Neue gesetzliche Anforderungen mit der NIS2 Richtlinie in Kraft getreten

Mit dem Ziel, den Schutz der kritischen Infrastruktur und für die Versorgung relevanter Unternehmen hinsichtlich möglicher IT-Vorfälle und Cyberangriffe auszubauen, ist am 06.12.25 die NIS-2-Richtlinie in Kraft getreten.
Grundlage ist die auf europäischer Ebene beschlossene NIS-2-Richtlinie, welche nunmehr in nationales Recht umgesetzt wurde. Damit vergrößert sich die Anzahl der seit 2016 mit der ersten Richtlinie betroffenen Unternehmen und Organisationen (KRITIS) deutlich. Erweitert wurden sowohl die Branchen als auch die Größen, sodass nun auch kleinere Unternehmen als bisher dazugehören sowie unter Umständen auch deren Dienstleister und Auftragnehmer. Unterteilt wird nun zudem in wesentliche und wichtige Einrichtungen mit Unterschieden bei der Aufsicht und den Konsequenzen.
Unternehmen müssen selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29.500 durch das BSI beaufsichtigten Einrichtungen gehören, für die neuen gesetzlichen Anforderungen in der IT-Sicherheit gelten und unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ fallen. Diese müssen drei zentralen Pflichten nachkommen:
  • Sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren,
  • dem BSI erhebliche Sicherheitsvorfälle zu melden und
  • Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren.
Von den Einrichtungen der Bundesverwaltung verlangt das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf IT-Grundschutz-Basis. Zusätzlich muss die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, die das NIS-2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der Website des BSI abrufbar:

Verantwortung der Geschäftsführung und Schulungen

Die Richtlinie legt eine klare Verantwortung für die Umsetzung und Überwachung der Maßnahmen bei der Geschäftsführung. Hinzukommt die Verpflichtung, selbst an Schulungen teilzunehmen sowie diese den Mitarbeitenden anzubieten. Ziel dabei ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen zu erhalten.

Notwendige Maßnahmen

Betroffene Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu verhindern oder möglichst gering zu halten. Die Angemessenheit wird anhand einer Risikobetrachtung geprüft, wo unter anderem individuell die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere betrachtet wird. Zu den Maßnahmen gehören laut der Richtlinie mindestens:
  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • grundlegende Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handelt es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es dient juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stellt das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit.
Das BSI empfiehlt, den Account bei "Mein Unternehmenskonto" bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle. Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.
Weitere Informationen in der offiziellen Pressemitteilung des BSI.
Quelle:
Bundesamt für Informationssicherheit