NIS2

Der 3. Referentenentwurf des NIS2-Umsetzungsgesetzes befindet sich weiterhin in der Ressortabstimmung und wurde noch nicht veröffentlicht. Das parlamentarische Verfahren zur Gesetzgebung wird voraussichtlich Mitte diesen Jahres beginnen. Ob der 17. Oktober 2024 für die Umsetzung der NIS2-Richtlinie gehalten werden kann, ist derzeit noch offen. Das gleiche gilt für das weitere Verfahren bis zu einer möglichen Verabschiedung des Gesetzes. Es ist nicht unrealistisch, dass sich die Umsetzung in nationales Recht verzögert.

Mehr zum Gesetzgebungsverfahren lesen.

Kann es sich der Gesetzgeber leisten, NIS2 verspätet in Deutschland einzuführen? Wir sagen: Nein! Lest mehr zur Verzögerung der NIS2-Umsetzung und unsere Einschätzung ihrer Auswirkungen auf die IT-Sicherheit.

Der Anwendungsbereich der NIS2-Richtlinie geht weit über die bisher bekannten kritischen Infrastrukturen (KRITIS) hinaus. Unternehmen fallen dann in den Anwendungsbereich der NIS2, wenn sie

• den definierten Schwellenwerten entsprechen,
• in den in NIS2 aufgeführten 18 Wirtschaftssektoren tätig sind und/oder
• Dienste im Zusammenhang der Netzwerk- und Informationssicherheit erbringen.

Grundsätzlich findet NIS2 Anwendung für mittlere Unternehmen oder für Unternehmen, die die Schwellenwerte für mittlere Unternehmen überschreiten. 

Mittleres Unternehmen:

• Mindestens 50 und weniger als 250 Beschäftigte und
• entweder einen Jahresumsatz von mindestens 10 Mio. Euro, aber höchstens 50 Mio. Euro oder
• eine Jahresbilanzsumme von mindestens 10 Mio. Euro, aber höchstens 43 Mio. Euro.

Unabhängig von der Größe der Einrichtungen gilt die NIS2-Richtlinie auch für Einrichtungen, die in einem der in NIS2 aufgeführten 18 Sektoren tätig sind. Dazu zählen z. B. der Sektor Energie oder Verwaltung von IKT-Diensten bzw. Verarbeitendes Gewerbe/Herstellung von Waren oder Anbieter digitaler Dienste.

Wesentliche und wichtige Einrichtungen:

NIS2 unterscheidet darüber hinaus noch „wesentliche Einrichtungen“ und „wichtige Einrichtungen“.

Unternehmen gelten als „wesentliche Einrichtung“, wenn sie in einem Sektor mit hoher Kritikalität tätig sind sowie den Schwellenwert für ein mittleres Unternehmen überschreiten, d. h. mindestens 250 Beschäftigte zählen und entweder über 50 Mio. Jahresumsatz oder eine Bilanzsumme von über 43 Mio. Euro aufweisen.

Unternehmen gelten als „wichtige Einrichtung“, wenn sie in einem der insgesamt aufgeführten 18 Sektoren tätig sind und nicht unter die Definition der „wesentlichen Einrichtungen“ fallen.

Mehr zum Geltungsbereich von NIS2 erfahren.

Zu den einzelnen IT-Sicherheitsmaßnahmen macht NIS2 zahlreiche Vorgaben – angefangen bei einem Konzept für das Risikomanagement über technische Maßnahmen bis hin zu Meldefristen bei Sicherheitsvorfällen.

NIS2 fordert einen präventiven Ansatz für die IT-Sicherheit und ein entsprechendes Risikomanagement. Netz- und Informationssysteme müssen nach dieser Vorgabe abgesichert werden. Folgende Maßnahmen sind nach NIS2 u.a. vorgesehen: Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Bewertung von Risikomanagementmaßnahmen, Schulungen im Bereich der Cybersicherheit.

Vor dem Hintergrund der Zunahme von Cyberangriffen und einer hohen Bedrohungslage wird Prävention in der IT-Sicherheit immer wichtiger. Mit der NIS2-Richtlinie wird die bessere Vorbeugung gegen IT-Sicherheitsvorfälle europaweit verankert. Der Grundsatz lautet: Eine zuverlässige Cyberhygiene schützt die Hard- und Software sowie die Geschäfts- und Endnutzerdaten von Unternehmen. Dazu gehören zum Beispiel regelmäßige Updates, ein ordentliches Passwortmanagement, systematische Datensicherungen oder sichere Authentifizierung.

• Wie ist der Stand der NIS2-Gesetzgebung in Deutschland?
• Welche Geltungsbereiche von NIS2 existieren?
• Welche Sanktionen sind zu erwarten?