrauensdienste gehören ebenfalls zu dieser Gruppe

– Verwendung der KRITIS-Methodik zur Feststellung der Betroffenheit einzelner Anlagen

– Eine Anlage wird als KRITIS betrachtet, wenn sie mindestens 500.000 Personen versorgt

Neue Sicherheitsanforderungen

Betroffene Unternehmen müssen angemessene, verhältnismäßige und effektive technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und Geschäftsprozesse zu schützen. Ziel ist es, Störungen in der Verfügbarkeit, Integrität und Vertraulichkeit zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Zu den wesentlichen Maßnahmen zählen:

  • die Berücksichtigung von Faktoren wie Risikoexpositionsmaß, Unternehmensgröße, Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie gesellschaftliche und wirtschaftliche Folgen
  • ein ganzheitlicher Ansatz unter Berücksichtigung europäischer und internationaler Normen
  • eine Dokumentation der durchgeführten Maßnahmen.

Erweiterter Geltungsbereich

Die NIS2-Umsetzung erweitert den Geltungsbereich erheblich. Große Teile der Unternehmen unterliegen nun der Regulierung. Einrichtungen müssen Risikomanagement und Maßnahmen gemäß §30ff umsetzen. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Sicherheitsvorfälle melden.

Meldepflicht und Nachweise

Besonders wichtige Einrichtungen und Betreiber kritischer Anlagen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden und stufenweise Folgemeldungen einreichen. Zudem sind regelmäßige Audits, Prüfungen oder Zertifizierungen erforderlich, um die Einhaltung der Maßnahmen nachzuweisen.

Sanktionen

Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände mit erhöhten Geldbußen zwischen 100.000 und 20 Millionen Euro, abhängig vom weltweiten Umsatz. Geschäftsleitungen müssen die Risikomanagement-Maßnahmen billigen und überwachen. Eine Verletzung dieser Pflichten kann zu einer Binnenhaftung der Geschäftsleitung führen.

Fristen und Umsetzung

Das NIS2UmsuCG tritt voraussichtlich Ende 2024 in Kraft, und die Pflichten für Unternehmen gelten ab diesem Zeitpunkt mit einer Registrierungspflicht von 9 Monaten. Es ist daher von entscheidender Bedeutung, dass Unternehmen frühzeitig mit der Umsetzung der neuen Anforderungen beginnen.

Das NIS2UmsuCG markiert einen wichtigen Schritt zur Stärkung der Cybersicherheit in Deutschland. Unternehmen müssen jetzt aktiv werden, um die neuen Anforderungen zu erfüllen und ihre IT-Sicherheitsmaßnahmen entsprechend anzupassen. Dies erfordert nicht nur technische Lösungen, sondern auch organisatorische Veränderungen und Schulungen, um sicherzustellen, dass alle Beteiligten ausreichend vorbereitet sind.

Mehr zum Thema lesen Sie hier.

Ihre Ansprechpartner

Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.

Isaac Michael

Informationssicherheit und Datenschutz
Tel.:  +49 173 4112814

csm ESC IsaacMichael 05072023 008 1 f92c6cb2e2
csm HolgerKoeppe ESC 20092023 011 e3cc1dd518

Holger Koeppe

Managementsysteme & Audits
Tel.:  +49 173 4112778