NIS-2-Betroffenheitsprüfung
Ob Unternehmen gemäß § 28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.
Prüfen Sie, ob Ihr Unternehmen von der NIS-2 Umsetzung betroffen ist!
Dazu stellt das BSI eine "NIS-2 Betroffenheitsprüfung" bereit. Kriterien sind:
- die Zugehörigkeit zu Branchensektoren (siehe Seite 72 mit Anlage 1 und 2 im Gesetzentwurf),
- die Anzahl der Mitarbeitenden,
- der Jahresumsatz
- und die Jahresbilanzsumme.
Hinzu kommen spezielle IT-Einrichtungen wie beispielsweise qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter. Gegebenenfalls kann das BSI auch eine Betroffenheit anordnen.
Was ist NIS-2?
Besonders relevant ist die IT-Sicherheit für Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
- nachhaltig wirkende Versorgungsengpässe,
- erhebliche Störungen der öffentlichen Sicherheit
- oder andere dramatische Folgen eintreten würden.
Durch das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) werden betroffene Einrichtungen in die Pflicht genommen und mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Stelle dafür definiert. "NIS" steht dabei für "Network and Information Security".
Bisher wurden ca. 2.000 Unternehmen als „KRITIS-Betreiber“ eingestuft, was sich aus der Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten ergab.
2023 beschloss die EU die NIS-2-Richtlinie, welche bis zum 17.10.2024 von Deutschland umgesetzt werden muss: EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie).
Dadurch wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (inkl. der ca. 2.000 KRITIS-Unternehmen).
Quelle: BSI