Nachricht
NIS-2-Richtlinie und ihre Umsetzung in Deutschland
„Etwa 80 % der von der NIS-2-Richtlinie erfassten Unternehmen sind sich ihrer Betroffenheit noch nicht bewusst. Deshalb bieten wir einen kostenlosen Quick-Check zur Überprüfung an.”
- Dr. Timo Bittner, Geschäftsführer, S-CON GmbH & Co. KG, Foto: S-CON
Im Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie, kurz NIS-2-RL) veröffentlicht. Regelungen für die Wirtschaft werden dabei künftig durch ein nationales Umsetzungsgesetz des Bundes geregelt. Zum aktuellen Stand sprach THEMEN!magazin mit Dr. Timo Bittner, Geschäftsführer der S-CON GmbH & Co. KG aus Hannover, dem Full-Service Begleiter von Datenschutz und Informationssicherheit für Unternehmen der Energiewirtschaft.
Herr Dr. Bittner, was bedeutet die NIS-2 EU-Richtline?
Die Richtlinie soll das Sicherheitsniveau der Cybersicherheit durch einheitliche Standards verbessern und erweitert den Anwendungsbereich auf mehr Organisationen. NIS-2 gilt für Unternehmen, die Dienstleistungen in der EU erbringen oder dort tätig sind, wenn sie mehr als 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Millionen Euro haben und einem der kritischen Sektoren angehören. NIS2 kann durch die Erfüllung branchenüblicher Standards, wie die ISO 27001 nachgewiesen werden. Das deutsche Umsetzungsgesetz der Richtlinie wird betroffene Unternehmen verpflichten, sich bei den zuständigen Behörden zu registrieren und kann von diesen kontrolliert werden.
Wie ist der aktuelle Stand zum Gesetzgebungsverfahren?
Aufgrund der vorgezogenen Wahlen ist das Gesetzgebungsverfahren für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) zur nationalen Umsetzung noch nicht abgeschlossen. Die Bundesregierung hat einen neuen Entwurf erarbeiten lassen, der im Bundeskabinett noch im Juli verabschiedet werden könnte. Für die bestehenden Kritischen Infrastrukturen (KRITIS) kommen einige Pflichten hinzu, aber für ca. 29.000 nach der NIS-2-Richtlinie „wesentliche“ und „wichtige“ Einrichtungen ergeben sich erstmals enorme gesetzliche Pflichten.
Zurzeit basiert die hier angebotene NIS-2-Betroffenheitsprüfung auf der NIS-2-Richtlinie und den deutschen Entwürfen für das Umsetzungsgesetz. Erst, wenn ein finales Gesetz vorliegt, werden verbindliche Auskünfte zur Umsetzung in Deutschland gemacht werden können. Für manche Sektoren und Unternehmen gibt es zudem noch gesonderte Regelungen. Besonders sind hier grenzüberschreitende Anlagen, Regelungen durch DORA (EU-Verordnung über die digitale operationale Resilienz im Finanzsektor) und Änderungen im IT-Sektor durch die Durchführungsverordnung (EU) 2024/2690 zu nennen.
Welche Schritte empfehlen Sie für die Umsetzung der Anforderungen?
- Vorgaben ableiten! Denn neben Governance und Awareness für Cybersicherheit verpflichtet NIS-2 die Unternehmen zu einem Risikomanagement und einem Prozess für den Umgang mit Sicherheitsvorfällen. Welche Maßnahmen individuell erforderlich sind, sollten Unternehmen mit Hilfe einer Gap-Analyse ermitteln.
- Maßnahmen ergreifen! Gemäß der Richtlinie müssen Leitungsorgane sicherstellen, dass die notwendigen technischen, organisatorischen und rechtlichen Maßnahmen getroffen werden, und deren Umsetzung überwachen. Bei Nichteinhaltung können Geschäftsführer persönlich für Verstöße haftbar gemacht werden.
- Monitoring und Reporting! Sowohl die Rechtslage als auch unternehmensinterne Prozesse unterliegen einem Wandel, der mit veränderten Anforderungen einhergehen kann. Unternehmen müssen daher sowohl die Rechtslage als auch die internen Strukturen kontinuierlich überwachen und auf Änderungen reagieren.
