Aktuelle Gesetze und Gesetzesinitiativen

BSI: Unterstützung zur Umsetzung der Nis-Richtlinie - #nis2know

Überblick mit FAQ, Webinaren und mehr

Unter der Überschrift "NIS-2-regulierte Unternehmen" hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website eine Übersicht über ihre Hilfeseiten zur Umsetzung der NIS-2-Richtlinie zusammengestellt. Unternehmen finden dort unter anderem eine "NIS-2-Betroffenheitsprüfung", eine FAQ-Sammlung oder eine Seite "Was tun?" mit praktischen Hinweisen und rechtlichen Hintergründen.

#nis2know: Infopakete zu wichtigen Themen

Auf einer Unterseite fasst das BSI mit dem Hashtag #nis2know wichtige Informationen zu den NIS-2-Pflichten zusammen. Diese gelten für die rund 29.000 Einrichtungen, die nach der NIS-2-Richtlinie als "wichtig" oder "besonders wichtig" eingestuft sind. Die Sammlung auf der BSI-Website wird laufend erweitert.

#nis2know: Sichere Lieferkette

NIS-2-betroffene Einrichtungen müssen die Sicherheit ihrer Lieferketten gewährleisten. Das bedeutet, dass sie bei ihrem Risikomanagement auch mögliche Schwachstellen in der Cybersicherheit sowie in den Entwicklungsprozessen ihrer Lieferanten und Dienstleister berücksichtigen müssen. Eine erste Orientierung, wie sich die Anforderungen zur Lieferkettensicherheit umsetzen lassen, liefert das entsprechende Infopaket sichere Lieferkette.

#nis2know: NIS-2-Meldepflicht

Welche Sicherheitsvorfälle sind meldepflichtig? Wie sehen Fristen und Inhalte aus? Was macht das BSI mit den Informationen? Hier gibt es das Infopaket NIS-2-Meldepflicht mit Wissenswertem zu diesem Thema.

#nis2know: Risikoanalyse

Das Infopaket NIS-2-Risikoanalyse enthält unter anderem Informationen zu den gesetzlichen Grundlagen, zu den Bestandteilen oder zum Ablauf einer Risikoanalyse, wie sie NIS-2-betroffene Unternehmen umsetzen müssen.

#nis2know: DORA und NIS-2

Ein weiteres Infopaket DORA richtet sich speziell an Einrichtungen aus dem Finanzsektor, die dem "Digital Operational Resilience Act" (DORA) unterliegen, also beispielsweise Kreditinstitute, Handelsplätze oder Versicherungen. Für sie gelten besondere Verpflichtungen beim Management von Cybersicherheits-Risiken, insbesondere müssen diese Risiken regelmäßig evaluiert werden.

Cyber Resilience Act (CRA)

Worum geht es?

Voraussichtlich Ende 2024 tritt der Cyber Resilience Act (CRA) in Kraft, der ab 2027 Anwendung findet. Mit dem CRA wird die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, verbessert. Diese Produkte werden von Unternehmen hergestellt und an Endkunden vertrieben. Sie werden aber auch in Unternehmen für die Produktion eingesetzt sowie als Vorprodukte bezogen und weiter verbaut beziehungsweise veredelt und sind damit Bestandteil von Lieferketten.

Wer ist betroffen?

Die neuen Regelungen betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Darüber hinaus gibt es Verpflichtungen für Händler und Einführer. Größenbezogene Ausnahmen gibt es nicht.

Was sieht die Verordnung vor?

