Information Security Expert
October 11, 2023
7 min
.svg)
Das NIS2 Umsetzungsgesetz ist eine nationale Umsetzung der NIS2-Richtlinie der EU, die die Cybersicherheit in der Europäischen Union stärken soll.
Welche Unternehmen vom NIS2 Umsetzungsgesetz betroffen sein werden, hängt von der Unternehmensgröße und dem Unternehmenssektor ab.
Bei Nichtbefolgung des NIS2 Umsetzungsgesetzes drohen Bußgelder und strafrechtliche Konsequenzen.
Die Einhaltung des NIS2 Umsetzungsgesetzes kann als Wettbewerbsvorteil genutzt werden, wobei die Implementierung eines ISMS bei der Einhaltung der Anforderungen hilft.
Die Gefahren der Cyberkriminalität stehen heute mehr denn je im Mittelpunkt der öffentlichen Wahrnehmung und politischen Diskussion. Seit dem Beginn des Ukrainekriegs sind die Sorgen bezüglich der Verwundbarkeit kritischer Infrastrukturen stark gestiegen.
Die jüngsten Erkenntnisse aus einer Studie des Digital-Branchenverbands Bitkom werfen ein alarmierendes Licht auf die Auswirkungen von Cyberangriffen auf die deutsche Wirtschaft. Mit einem Schaden von 206 Milliarden Euro allein im vergangenen Jahr wird deutlich, dass die Bedrohung durch Cyberkriminalität in einem besorgniserregenden Ausmaß zugenommen hat. Diese Angriffe betreffen nicht nur Großunternehmen, sondern auch kleinere und mittelständische Unternehmen. Vor diesem Hintergrund stellt sich die drängende Frage:
Wie können Sie Ihr Unternehmen effektiv vor den Gefahren der Cyberkriminalität schützen?
Eine Antwort darauf versucht die EU mit der NIS2 Richtlinie zu geben, die bis Oktober 2024 von Deutschland vom nationalen Recht umgesetzt sein muss. In Deutschland liegt bereits ein Entwurf für ein NIS2 Umsetzungsgesetz (NIS2UmsuCG) vor, um die neuen Vorgaben umzusetzen.
Cybersicherheit steht auf der politischen Agenda der Europäischen Union (EU) und ihrer Mitgliedstaaten, einschließlich Deutschland, immer stärker im Fokus. Die Verwundbarkeit von Infrastrukturen durch Hackerangriffe in den letzten Jahren hat dies verdeutlicht. Aus diesem Grund veröffentlicht und überarbeitet die EU aktiv eine Vielzahl von Rechtsvorschriften.
Die neueste Ergänzung ist die NIS2 Richtlinie, die zusätzliche Maßnahmen enthält, um ein hohes gemeinsames Niveau der Cybersicherheit in der Union sicherzustellen. Die Schaffung eines einheitlichen Informationssicherheitsniveaus für Netz- und Informationssysteme ist schon seit Längerem ein wichtiges Anliegen der EU.
Die NIS2 Richtlinie ist ein Meilenstein in der Entwicklung der Cybersicherheit in Europa. Sie zielt darauf ab, die Widerstandsfähigkeit und den Schutz kritischer Infrastrukturen und digitaler Dienste in der EU zu stärken. Die Richtlinie legt Anforderungen für Unternehmen und Behörden fest, um Risiken zu bewerten, geeignete Sicherheitsvorkehrungen zu treffen und auf Sicherheitsvorfälle zu reagieren.
Deutschland und die anderen EU-Mitgliedsstaaten haben bis zum Oktober 2024 Zeit, um die neuen Regelungen in nationales Recht umzusetzen, was Anpassungen bestehender Gesetze oder die Einführung neuer Gesetze bedeutet.
Der vorliegende Entwurf des NIS2 Umsetzungsgesetzes ergänzt das bestehende BSI-Gesetz wie geplant um wichtige beziehungsweise sehr wichtige („wesentliche“) Einrichtungen. Dabei bleibt die bisherige Kategorie der Kritischen Infrastrukturen unverändert.
