NIS-2: Pflichten für Unternehmen
Zur Stärkung des Schutzes wichtiger Infrastrukturen gegen IT-Störungen und Cyberangriffe hat die Europäische Union 2023 die NIS-2-Richtlinie eingeführt. In Deutschland regelt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) die Umsetzung der NIS-2-Richtlinie.
Bundesweit sind etwa 30.000 Unternehmen davon ab spätestens 18. Oktober 2024 betroffen und müssen IT-Sicherheitsmaßnahmen umsetzen und Vorfälle melden.
Welche Unternehmen sind vom NIS2UmsuCG betroffen?
Ob Unternehmen betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu von den Behörden informiert.
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.
Daher: Prüfen Sie, ob Ihr Unternehmen von der NIS-2 Umsetzung betroffen ist.
Ein Unternehmen ist betroffen, wenn es mehr als 50 Mitarbeitende hat ODER wenn dessen Jahresumsatz mehr als zehn Millionen Euro beträgt UND wenn es in einem der folgenden Sektoren tätig ist:
Post / Kurier, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Herstellung von Waren, Anbieter digitaler Dienste, Forschung.
Was müssen betroffene Unternehmen tun?
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
- Risikomanagementmaßnahmen, Business Continuity Management (Paragrafen 30, 31)
Dazu gehört zum Beispiel der Einsatz technischer Maßnahmen wie zum Beispiel Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung - Meldepflichten (Paragraf 32)
- Registrierungspflicht (Paragrafen 34, 34)
- Unterrichtungspflichten (Paragraf 35)
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (Paragraf 38)
Weitere spezifischen Anforderungen (je nach Unternehmenstyp und Firmenzweck) ergeben sich aus NIS2UmsuCG Kapitel 2. Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Aktuell (29. Juni 2024) ist ein Referentenentwurf vorhanden, zu dem zahlreiche Stellungnahmen von Verbänden und Einrichtungen vorliegen:
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2umsucg.html
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2umsucg.html
Für Betreiber kritischer Anlagen ("KRITIS-Betreiber") und besonders wichtiger Einrichtungen gelten zusätzliche Anforderungen:
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/Service-fuer-KRITIS-Betreiber/Beratung-von-KRITIS-Betreibern/beratung-von-kritis-betreibern_node.html
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/Service-fuer-KRITIS-Betreiber/Beratung-von-KRITIS-Betreibern/beratung-von-kritis-betreibern_node.html