Der Cyber Resilience Act sieht vor, bei den genannten Produkten in den Phasen Design, Entwicklung und Produktion sowie während des Inverkehrbringens und während der Nutzung risikoangemessene Cybersecurity-Maßnahmen zu etablieren.
Dabei unterscheidet die Europäische Kommission je nach Kritikalität:
  • nicht kritische Produkte mit digitalen Elementen (zum Beispiel Festplatten, PC-Spiele),
  • kritische Produkte mit digitalen Elementen Klasse I (zum Beispiel Browser, Passwort-Manager) und Klasse II (zum Beispiel Firewalls für den industriellen Einsatz, Router, Chipkarten und Chipkartenleser),
  • hochkritische Produkte mit digitalen Elementen (unter diese Kategorie fallen zunächst noch keine Produkte).
Nach Angaben der EU-Kommission sollen circa 90 Prozent der Erzeugnisse in die Gruppe der nicht kritischen Produkte fallen. Hersteller und Vertreiber von kritischen Produkten müssen strengere Anforderungen erfüllen, beispielsweise hinsichtlich der Konformitätsbewertung, die auf Basis harmonisierter EU-Standards erfolgen soll. Die Konformität wird am Produkt mit dem "CE-Kennzeichen" dokumentiert. Die Umsetzung wird von nationalen Marktüberwachungsbehörden überwacht.
Darüber hinaus sieht der CRA vor, dass Hersteller Sicherheitslücken über den gesamten Produktlebenszyklus schließen müssen, maximal jedoch über fünf Jahre. Nutzer müssen über behobene Schwachstellen und über Cybersicherheitsvorfälle informiert werden. Hersteller müssen darüber hinaus Cybersicherheitsvorfälle sowie jede aktiv ausgenutzte Schwachstelle innerhalb von 24 Stunden der europäischen Agentur für Cybersicherheit (ENISA) melden.

Ein Beispiel

Ein Industrieunternehmen verbaut Chips als Bestandteile seines Produkts. Das Unternehmen muss sich darauf verlassen können, dass diese sicher konzipiert sind und benötigt für eine gewisse Zeit Sicherheitsupdates vom Hersteller, um die Sicherheit entlang der Lieferkette zu gewährleisten.
Nach dem CRA müsste der Hersteller nachweisen, dass er bei Entwicklung und Produktion EU-harmonisierte Cybersicherheitsnormen eingehalten hat. Das wird über eine sogenannte Software-Stückliste dokumentiert. Er muss auch Schwachstellen dokumentieren, von denen er Kenntnis erlangt hat. Vor Inverkehrbringen des Chips muss er ein Konformitätsbewertungsverfahren durchführen, erst dann darf die CE-Kennzeichnung angebracht werden. Das Industrieunternehmen muss auch für seinen Teil der Lieferkette all dies tun. Beide Unternehmen müssen auch nach Inverkehrbringen von Chip und Industrieprodukt Updates bereitstellen sowie Melde- und Informationspflichten erfüllen.

Was ist für die Wirtschaft nun wichtig?

Die DIHK setzt sich im Interesse aller Unternehmen dafür ein, dass Anbieter und Hersteller von Produkten mit digitalen Elementen von vornherein auf "Security by Design" achten und über einen definierten Zeitraum eine sichere Nutzung durch Sicherheitsupdates gewährleistet ist. Insofern unterstützt die DIHK ausdrücklich die Intention des CRA.
Der CRA kann sein Potenzial aber nur entfalten, wenn er Vorgaben macht, die nicht nur dem beabsichtigten Zweck dienen, sondern zugleich auch angemessen und praktikabel sind. Unternehmen müssen ihre internen Maßnahmen auf CRA-Konformität überprüfen beziehungsweise Prozesse neu etablieren und einen Mechanismus zum Umgang mit Schwachstellen implementieren. Dafür müssen sie sich an europäischen Normen orientieren, die zum großen Teil erst erarbeitet werden müssen.
Unternehmen berichten auch sehr häufig, dass sie die dafür erforderlichen Fachkräfte nicht rekrutieren können. Dies trifft gleichermaßen auf den Aufbau von Organisationsstrukturen und Beschäftigten für die Marktüberwachung zu. Insofern wäre eine zeitliche Streckung der Übergangsfrist angezeigt, auch um die sowieso bereits bestehenden Fachkräfteengpässe nicht weiter zu verschärfen.
Quelle: DIHK
Stand: 07.04.2026