Derzeit befindet sich das NIS2 Umsetzungsgesetz in der Phase des zweiten Referentenentwurfs und muss nach der Abstimmung in der Bundesregierung noch den Gesetzgebungsprozess auf Bundesebene durchlaufen. Dieses Gesetz, das in erster Linie das BSI-Gesetz betrifft, stellt eine Änderung und Ergänzung verschiedener anderer Gesetze dar. Zusätzlich regelt das KRITIS-Dachgesetz die Resilienz von kritischen Betreibern.
Die beiden Hauptkriterien, um unter das NIS2 Umsetzungsgesetz zu fallen, sind die Unternehmensgröße und der Unternehmenssektor. Ob ein Unternehmen unter das NIS2 Umsetzungsgesetz fällt, hängt also davon ab, ob beide Kriterien erfüllt sind.
Bislang geht das NIS2 Umsetzungsgesetz davon aus, dass Unternehmen, die mindestens 50 Mitarbeiter haben und einen Jahresumsatz oder eine Jahresbilanz von über 10 Millionen Euro aufweisen, von NIS2 betroffen sein könnten, sofern sie auch in einem der 18 von der Richtlinie definierten Unternehmenssektoren tätig sind.
Die Einteilung der Einrichtungen in „Essential Entities“ und „Important Entities“ bestimmt die Art der Aufsicht und die Sanktionsmöglichkeiten bei Verstößen gegen die Richtlinie.
In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.
Laut Schätzungen werden in Deutschland zwischen 29.000 bis 40.000 Unternehmen von der NIS2 Richtlinie betroffen sein.
Die folgende Infografik gibt einen Überblick dazu, welche Unternehmen bislang unter die KRITIS-Einordnung fallen und in Zukunft zu den „wesentlichen“ Sektoren im NIS2 Umsetzungsgesetz zählen könnten.
Die NIS2 Richtlinie führt im Vergleich zur NIS1 Richtlinie mehrere Neuerungen ein, um die Cybersicherheit in der Europäischen Union zu stärken. Eine wichtige Neuerung ist die Einführung der „Size-Cap-Rule“, die eine neue Definition des Anwendungsbereichs festlegt. Sie besagt, dass mittelgroße und große Unternehmen in insgesamt achtzehn verschiedenen Sektoren nach ihrer Größe reguliert werden.
Durch die Anwendung der „Size-Cap-Rule“ schafft NIS2 ein ausgewogenes Regelwerk, das sowohl auf Start-ups, mittelständische Unternehmen als auch Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über ausreichende Ressourcen oder Fachwissen für komplexe Sicherheitsmaßnahmen verfügen, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu ermutigt, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.
Laut einer Folgekostenabschätzung des Statistischen Bundesamtes belaufen sich die jährlichen Kosten für die Wirtschaft durch die Einführung der NIS2 Richtlinie auf 1,65 Milliarden Euro. Für die Implementierung neuer Prozesse im Rahmen der NIS2 Konformität wird ein einmaliger Aufwand von 1,37 Milliarden Euro erwartet. Diese Kosten könnten für deutsche Unternehmen, einschließlich mittelständischer Unternehmen mit mehr als 49 Mitarbeitenden, erheblich sein.
Die Einführung des NIS2 Umsetzungsgesetzes führt zu einer Vielzahl neuer Pflichten und Anforderungen für Unternehmen. Zunächst müssen Unternehmen sich selbst in die entsprechenden Stufen (KRITIS beziehungsweise „wesentliche“ oder „wichtige“ Einrichtung) einordnen und sich innerhalb von drei Monaten nach Identifikation beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen Unternehmen insbesondere die neuen strengen Sicherheitsanforderungen im Rahmen des NIS2 Umsetzungsgesetzes beachten:
Cybersicherheits-Risikomanagement bedeutet, dass Unternehmen und Behörden Risiken im Bereich der Cybersicherheit analysieren und Sicherheitspläne entwickeln müssen. Außerdem müssen sie darauf achten, dass ihre Lieferketten sicher sind.
Diese Maßnahmen sollen sicherstellen, dass Unternehmen und Behörden frühzeitig erkennen können, wenn es Gefahren in der Online-Welt gibt. Sie sollen dann die richtigen Schritte unternehmen, um sich zu schützen, und im Fall von Sicherheitsproblemen effektiv reagieren können.
