NIS-2: EU-Richtlinie zur Verbesserung der Cyber-Sicherheit
Mit dem Ziel, den Schutz der kritischen Infrastruktur hinsichtlich möglicher IT-Vorfälle und Cyberangriffe in Europa auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie verabschiedet. NIS steht dabei für „Network and Information Security“. Sie erweitert den Anwendungsbereich der ersten NIS-Richtlinie von 2016 erheblich. Während die ursprüngliche Richtlinie vor allem Betreiber wesentlicher Dienste und Anbieter digitaler Dienste betraf, gilt NIS-2 nun für viele weitere Sektoren und Unternehmen. Ziel ist es, die Resilienz und die Reaktionsfähigkeit auf Cyberbedrohungen in der gesamten EU zu verbessern.
Status zum deutschen Gesetzgebungsverfahren
Stand: 28. März 2025
NIS-2: Wie geht es nach der Bundestagswahl weiter?
Das geplante NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) konnte aufgrund der vorgezogenen Bundestagswahl nicht mehr vom Gesetzgeber verabschiedet werden. Damit greift das sogenannte Diskontinuitätsprinzip: Gesetzesvorhaben, die in einer Legislaturperiode nicht abgeschlossen wurden, verlieren ihre Gültigkeit und müssen in der neuen Legislaturperiode neu eingebracht und beraten werden.
Bedeutung für Unternehmen
Für Unternehmen bedeutet das zunächst: Es gibt aktuell keine gültige nationale Regelung, die die Vorgaben der EU-Richtlinie NIS-2 verbindlich umsetzt. Die Rechtsunsicherheit bleibt vorerst bestehen – auch wenn die politischen und regulatorischen Weichen bereits gestellt wurden.
Die EU hatte eine Frist bis zum 17. Oktober 2024 gesetzt, die von Deutschland und 22 weiteren Mitgliedstaaten nicht eingehalten wurde. Die EU hat deshalb ein Vertragsverletzungsverfahren eingeleitet, das zusätzlichen politischen Druck erzeugt.
Die Federführung für die Umsetzung der NIS-2-Richtlinie liegt weiterhin beim Bundesministerium des Innern und für Heimat (BMI). Es ist davon auszugehen, dass in der neuen Legislaturperiode ein überarbeiteter Gesetzentwurf eingebracht wird.
Handlungsempfehlungen für Unternehmen
Für die betroffenen Unternehmen empfiehlt es sich daher, nicht das Inkrafttreten des deutschen NIS 2-Umsetzungsgesetzes abzuwarten. Sie sollten sich auf die zu erwartenden Regulierungen vorbereiten, indem sie ihre Informationssicherheit verbessern und konkrete technisch-organisatorische Maßnahmen umsetzen. Denn nach Inkrafttreten des Gesetzes sind keine Umsetzungsfristen zu erwarten.
Unbenommen der zu erwartenden gesetzlichen Regulierungen durch die Änderungen des BSI-Gesetzes aufgrund der Umsetzung der NIS-2-Richtlinie empfiehlt das BSI auf Grund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.
Stellungnahme DIHK Dezember 2024 (nicht barrierefrei, PDF-Datei · 226 KB)
Zum finalen Regierungsentwurf
Zum finalen Regierungsentwurf
Welche Unternehmen sind betroffen?
Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Es wird bundesweit knapp 30.000 betroffenen Unternehmen gerechnet. Dabei erfolgt eine Kategorisierung in „wichtige“ und „besonders wichtige“ Einrichtungen, die in den Fokus der Richtlinie rücken.
NIS-2 umfasst nun auch mittlere und große Unternehmen in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung. Somit müssen mehr Unternehmen Maßnahmen zur Cybersicherheit ergreifen, um den neuen Anforderungen zu entsprechen. Ob Unternehmen gemäß §28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.
Wird eine Betroffenheit festgestellt, besteht eine Registrierungspflicht. Gegebenenfalls kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit anordnen.
Ein Unternehmen ist betroffen, wenn es Schwellwerte für die Mitarbeitenden-Anzahl oder den Jahresumsatz/die Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.
Schwellwerte
- Als "besonders wichtige Einrichtungen" gelten:
- Betreiber kritischer Anlagen ("KRITIS-Betreiber")
- Spezielle Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationanbieter
- Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 genannten Sektoren tätig sind.
- Als "wichtige Einrichtungen" gelten:
- Spezielle Einrichtungen z. B. für Vertrauensdienste, kleinere Telekommunikationanbieter
- Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 genannten Sektoren tätig sind.
SektorenIn den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.
Was müssen betroffene Unternehmen tun?
Der Entwurf des NIS2UmsuCG listet in Kapitel 2 ab §30 erforderliche Maßnahmen zu ‚Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten‘ auf. Die spezifischen Anforderungen variieren je nachdem, ob ein Unternehmen als ‚Betreiber kritischer Anlagen‘, ‚besonders wichtige Einrichtung‘ oder ‚wichtige Einrichtung‘ eingestuft wird. Es ist daher essentiell, das NIS2UmsuCG sorgfältig zu studieren.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
- Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung - Meldepflichten (§32)
- Registrierungspflicht (§§ 34, 34)
- Unterrichtungspflichten (§35)
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)
Welche Folgen drohen bei Nichtbeachtung?
Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen. Aufsichtsbehörden verfügen hierbei über ein Kontroll- und Weisungsrecht mit Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsleiter.
Zusammenarbeit von Wirtschaft und Staat
Ein wichtiger Aspekt von NIS2 ist die Betonung der Zusammenarbeit und des Informationsaustauschs zwischen Unternehmen und nationalen Behörden. Dies soll helfen, Bedrohungen frühzeitig zu erkennen und abzuwehren. Zudem sind regelmäßige Sicherheitsübungen und Schulungen vorgesehen, um die Bereitschaft zu erhöhen.
Fazit
NIS-2 erweitert die Cybersicherheitsanforderungen in Europa erheblich und wird das Sicherheitsniveau erhöhen. NIS-2 verlangt keine Cybersicherheit um jeden Preis. Das Gesetz erfordert Maßnahmen, die an die aktuelle Bedrohungslage angepasst sind. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen und Maßnahmen ergreifen, um die Compliance sicherzustellen.
Hinweis:
Die Informationen und Auskünfte der IHK Nord Westfalen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.
Die Informationen und Auskünfte der IHK Nord Westfalen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.