NIS-2-Richtlinie und NIS-2-Umsetzungsgesetz
Unternehmen sind immer mehr Cybergefahren ausgesetzt. Die EU hat auf die Bedrohungen durch die zunehmende Digitalisierung reagiert und mit der NIS-2-Richtlinie (EU) 2022/2555 die Informationssicherheit in den Fokus genommen.
Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird die Richtlinie in deutsches Gesetz überführt. Seit dem 24.06.2024 liegt der vorerst letzte Referentenentwurf vor.
Bundesweit geschätzt ca. 30.000 Unternehmen sind spätestens ab 18. Oktober 2024 von dem neuen Gesetz betroffen und müssen IT-Sicherheitsmaßnahmen umsetzen und IT-Sicherheitsvorfälle melden.
Am 28. Mai hat die DIHK eine Stellungnahme zum Entwurf vom 07.05.2024 vorgenommen.
Großer Kreis von betroffenen Unternehmen
Viele Unternehmen werden sich organisatorischen Herausforderungen stellen müssen. Betroffen sind Unternehmen aus den Bereichen Kritische Infrastruktur, Anbieter digitaler Dienste, „besonders wichtige“ und „wichtige“ Einrichtungen sowie einige Bundeseinrichtungen. Unter die Kategorie „besonders wichtig“ fallen Unternehmen mit über 249 Beschäftigten oder 50 Millionen Euro Umsatz oder 43 Millionen Euro Bilanzsumme aus den Bereichen Verkehr, Energie, Gesundheit, Trink- und Abwasser, Verwaltung, Finanzen und Versicherungen und digitaler Infrastruktur. Die Kategorie „wichtig“ betrifft große Unternehmen aus den Bereichen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelindustrie, Warenhersteller, Anbieter digitaler Dienste und Forschung. Auch Unternehmen ab 50 Beschäftigten oder über 10 Millionen Umsatz und Bilanzsumme sind betroffen.
Weitere Details zu den betroffenen Unternehmen und zu den Kategorien findet man in Anhang I und II der Richtlinie.
Risikoanalysen und Meldepflichten
Die Vorgaben sind für beide Kategorien ähnlich. Es müssen geeignete und verhältnismäßige Maßnahmen ergriffen werden. Dazu gehören Risikoanalysen, Sicherheitskonzepte, Maßnahmen zur Vorfallsbewältigung und zur Aufrechterhaltung des Betriebes, zum Krisenmanagement, zur Lieferkettensicherheit und vieles mehr. Die Verantwortung liegt klar bei der Geschäftsführung, die selbst an Schulungen teilnehmen und diese auch Mitarbeitern anbieten muss. Bei Sicherheitsvorfällen gibt es Melde- und Berichtspflichten innerhalb bestimmter Fristen. Werden die Maßnahmen nicht umgesetzt, so ist mit hohen Geldstrafen zu rechnen.
Vorgehensweise
Unternehmen müssen sich selbstständig informieren, ob sie betroffen sind. Die aktuellen Entwürfe des NIS-2-Umsetzungsgesetzes finden Sie auf der Seite des Bundesministeriums des Innern und für Heimat
Stand: 19.07.2024