Die NIS2 Richtlinie verlangt technische und organisatorische Maßnahmen (TOM) entsprechend dem aktuellen Stand der Technik. Das heißt, Unternehmen und Behörden müssen aktuelle technologische Entwicklungen in Betracht ziehen und geeignete Sicherheitsmaßnahmen ergreifen, um den Schutz ihrer digitalen Infrastrukturen und Dienste sicherzustellen.
Die Meldepflichten sind ein weiterer zentraler Aspekt des NIS2 Umsetzungsgesetzes. Vorfälle müssen innerhalb von 24 Stunden nach ihrer Entdeckung gemeldet werden, gefolgt von einer Aktualisierung und ersten Bewertung innerhalb von 72 Stunden nach der Meldung. Endgültige Berichte sind spätestens einen Monat nach Entdeckung des Vorfalls vorzulegen. Diese Meldepflichten sollen Transparenz und Koordination bei der Behandlung von Cybersicherheitsvorfällen verbessern.
Die Sicherstellung von Informationssicherheitsstandards in Lieferketten ist ein zentraler Aspekt des NIS2 Umsetzungsgesetzes. Unternehmen müssen gewährleisten, dass ihre Geschäftspartner und Dienstleister angemessene Sicherheitsmaßnahmen für ihre Informationssicherheit umsetzen.
Dazu können vertragliche Vereinbarungen mit festgelegten Sicherheitsanforderungen und Zertifizierungen zur Bestätigung der Einhaltung von Standards gehören. Ein automatisiertes ISMS kann dabei helfen, Angriffe zu verhindern und potenzielle Schäden zu begrenzen.
Informationssicherheitsmanagementsysteme (ISMS) spielen eine zentrale Rolle bei der Umsetzung der Anforderungen des NIS2 Umsetzungsgesetzes. Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
In Deutschland wurde der Entwurf eines neuen Gesetzes zur Umsetzung der NIS2 Richtlinie (das NIS2 Umsetzungsgesetz) und zur Regelung des Informationssicherheitsmanagements in der Bundesverwaltung vorgestellt. Dieser Entwurf beinhaltet eine grundlegende Überarbeitung und Erweiterung des bestehenden Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).
Im Rahmen dieser umfassenden Reform des BSIG (BSIG-E) wird die Anzahl der Abschnitte im Gesetz um mehr als das Vierfache erhöht. Viele dieser Vorschriften richten sich an private Unternehmen.
Im Rahmen der NIS2 Richtlinie liegt die übergeordnete Verantwortung für die Cybersecurity und die Prävention von Sicherheitsvorfällen beim oberen Management. Die Richtlinie betont, dass das Management persönlich für die Durchführung dieser Maßnahmen verantwortlich sei.
Das NIS2 Umsetzungsgesetz befindet derzeit noch in der Entwurfsphase. Wie das NIS2 Umsetzungsgesetz die Haftung für Geschäftsführer übernehmen wird, ist derzeit noch unklar.
Die NIS2 Richtlinie führt höhere Bußgelder und Strafen ein. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) ausmachen.
Für wichtige Einrichtungen können Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Diese strengeren Strafen sollen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und mögliche Verstöße ernst zu nehmen.
Wenn Unternehmen das NIS2 Umsetzungsgesetz nicht einhalten, kann dies zu erheblicher Rufschädigung führen. Die Nichteinhaltung von Cybersicherheitsvorschriften kann das Vertrauen der Kunden erschüttern und zu einem Verlust von Geschäftsmöglichkeiten führen.
Zudem können Datenschutzverletzungen und Sicherheitsvorfälle negative Medienberichterstattung zur Folge haben, was den Ruf eines Unternehmens nachhaltig schädigen kann. Es ist daher von großer Bedeutung, dass Unternehmen die erforderlichen Maßnahmen ergreifen, um das NIS2 Umsetzungsgesetz zu erfüllen und die Sicherheit ihrer digitalen Infrastrukturen zu gewährleisten.
Die Einrichtung eines ISMS nach dem Goldstandard ISO 27001, einer international anerkannten Norm für Informationssicherheitsmanagementsysteme, kann Unternehmen dabei unterstützen, den spezifischen Anforderungen des NIS2 Umsetzungsgesetzes zu entsprechen und den Sanktionen zu entgehen.
