competent woman thinking over a laptop
Beitrag teilen
HOME
/
blog
/
Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) Aktueller Stand und Bedeutung

Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) Aktueller Stand und Bedeutung

Tobias Forbes

Information Security Expert

October 31, 2024

7 min

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Key Takeaways

Das NIS2 Umsetzungsgesetz ist eine nationale Umsetzung der NIS2-Richtlinie der EU, die die Cybersicherheit in der Europäischen Union stärken soll.

Das Inkrafttreten verzögert sich aller Voraussicht nach bis Ende Q1 2025, allerdings sollten Unternehmen trotzdem sofort mit der Umsetzung starten

Bei Nichtbefolgung des NIS2 Umsetzungsgesetzes drohen Bußgelder und strafrechtliche Konsequenzen.

Die Umsetzung der NIS2 Anforderung gelingt am einfachsten über ein formelles Informationssicherheits-Managementsystem (ISMS)

Die Gefahren der Cyberkriminalität stehen heute mehr denn je im Mittelpunkt der öffentlichen Wahrnehmung und politischen Diskussion. Die Verwundbarkeit des Wirtschaftsstandortes Deutschland war noch nie so groß.

Die jüngsten Erkenntnisse aus einer Studie des Digital-Branchenverbands Bitkom werfen ein alarmierendes Licht auf die Auswirkungen von Cyberangriffen auf die deutsche Wirtschaft. Mit einem Schaden von 206 Milliarden Euro allein im vergangenen Jahr wird deutlich, dass die Bedrohung durch Cyberkriminalität in einem besorgniserregenden Ausmaß zugenommen hat. Diese Angriffe betreffen nicht nur Großunternehmen, sondern auch kleinere und mittelständische Unternehmen. Vor diesem Hintergrund stellt sich die drängende Frage:  

Wie können Sie Ihr Unternehmen effektiv vor den Gefahren der Cyberkriminalität schützen?

Eine Antwort darauf versucht die EU mit der NIS2 Richtlinie zu geben, die bis Oktober 2024 von Deutschland vom nationalen Recht umgesetzt sein muss. Dieser Artikel beleuchtet den aktuellen Stand der NIS2-Umsetzung in Deutschland und erklärt, was Unternehmen jetzt wissen und tun müssen.

Was ist NIS2 und warum ist die Richtlinie so wichtig?

NIS2, die Abkürzung für "Network and Information Systems Directive 2", ist eine EU-Richtlinie zur Verbesserung der Cybersicherheit in Europa. Sie wurde im Dezember 2022 verabschiedet und bringt wichtige Neuerungen im Vergleich mit ihrem Vorgänger mit sich:

  • Erweiterter Geltungsbereich für mehr Branchen
  • Strengere Sicherheitsanforderungen
  • Verschärfte Meldepflichten bei Cybervorfällen
  • Höhere Sanktionen bei Verstößen

Diese Maßnahmen zielen darauf ab, die Cyberresilienz von Unternehmen und kritischen Infrastrukturen deutlich zu erhöhen.

Das NIS2 Umsetzungsgesetz: Ziele und Bedeutung

Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) ist die deutsche Antwort auf die EU-Richtlinie. Es verfolgt mehrere Kernziele:

  1. Erhöhung der Cybersicherheit durch verbesserte Schutzmaßnahmen
  2. Harmonisierung der Cybersicherheitsstandards mit anderen EU-Mitgliedsstaaten
  3. Stärkung kritischer Infrastrukturen gegen Cyberbedrohungen
  4. Verbesserung der Krisenbewältigung bei Cybervorfällen
  5. Ausweitung der Meldepflichten für schnellere Reaktionen auf Bedrohungen

Mit diesen Maßnahmen soll das NIS2 Umsetzungsgesetz rund 30.000 Unternehmen in Deutschland erreichen und neue Cybersicherheitspflichten einführen.

Aktueller Stand des NIS2 Umsetzungsgesetzes in Deutschland

Deutschland hat die Implementierung der NIS2 zum Stichtag 17.10.2024 nicht geschafft. Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) befindet sich allerdings bereits in einem fortgeschrittenen Stadium der Entstehung. Am 24.07.2024 hat das Bundeskabinett den Gesetzentwurf beschlossen und auf den parlamentarischen Weg gebracht.

