NIS-2 und KRITIS - Neue gesetzliche Vorschriften für die IT-Sicherheit in Unternehmen

Das Inkrafttreten wird nun voraussichtlich erst in der zweiten Jahreshälfte 2025 erwartet. Trotz dieser Verzögerung sollten betroffene Unternehmen die Zeit nutzen, um eigenständig ihre Betroffenheit zu prüfen und mit der Umsetzung der Anforderungen zu beginnen, da die Richtlinie auf EU-Ebene bereits gilt und die EU-Kommission Verzögerungen sanktionieren kann. Mit NIS-2 vergrößert sich die Anzahl der mit der ersten Richtlinie und der KRITIS-Verordnung betroffenen Unternehmen und Organisationen deutlich. Werden die Vorgaben zur IT-Sicherheit nicht eingehalten, drohen empfindliche Strafen.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Der Grundstein der Rahmenbedingungen, Pflichten und Aufgaben Kritischer Infrastrukturen in Sachen Cybersicherheit ist das BSI-Gesetz (BSIG). Dieses wurde in den vergangenen Jahren sukzessiv mit den IT-Sicherheitsgesetzen, der KRITIS-Verordnung und dem Entwurf zum KRITIS-Dachgesetz deutlich erweitert und konkretisiert. Definition Kritische Infrastrukturen (KRITIS) – BSI

Mit der kürzlich von der Europäischen Union beschlossenen NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) soll der Kreis der Unternehmen, die aufgrund ihres Schwellenwertes und ihrer Tätigkeiten von höherer Bedeutung sind, deutlich erweitert werden. „NIS“ steht hierbei für „Network and Information Security“. Deutschland muss die NIS-2-Richtlinie in nationales Recht umsetzen. Dies erfolgt durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG), dessen vollständiger Name nun "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" lautet. Nach derzeitigem Stand (Juni 2025) liegt ein neuer Referentenentwurf vom Mai 2025 vor, und die Verabschiedung sowie das Inkrafttreten des Gesetzes werden für 2025 erwartet.

Unternehmen müssen eigenständig ihren Umfang der Betroffenheit prüfen. Sie werden dazu nicht automatisch informiert!

Welche Unternehmen sind von der KRITIS-Verordnung betroffen? Dafür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betroffenheit nach Sektoren eingeteilt. Unternehmen können die Bestimmung in einer kurzen Auflistung und in der detaillierten Auflistung der BSI-KRITIS-Verordnung nachlesen. Werden die in der BSI-KRITIS-Verordnung definierten Schwellenwerte erreicht oder überschritten, gelten gesetzliche Melde- und Nachweispflichten. Was sind Kritische Infrastrukturen? – BSI

Welche Unternehmen werden jetzt durch das neue NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz betroffen sein? Ein Unternehmen ist betroffen, wenn es

Die Schwellenwerte und Sektoren werden im noch zu verabschiedenden NIS-2-Umsetzungsgesetz geregelt, voraussichtlich in ähnlicher Struktur wie in den bisherigen Entwürfen (z.B. Teil 3, Kapitel 1, ab §28 für Schwellenwerte und Anlagen 1 und 2 für Sektoren).

Was können KRITIS-Betreiber tun? KRITIS-Betreiber können sich auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über die Pflichten und Informationen zur Umsetzung informieren und intern entsprechende Schritte einleiten.

Was können Unternehmen, die unter die neue NIS-2 Gesetzgebung fallen, tun? Auch wenn das NIS2UmsuCG noch nicht in Kraft ist, ist es dringend zu empfehlen, sich bereits jetzt mit den zu erwartenden Anforderungen auseinanderzusetzen. Die NIS-2-Richtlinie selbst definiert zehn grundlegende Maßnahmen für das Risikomanagement, welche in das deutsche Gesetz übernommen werden sollen (Artikel 21 der NIS-2-Richtlinie). Es ist daher ratsam, die internen Prüfungen und die Planung der Umsetzung der Vorgaben – insbesondere in den Bereichen Risikomanagement, Meldepflichten und Sicherheitsmaßnahmen – bereits jetzt zu beginnen.

Es ist allgemein sehr zu empfehlen, sich intensiv mit den gesetzlichen Bestimmungen auseinanderzusetzen und sich bei der Umsetzung fachkundige Unterstützung einzuholen. Das BSI bietet hierfür erste Unterstützungsangebote und FAQs zur NIS-2-Richtlinie an. Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft – BSI NIS-2 in Deutschland: Auswirkungen und Handlungsempfehlungen – anyWARE AG

Werden die geforderten Maßnahmen nicht eingehalten, drohen empfindliche Strafen. Die Bedingungen werden im NIS-2-Umsetzungsgesetz geregelt und umfassen voraussichtlich hohe Bußgeldvorschriften, wie sie bereits im Teil 7 der Referentenentwürfe ab §61 vorgesehen sind.

Die Anzahl der Cyberangriffe nimmt stetig zu und der Schaden kann schwer wiegen. Aus diesem Grunde ist jedem Unternehmen angeraten, die aktuellen IT-Sicherheitsstandards zu erfüllen. Hier stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hilfreiche Anleitungen und Empfehlungen zur Verfügung.