NIS-2 und KRITIS - Neue gesetzliche Vorschriften für die IT-Sicherheit in Unternehmen

Zur Stärkung und Widerstandsfähigkeit der Unternehmen gegen Cyberangriffe hat die Europäische Union die NIS-2 Richtlinie eingeführt. Mit NIS-2 soll sich die Anzahl der mit der ersten Richtlinie und der KRITIS-Verordnung betroffenen Unternehmen und Organisationen deutlich vergrößern.

Was bedeutet KRITIS und NIS-2?

Laut dem Bundesamt für Sicherheit in der Informationstechnik sind Kritische Infrastrukturen (KRITIS) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Der Grundstein der Rahmenbedingungen, Pflichten und Aufgaben Kritischer Infrastrukturen in Sachen Cybersicherheit ist das BSI-Gesetz (BSIG). Dieses wurde in den vergangenen Jahren sukzessiv mit den IT-Sicherheitsgesetzen, der KRITIS-Verordnung und dem Entwurf zum KRITIS-Dachgesetz deutlich erweitert und konkretisiert.
Mit der von der Europäischen Union beschlossenen NIS-2-Richtlinie soll der Kreis der Unternehmen, die aufgrund ihres Schwellenwertes und ihren Tätigkeiten von höherer Bedeutung sind, deutlich erweitert werden. “NIS” steht hierbei für “Network and Information Security”. Dies erfolgt noch durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz „NIS2UmsuCG“. Mit Stand vom 07.05.2024 gibt es einen Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Mit dem Referentenentwurf wurde der erste Schritt im Gesetzgebungsverfahren getätigt.

Status zum deutschen Gesetzgebungsverfahren

Stand: 28. März 2025

NIS-2: Wie geht es nach der Bundestagswahl weiter?

Das geplante NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) konnte aufgrund der vorgezogenen Bundestagswahl nicht mehr vom Gesetzgeber verabschiedet werden. Damit greift das sogenannte Diskontinuitätsprinzip: Gesetzesvorhaben, die in einer Legislaturperiode nicht abgeschlossen wurden, verlieren ihre Gültigkeit und müssen in der neuen Legislaturperiode neu eingebracht und beraten werden.

Bedeutung für Unternehmen

Für Unternehmen bedeutet das zunächst: Es gibt aktuell keine gültige nationale Regelung, die die Vorgaben der EU-Richtlinie NIS-2 verbindlich umsetzt. Die Rechtsunsicherheit bleibt vorerst bestehen – auch wenn die politischen und regulatorischen Weichen bereits gestellt wurden.
Die EU hatte eine Frist bis zum 17. Oktober 2024 gesetzt, die von Deutschland und 22 weiteren Mitgliedstaaten nicht eingehalten wurde. Die EU hat deshalb ein Vertragsverletzungsverfahren eingeleitet, das zusätzlichen politischen Druck erzeugt.
Die Federführung für die Umsetzung der NIS-2-Richtlinie liegt weiterhin beim Bundesministerium des Innern und für Heimat (BMI). Es ist davon auszugehen, dass in der neuen Legislaturperiode ein überarbeiteter Gesetzentwurf eingebracht wird.

Handlungsempfehlungen für Unternehmen

Für die betroffenen Unternehmen empfiehlt es sich daher, nicht das Inkrafttreten des deutschen NIS 2-Umsetzungsgesetzes abzuwarten. Sie sollten sich auf die zu erwartenden Regulierungen vorbereiten, indem sie ihre Informationssicherheit verbessern und konkrete technisch-organisatorische Maßnahmen umsetzen. Denn nach Inkrafttreten des Gesetzes sind keine Umsetzungsfristen zu erwarten.
Unbenommen der zu erwartenden gesetzlichen Regulierungen durch die Änderungen des BSI-Gesetzes aufgrund der Umsetzung der NIS-2-Richtlinie empfiehlt das BSI auf Grund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.

Welche Unternehmen sind betroffen?

Unternehmen müssen eigenständig Ihren Umfang der Betroffenheit prüfen. Sie werden dazu nicht automatisch informiert!

Welche Unternehmen sind von der KRITIS-Verordnung betroffen?

Dafür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betroffenheit nach Sektoren eingeteilt. Unternehmen können die Bestimmung in einer kurzen Auflistung und in der detaillierten Auflistung der BSI-KRITIS-Verordnung nachlesen. Werden die in der BSI-KRITIS-Verordnung definierten Schwellenwerte erreicht oder überschritten, gelten gesetzliche Melde- und Nachweispflichten.

Welche Unternehmen werden jetzt durch das neue NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz betroffen sein?

Ein Unternehmen ist betroffen, wenn es
  • Schwellenwerte für die Anzahl Mitarbeiter oder Jahresumsatz / Jahresbilanzsumme überschreitet und
  • in einem bestimmten Sektor tätig ist
Die Schwellenwerte werden im Teil 3, Kapitel 1, ab §28 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes geregelt.
Die Sektoren werden im Teil 7, Anlage 1 und 2 präzisiert.

Handlungsempfehlungen für betroffene Unternehmen

Was können KRITIS-Betreiber tun?

KRITIS Betreiber können sich auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über die Pflichten und Informationen zur Umsetzung informieren und intern entsprechende Schritte einleiten.

Was können Unternehmen, die unter der neuen NIS-2 Gesetzgebung fallen, tun?

Der Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sieht im Teil 3, Kapitel 2, ab §30 erforderliche Maßnahmen zu “Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten” vor. Mit diesem Paragrafen können Unternehmen mit der internen Prüfung der Vorgaben beginnen.
Es ist allgemein sehr zu empfehlen, sich intensiv mit den gesetzlichen Bestimmungen auseinanderzusetzen und sich bei der Umsetzung fachkundige Unterstützung einzuholen.

Sanktionen

Werden die geforderten Maßnahmen nicht eingehalten, drohen empfindliche Strafen. Die Bedingungen werden im Teil 7: Bußgeldvorschriften ab §61 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes geregelt.

Handlungsempfehlungen für jedes Unternehmen

Die Anzahl der Cyberangriffe nimmt stetig zu und der Schaden kann schwer wiegen. Aus diesem Grunde ist jedem Unternehmen angeraten, die aktuellen IT-Sicherheitsstandards zu erfüllen. Hier stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hilfreiche Anleitungen und Empfehlungen zur Verfügung.