Dem Kabinettsbeschluss ging ein finaler Regierungsentwurf mit Bearbeitungsstand vom 22.07.2024 voraus, den das Bundesministerium des Innern (BMI) veröffentlicht hat. Vor diesem Entwurf gab es mehrere Referentenentwürfe sowie eine Verbändeanhörung am 03.06.2024, bei der insgesamt 62 Stellungnahmen eingingen. Bevor das Gesetz in Kraft treten kann, muss es noch den regulären Gesetzgebungsprozess auf Bundesebene durchlaufen, einschließlich Beratungen in Bundestag und Bundesrat.

Auf Basis dieses Zeitverlaufes, wird mit einer Verzögerung bis ca. März 2025 gerechnet.

Trotz der Verzögerung empfiehlt es sich für Unternehmen, bereits jetzt mit der Umsetzung der bekannten Basis-Anforderungen zu starten, da keine wesentlichen Änderungen mehr zu erwarten sind und die Umsetzung sechs bis 18 Monate in Anspruch nehmen kann.

Mit der SECJUR Automatisierungsplattform lassen sich NIS2 Anforderungen in wenigen Wochen bis Monaten umsetzen.

Wer ist vom NIS2 Umsetzungsgesetz betroffen?

‍‍

Die beiden Hauptkriterien, um unter das NIS2 Umsetzungsgesetz zu fallen, sind die Unternehmensgröße und der Unternehmenssektor. Ob ein Unternehmen unter das NIS2 Umsetzungsgesetz fällt, hängt also davon ab, ob beide Kriterien erfüllt sind.‍

Bislang geht das NIS2 Umsetzungsgesetz davon aus, dass Unternehmen, die mindestens 50 Mitarbeiter haben und einen Jahresumsatz oder eine Jahresbilanz von über 10 Millionen Euro aufweisen, von NIS2 betroffen sein könnten, sofern sie auch in einem der 18 von der Richtlinie definierten Unternehmenssektoren tätig sind.  

Die Einteilung der Einrichtungen in „Essential Entities“ und „Important Entities“ bestimmt die Art der Aufsicht und die Sanktionsmöglichkeiten bei Verstößen gegen die Richtlinie.

In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.    

NIS2 Umsetzungsgesetz: Welche Sektoren gehören zu den Betreibern kritischer Infrastruktur in Deutschland?

Die folgende Infografik gibt einen Überblick dazu, welche Unternehmen bislang unter die KRITIS-Einordnung fallen und in Zukunft zu den „wesentlichen“ Sektoren im NIS2 Umsetzungsgesetz zählen könnten.

Betreiber Kritischer Infrastruktur in Deutschland

Was besagt die „Size-Cap-Rule“ im NIS2 Umsetzungsgesetz?

Durch die Anwendung der „Size-Cap-Rule“ schafft NIS2 ein ausgewogenes Regelwerk, das sowohl auf Start-ups, mittelständische Unternehmen als auch Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über ausreichende Ressourcen oder Fachwissen für komplexe Sicherheitsmaßnahmen verfügen, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu ermutigt, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.

Vorbereitung auf das NIS2 Umsetzungsgesetz: Was nun zu tun ist

Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen Unternehmen insbesondere die neuen strengen Sicherheitsanforderungen im Rahmen des NIS2 Umsetzungsgesetzes beachten:

  • die Einführung von Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen
  • die Einhaltung zeitkritischer Melde- und Berichtspflichten
  • eine umfassende Risikobewertung, um potenzielle Angriffe und Informationssicherheitsrisiken zu identifizieren und zu bewerten
  • die allgemeine Sensibilisierung und Schulung Ihrer Mitarbeitenden zum Thema Informationssicherheit
  • Technisch-Organisatorische Maßnahmen (TOM) gemäß Stand der Technik
  • Cybersicherheit auch in der Lieferkette sicherstellen

Zusammengefasst: NIS2 macht den Aufbau eines Informationssicherheits-Managementsystems quasi unerlässlich

Informationssicherheits-Managementsysteme (ISMS) spielen eine zentrale Rolle bei der Umsetzung der Anforderungen des NIS2 Umsetzungsgesetzes. Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.  

‍Die NIS2 orientiert sich dabei stark am globalen Goldstandard für Informationssicherheit, der ISO 27001 Zertifizierung.

