NIS2-Umsetzungsgesetz: Der aktuelle Stand für betroffene Unternehmen

Key Takeaways

-          Generell: Das NIS2 Umsetzungsgesetz ist eine nationale Umsetzung der NIS2-Richtlinie der EU, die die Cybersicherheit in der Europäischen Union stärken soll.

-          Erweiterung des Anwendungsbereichs: Das NIS2UmsuCG erweitert die Reichweite der Cybersicherheitsanforderungen, sodass nun mehr Unternehmen und öffentliche Stellen, einschließlich mittelgroßer Unternehmen, unter die neuen Regelungen fallen. Dies bedeutet eine breitere Abdeckung und eine größere Verantwortung für Unternehmen in verschiedenen Sektoren.

-          Erhöhte Meldepflichten und strengere Sicherheitsanforderungen: Unternehmen müssen schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden melden und detailliert dokumentieren. Zudem werden höhere Anforderungen an die Cybersicherheit gestellt, einschließlich regelmäßiger Sicherheitsüberprüfungen und der Implementierung von Maßnahmen nach dem Stand der Technik.

-          Empfindliche Strafen bei Nicht-Einhaltung: Unternehmen, die die neuen Cybersicherheitsvorgaben nicht einhalten, drohen empfindliche Strafen. Dies unterstreicht die Bedeutung der Einhaltung der NIS2-Richtlinie und soll sicherstellen, dass Unternehmen die erforderlichen Sicherheitsmaßnahmen implementieren und aufrechterhalten.

Einleitung

Die NIS2-Richtlinie (Netz- und Informationssicherheit 2) ist ein zentraler Bestandteil der Cybersicherheitsstrategie der Europäischen Union. Sie zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Für Unternehmen in regulierten Branchen in Deutschland ist die Einhaltung dieser Richtlinie entscheidend, um ihre Systeme vor Cyberangriffen zu schützen und rechtlichen Verpflichtungen nachzukommen. Das Gesetz zur Umsetzung von EU NIS2 und zur Stärkung der Cybersicherheit, das NIS2UmsuCG, wird ab 2024 in Kraft treten und betrifft knapp 30.000 Unternehmen.

Deutsches Umsetzungsgesetz – NIS2UmsuCG

Der NIS2UmsuCG enthält neben den EU-Vorgaben zusätzliche deutsche Regelungen, die auf die spezifischen Anforderungen und Bedürfnisse in Deutschland eingehen. Hier sind die wichtigsten Anpassungen:

1. Erweiterung des Anwendungsbereichs:
   • Umfangreichere Abdeckung: Im Vergleich zur ursprünglichen NIS-Richtlinie werden nun auch mittelgroße Unternehmen aus verschiedenen Sektoren erfasst. Dies bedeutet, dass mehr Unternehmen als zuvor unter die Cybersicherheitsvorgaben fallen.
   • Öffentliche Stellen: Neben privaten Unternehmen werden auch mehr öffentliche Einrichtungen in die Regelungen einbezogen, um einen umfassenden Schutz der kritischen Infrastruktur zu gewährleisten.
2. Erhöhte Meldepflichten:
   • Schnellere Meldung: Unternehmen müssen schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden melden. Diese schnelle Meldepflicht soll eine raschere Reaktion und bessere Koordination bei Cybervorfällen ermöglichen.
   • Dokumentationspflicht: Neben der schnellen Meldung müssen Unternehmen eine detaillierte Dokumentation der Vorfälle führen, um Transparenz und Nachvollziehbarkeit sicherzustellen.
3. Strengere Sicherheitsanforderungen:
   • Höhere Standards: Es werden höhere Anforderungen an die Cybersicherheit gestellt, einschließlich regelmäßiger Sicherheitsüberprüfungen und der Implementierung von Sicherheitsmaßnahmen nach dem Stand der Technik.
   • Technische und organisatorische Maßnahmen: Unternehmen müssen umfangreiche technische und organisatorische Maßnahmen einführen, wie Firewalls, Intrusion Detection Systeme, Verschlüsselung und strenge Zugangskontrollen.
4. Sanktionen bei Nicht-Einhaltung:
   • Empfindliche Strafen: Unternehmen, die die Vorgaben nicht einhalten, drohen empfindliche Strafen. Dies soll die Einhaltung der Vorschriften sicherstellen und die Bedeutung der Cybersicherheit unterstreichen.
   • Strafmaß: Das Gesetz sieht abgestufte Strafmaßnahmen vor, abhängig von der Schwere des Verstoßes und den möglichen Auswirkungen auf die Sicherheit.
5. Kritische Infrastrukturen (KRITIS):
   • Ergänzung durch KRITIS-Dachgesetz: Ursprünglich sollte das NIS2UmsuCG vom KRITIS-Dachgesetz ergänzt werden, das Vorschriften für einen verbesserten physischen Schutz enthält. Dieses Gesetz ist jedoch noch nicht kabinettsreif, sodass vorerst nur die digitalen Sicherheitsanforderungen umgesetzt werden.
   • Spezifische Vorgaben: Betreiber kritischer Infrastrukturen müssen spezifische Vorgaben erfüllen, um die Versorgungssicherheit und Funktionalität dieser Einrichtungen sicherzustellen.

Bisheriger Zeitplan und Fristen

Die EU-Mitgliedsstaaten müssen die NIS2-Richtlinie bis spätestens 17.10.2024 umsetzen. Es wird jedoch zu Verzögerungen kommen(Artikel 41 NIS2).

In Deutschland hat das Gesetz zur Umsetzung der Revision der Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) der Europäischen Union nun eine wichtige Hürde auf dem Weg zum wirksamen Gesetz genommen: Am Mittwoch. 24.07.2024, hat sich das Bundeskabinett auf einen Gesetzentwurf geeinigt.