Es ermöglicht eine proaktive Herangehensweise an die Informationssicherheit einschließlich regelmäßiger Überprüfungen, Audits und Verbesserungsmaßnahmen. Mit einem ISMS können Unternehmen Compliance-Anforderungen gezielt angehen und eine Kultur der Sensibilisierung und Schulung der Mitarbeiter fördern.
Das NIS2 Umsetzungsgesetz hat das Ziel, die Cybersicherheit in der Europäischen Union zu stärken. Dies geschieht durch die Harmonisierung von Standards, die Verbesserung des Risikomanagements, die Einführung von Meldepflichten und die Verschärfung von Bußgeldern.
Das Hauptziel des NIS2 Umsetzungsgesetzes besteht darin, die Cybersicherheit für kritische Infrastrukturen in der gesamten EU zu erhöhen und sie vor Bedrohungen wie Hackerangriffen zu schützen.
Die Richtlinie berücksichtigt dabei insbesondere die wachsende Digitalisierung von Diensten und die Verbreitung von IoT-Geräten. Das übergeordnete Ziel ist die Stärkung der Resilienz und Reaktionsfähigkeit in der Cybersicherheit, um die Funktionsfähigkeit kritischer Infrastrukturen und digitaler Dienste in öffentlichen und privaten Sektoren sowie in der gesamten EU auch in Krisenzeiten sicherzustellen.
Unternehmen können die NIS2 Compliance als einen wichtigen Wettbewerbsvorteil nutzen. Indem sie die Anforderungen des NIS2 Umsetzungsgesetzes erfüllen und ein hohes Maß an Cybersicherheit gewährleisten, können sie das Vertrauen ihrer Kunden stärken und ihre Reputation als vertrauenswürdiger und zuverlässiger Anbieter festigen.
Unternehmen, die nachweislich robuste Sicherheitsmaßnahmen implementiert haben, können sich von Mitbewerbern abheben und potenzielle Kunden dazu ermutigen, ihre Dienstleistungen oder Produkte in Anspruch zu nehmen.
Durch die proaktive Umsetzung des NIS2 Umsetzungsgesetzes können Unternehmen ihre Widerstandsfähigkeit gegenüber Cyberangriffen stärken und dadurch langfristig ihre Wettbewerbsfähigkeit steigern.
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Datenschutz und Datenübermittlung in Drittländern wie den USA sind nach wie vor mit rechtlicher Unsicherheit behaftet. Doch nun gibt es neue EU-Standardvertragsklauseln, die eine weitere Entwicklung in der datenschutzrechtlichen Legitimation von Drittlandübermittlungen darstellen.
In einer digital gewordenen Welt sind Informationen und Daten ein wertvolles Gut. Unternehmen müssen sich daher intensiv mit dem Schutz und der Sicherheit ihrer Daten auseinandersetzen. Eine Möglichkeit, guten Schutz zu gewährleisten, ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach der internationalen Norm ISO/IEC 27001. In diesem Blogartikel geben wir einen kompakten Überblick über die wichtigsten Aspekte der ISO 27001 und zeigen auf, warum sie für Unternehmen so entscheidend ist. Erfahren Sie, wie der Weg zur Zertifizierung einfacher und schneller gelingen kann.
Cybersicherheit rückt verstärkt in den Fokus der EU, und die aktualisierten NIS2-Anforderungen stellen Unternehmen vor erhebliche Aufgaben. Dieser Artikel bietet einen kompakten Überblick über die Pflichten und Vorschriften, die Unternehmen erfüllen müssen, darunter die Selbst-Einordnung als "besonders wichtige" oder "wichtige" Einrichtungen, die Meldung von Sicherheitsvorfällen und die Implementierung von Sicherheitsmaßnahmen. Wir beleuchten die Bedeutung des Risikomanagements, der Sicherheit in der Lieferkette und der Schulung der Mitarbeiter in "Cybersecurity-Hygiene" und zeigen, warum die Einhaltung der NIS2-Anforderungen in ganz Europa von höchster Bedeutung ist.
.svg)
.svg)
.svg){kind=small}