UIMC warnt vor Verzögerungen – Unternehmen sollten schon jetzt handeln
Die Umsetzung der NIS2-Richtlinie rückt näher, auch wenn der deutsche Gesetzgeber die Frist im Oktober 2024 nicht eingehalten hat. Tatsächlich ist mit einer Umsetzung in nationales Recht wohl erst für März 2025 zu rechnen… durch das Aus der „Ampel“ wird es sich ggf. weiter verzögern. Obwohl das deutsche Gesetz (NIS2UmsuCG) derzeit erarbeitet wird, bestehen weiterhin viele offene Fragen. Unternehmen, insbesondere aus kritischen Sektoren wie Energie, Gesundheit, IT und Transport, müssen bereits jetzt Maßnahmen ergreifen, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Die NIS2-Richtlinie verpflichtet Unternehmen, technische und organisatorische Maßnahmen auf den neuesten Stand der Technik zu bringen. Unternehmen müssen sicherstellen, dass Standards der Informationssicherheit eingehalten werden. Hier besteht aus unserer Erfahrung zum Teil erheblicher Handlungsbedarf.
Die NIS2-Richtlinie, die seit dem 27. Dezember 2022 in Kraft ist, stellt eine Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016 dar. Sie zielt darauf ab, die Standards für Informationssicherheit in der EU zu erhöhen und erweitert dabei den Geltungsbereich auf eine größere Anzahl von Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland dabei federführend für die Umsetzung zuständig, hält sich aber vor dem Abschluss des Gesetzgebungsverfahrens vom NIS2UmsuCG mit konkreten Aussagen zurück.
Status quo des Gesetzgebungsverfahrens in Deutschland
Die aktuelle Unsicherheit bezieht sich nicht nur auf die finale Gesetzesform des NIS2UmsuCG, sondern auch auf die Frage, welche Unternehmen konkret betroffen sind. Der Regierungsentwurf sieht eine Kategorisierung nach Mitarbeiterzahlen, Umsatz und Geschäftstätigkeit vor, doch viele Unternehmen wissen noch nicht genau, ob sie in den Anwendungsbereich fallen. Für Betreiber Kritischer Infrastrukturen (KRITIS), die bereits durch die erste NIS-Richtlinie geregelt wurden, bleibt der Handlungsdruck besonders hoch, da sie weiterhin in der höchsten Risikokategorie geführt werden.
Aktuelle Empfehlung zum NIS2UmsuCG
Auch wenn das Gesetz noch nicht verabschiedet ist, sollten Unternehmen keine Zeit verlieren. Ein frühzeitiges Handeln kann nicht nur Cyberangriffe abwehren, sondern auch hohe Strafen bei Nichteinhaltung der Vorgaben vermeiden. Die Erfahrung aus der Einführung der DSGVO zeigt ferner, dass die Kapazitäten der Berater und der weiteren Experten auch zunehmend knapper werden.
Neuerungen durch die NIS2
Die NIS2-Richtlinie bringt bedeutende Neuerungen, nicht nur bei der Frage, welche Unternehmen betroffen sind. So werden die Befugnisse des BSI erweitert und Unternehmen müssen nun umfassendere Sicherheitsmaßnahmen ergreifen. Dazu zählen unter anderem folgende Aspekte:
- Risikomanagement und Sicherheit der Informationssysteme
- Krisen- und Schwachstellenmanagement
- Sicherheit in der Lieferkette
- Schulungen im Bereich Cybersicherheit
- Implementierung von Systemen zur Angriffserkennung (besonders für KRITIS-Betreiber)
Ferner müssen sich Unternehmen beim BSI registrieren und eine Kontaktstelle benennen, um Meldungen bei Sicherheitsvorfällen zu gewährleisten. Das BSI unterstützt betroffene Unternehmen, insbesondere KRITIS-Betreiber, durch Mobile Incident Response Teams (MIRT), die bei schwerwiegenden Cyberangriffen vor Ort helfen.
Schnittmenge zur DSGVO
Viele der geforderten Maßnahmen des NIS2UmsuCG überschneiden sich mit den Anforderungen der DSGVO, was zusätzliche Pflichten für Unternehmen schafft, aber die Chance bietet, durch eine gemeinsame Betrachtung Einsparungen und Mehrwert zu schaffen. Die NIS2-Richtlinie fordert von Unternehmen, nicht nur Cybersicherheitsmaßnahmen zu ergreifen, sondern auch den Schutz personenbezogener Daten sicherzustellen. Unternehmen, die sich frühzeitig mit diesen Vorgaben auseinandersetzen, werden langfristig resilienter gegenüber Cyberbedrohungen und datenschutzrechtlichen Risiken sein.
Fazit zum NIS2UmsuCG
Mit der NIS2-Richtlinie wird der gesetzliche Rahmen für Cybersicherheit in Europa erheblich erweitert. Betroffene Unternehmen sollten schon jetzt mit einer Ist-Analyse starten, um bestehende Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls Lücken zu schließen. Die UIMC unterstützt – neben der Beurteilung der Frage, ob das eigenen Unternehmen unter die Richtlinie fällt – auch dabei, die neuen Anforderungen zu bewerten und umzusetzen, um die Compliance mit der NIS2-Richtlinie sicherzustellen.