Derzeit ist es fraglich, ob das NIS2UmsuCG bis Oktober 2024 in Kraft treten wird. Auch deshalb fordern Wirtschaftsverbände längere Übergangsfristen in das Gesetz aufzunehmen – der langsame Gesetzgebungsprozess habe die nötige Zeit für Umstellungen zu stark verkürzt, um diese noch einhalten zu können.

Bedeutung für betroffene Betreiber nach NIS2UmsuCG

Die Verabschiedung des NIS2-Umsetzungsgesetzes wird sich voraussichtlich verzögern und nicht wie gefordert bis zum 17.10.2024 erfolgen. Auch wenn sich keine exakte Dauer der Verzögerung benennen lässt, ist von 3-6 Monaten auszugehen und eine Verabschiedung Anfang 2025 denkbar.

Für die voraussichtlich betroffenen Unternehmen ändert das aber wenig. Sie sollten sich bereits jetzt mit den bereits bekannten Basis-Anforderungen befassen. Hier ist von keinen weiteren Änderungen auszugehen. Auch hinsichtlich der Betroffenheitsprüfung sind alle wesentlichen Kriterien bekannt, sodass eine Ersteinschätzung vorgenommen werden kann.  Das BSI stellt auf seiner Website ein Tool zur Verfügung, das betroffenen Unternehmen bei der Einordnung hilft.

Vorbereitung auf NIS2UmsuCG

Deutsche Unternehmen müssen verschiedene Maßnahmen ergreifen, um die Einhaltung der NIS2-Richtlinie sicherzustellen. Hier sind einige wesentliche Schritte zur Vorbereitung:

1. Risikobewertung und Management:
   • Durchführung einer umfassenden Risikobewertung, um alle potenziellen Cyber-Bedrohungen zu identifizieren.
   • Implementierung eines Risikomanagementsystems, das technische und organisatorische Maßnahmen umfasst.
   • Regelmäßige Überprüfung und Aktualisierung des Risikomanagements, um neuen Bedrohungen und technologischen Entwicklungen gerecht zu werden.
2. Vorfallsmanagement:
   • Entwicklung und Implementierung eines Vorfallsmanagementprozesses zur Meldung, Dokumentation und Analyse von Cybervorfällen.
   • Schulung der Mitarbeiter im Umgang mit Cybervorfällen und der Nutzung von Vorfallsmeldesystemen.
3. Technische und organisatorische Maßnahmen:
   • Einführung von Maßnahmen zur Netzwerksicherheit, wie z.B. Firewalls, Intrusion Detection Systeme und regelmäßige Sicherheitsupdates.
   • Sicherstellung der Zugangskontrolle durch starke Authentifizierungsmechanismen und Zugriffsbeschränkungen.
   • Schutz kritischer Daten durch Verschlüsselung und Backup-Strategien.
4. Zusammenarbeit und Informationsaustausch:
   • Aufbau von Kooperationen mit nationalen und internationalen Behörden sowie anderen relevanten Akteuren im Bereich Cybersicherheit.
   • Teilnahme an Informationsaustauschplattformen und Netzwerken zur gemeinsamen Bekämpfung von Cyberbedrohungen.
5. Schulung und Sensibilisierung:
   • Regelmäßige Schulung und Sensibilisierung der Mitarbeiter zu Cybersicherheitsthemen und der NIS2-Richtlinie.
   • Förderung einer Sicherheitskultur innerhalb des Unternehmens, in der alle Mitarbeiter Verantwortung für die Cybersicherheit übernehmen.

Fazit

Die Umsetzung der NIS2-Richtlinie ist ein entscheidender Schritt für die Cybersicherheit in Deutschland. Der NIS2UmsuCG zeigt, dass Deutschland bereit ist, die notwendigen Maßnahmen zu ergreifen, um die Sicherheitsstandards zu erhöhen und besser auf die Herausforderungen der digitalen Welt vorbereitet zu sein. Unternehmen sollten sich frühzeitig auf die neuen Anforderungen vorbereiten, um rechtlichen und sicherheitstechnischen Vorgaben zu entsprechen und ihre Resilienz gegenüber Cyberangriffen zu stärken.

Über enclaive

Die enclaive GmbH, einvielfach ausgezeichnetes Start-up-Unternehmen mit Sitz in Berlin, hilftUnternehmen, ihre sensiblen Daten und Anwendungen in nicht vertrauenswürdigenCloud-Umgebungen durch Confidential Computing zu schützen. Dies sogar ohne dieNotwendigkeit, Code, Tools oder Prozesse zu ändern. Das umfassendeMulti-Cloud-Betriebssystem ermöglicht Zero-Trust-Sicherheit, indem es die verwendeten Daten verschlüsselt und die Anwendungen sowohl von derInfrastruktur als auch von den Lösungsanbietern abschirmt. Mit enclaive könnenUnternehmen vertrauensvoll Anwendungen entwickeln, testen und bereitstellen und dabei die vollständige Kontrolle über ihre vertraulichen Informationen behalten. enclaive hat sich zum Ziel gesetzt, eine universelle, Cloud-unabhängigeTechnologie für die Verschlüsselung von anspruchsvollen Multi-Cloud-Anwendungen bereitzustellen, die vertrauensvoll und einfach eingesetzt werden kann. Zu denZielkunden gehören Service Provider, ISVs sowie Unternehmen und öffentlicheEinrichtungen, die eine gemeinsame Infrastruktur nutzen wollen, um die digitaleTransformation ihres Unternehmens zu unterstützen. Das enclaive-Angebot ist in drei Varianten erhältlich: als Lizenz, als OEM-Produkt oder über denECMP-Marktplatz als verwalteter, verbrauchbarer Dienst.

‍