Sanktionen bei Nichteinhaltung des NIS2 Umsetzungsgesetzes

Im Rahmen der NIS2 Richtlinie liegt die übergeordnete Verantwortung für die Cybersecurity und die Prävention von Sicherheitsvorfällen beim oberen Management. Die Richtlinie betont, dass das Management persönlich für die Durchführung dieser Maßnahmen verantwortlich sei.

Höhere Bußgelder

Die NIS2 Richtlinie führt höhere Bußgelder und Strafen ein. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) ausmachen.  

Für wichtige Einrichtungen können Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Diese strengeren Strafen sollen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und mögliche Verstöße ernst zu nehmen.

Fazit und Handlungsempfehlungen

Obwohl das NIS2 Umsetzungsgesetz voraussichtlich erst 2025 in Kraft tritt, sollten sich Unternehmen bereits jetzt vorbereiten. da die Umsetzung der Maßnahmen mehrere Monate in Anspruch nimmt:

  1. Prüfen Sie, ob Ihr Unternehmen unter den Anwendungsbereich fällt
  2. Planen Sie Ressourcen für die Implementierung ein (6-18 Monate)
  3. Beginnen Sie mit der Umsetzung bekannter Basis-Anforderungen (ISMS nach ISO 27001)
  4. Bleiben Sie über Entwicklungen im Gesetzgebungsprozess informiert

Das NIS2 Umsetzungsgesetz stellt Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, die eigene Cybersicherheit nachhaltig zu verbessern und sich als vertrauenswürdiger Partner zu positionieren.

Mit der ISMS-Lösung von SECJUR setzen Sie alle NIS2-Anforderungen entspannt auf einer Plattform um. Dank Automatisierung sparen Sie sich hierbei bis zu 50% an internen und externen Aufwänden. Sprechen Sie uns noch heute an.

NIS2 Umsetzung leicht gemacht mit Automatisierung

Mit der SECJUR Automatisierungsplattform setzen Unternehmen die NIS2-Anforderungen in Rekordzeit um und sparen sich dadurch wertvolle Ressourcen.

Mehr erfahren
Tobias Forbes

Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

August 25, 2023
12 min
Datenschutzgesetz Schweiz: Was Unternehmen jetzt tun müssen

Mit dem kürzlich überarbeiteten Datenschutzgesetz (DSG) steht die Schweizer Geschäftswelt vor neuen Herausforderungen. In diesem informativen Artikel werfen wir einen Blick auf die sich ergebenden Verpflichtungen und beleuchten die wesentlichen Unterschiede zwischen dem revidierten DSG und der DSGVO. Besonders markant ist die Einführung der persönlichen strafrechtlichen Haftung, die zur Folge hat, dass nicht nur Unternehmen, sondern auch Privatpersonen bei Verstößen gegen das DSG zur Rechenschaft gezogen werden können. Unser Rechtsexperte Simon Pentzien gibt wertvolle Empfehlungen zur reibungslosen Umsetzung.

Lesen
November 7, 2023
7 min
Das BSI und die NIS2: Welche Rolle spielt das BSI bei der Implementierung der NIS2 Richtlinie?

Das Bundesamt für Sicherheit und Informationstechnik erhält durch die Umsetzung der NIS2 Richtlinie auf nationaler Ebene erweiterte Kompetenzen. So erhält das BSI mit der NIS2 Richtlinie die Befugnis, Mindestsicherheitsstandards für KRITIS-Betreiber festzulegen und IT-Sicherheitsvorfälle zu überwachen. Welche Auswirkungen dies auf Ihr Unternehmen und hat und welche Bedeutung das BSI für die deutsche Cybersicherheit einnimmt, lesen Sie in unserem Artikel zu dem Verhältnis zwischen dem BSI und der NIS2 Richtlinie.

Lesen
June 5, 2023
GPS Überwachung von Angestellten - erlaubt oder illegal?

Gerade die Überwachung von Mitarbeitern ist immer wieder Gegenstand gerichtlicher Streitigkeiten. Dabei stehen Unternehmen mittlerweile die verschiedensten Möglichkeiten zur Verfügung - von der Überwachung des E-Mail-Verkehrs bis hin zum Anbringen von Videokameras am Arbeitsplatz. Ob die umfassende GPS-Überwachung von Mitarbeitern datenschutzrechtlich zulässig ist, hatte das Verwaltungsgericht Lüneburg zu entscheiden. Wie ging es aus?

Lesen
TO TOP