Nach der of­fi­zi­el­len Ver­öf­fent­li­chung Ende 2022 haben die EU-Mit­­glie­d­­staa­­ten 21 Monate Zeit – also bis zum 17.10.2024 – um die Vor­ga­ben der Richt­li­nie in der na­tio­na­len Ge­setz­ge­bung konkret um­zu­set­zen. Cyber Se­cu­ri­ty muss für Un­ter­neh­men höchste Prio­ri­tät haben. Im eigenen In­ter­es­se, aber auch auf­grund der Aus­wei­tung der ge­setz­li­chen An­for­de­run­gen ab 2024.

Worum geht es?

NIS 2 ist der Nach­fol­ger von NIS 1. Das Gesetz zur Um­set­zung der ersten Richt­li­nie für Netz- und In­for­ma­ti­ons­si­cher­heit gilt seit 2017 in Deutsch­land. Es be­schreibt be­stimm­te IT-Si­cher­heits­­an­­for­­de­run­­gen, Min­dest­stan­dards und Mel­de­pflich­ten, die Be­trei­ber so­ge­nann­ter kri­ti­scher In­fra­struk­tu­ren ein­hal­ten müssen.
Dazu gehören unter anderem Ein­rich­tun­gen aus den Bereichen

  • Energie- und Wasserversorger,
  • Ab­fall­wirt­schaft,
  • Ma­schi­nen­bau und Produktion,
  • Her­stel­lung und Handel mit che­mi­schen Stoffen,
  • Finanz- und Versicherungswesen,
  • Ge­sund­heits­we­sen,
  • Öf­fent­li­che Verwaltung,
  • Ver­wal­tung von IKT-Diensten,
  • Di­gi­ta­le In­fra­struk­tur und Di­gi­ta­le Dienste,
  • Welt­raum,
  • öf­fent­li­cher Nahverkehr,
  • Apo­the­ken,
  • For­schungs­ein­rich­tun­gen.
Wen be­trifft NIS 2?

Während NIS 1 für gut 4.000 große Un­ter­neh­men gilt, gehen Rechts­krei­se davon aus, dass mit NIS 2 rund 30.000 weitere Un­ter­neh­men in Deutsch­land die neuen IT-Si­cher­heits­­an­­for­­de­run­­gen er­fül­len müssen.

Zum einen werden die Bran­chen weiter gefasst, so dass künftig bei­spiels­wei­se auch Post- und Ku­rier­diens­te, Pro­du­zen­ten che­mi­scher Stoffe, Ma­schi­nen­bau­er oder An­bie­ter di­gi­ta­ler Dienste be­trof­fen sind. Zum anderen gilt NIS 2 bereits für Un­ter­neh­men mit mehr als 50 Mit­ar­bei­tern und einem Jah­res­um­satz von mehr als 10 Mil­lio­nen Euro.

Welche neuen Pflich­ten entstehen?

Im We­sent­li­chen erlegt die EU den Un­ter­neh­men zwei we­sent­li­che Pflich­ten auf. Erstens werden Maß­nah­men zum Ri­si­ko­ma­nage­ment ge­for­dert. Un­ter­neh­men müssen Kon­zep­te ent­wi­ckeln, um Cyber-An­­grif­­fe zu ver­mei­den oder im Falle eines Falles einen Not­be­trieb auf­recht­zu­er­hal­ten und so schnell wie möglich wieder ar­beits­fä­hig zu sein.

Zwei­tens müssen sie einen Prozess eta­blie­ren, um Vor­fäl­le zu­ver­läs­sig an die zu­stän­di­gen Auf­sichts­be­hör­den zu melden.

Was können Un­ter­neh­men vorbereiten?

Mit dem Gesetz wird ein aus­ge­wo­ge­nes Ver­hält­nis zwi­schen re­gu­la­to­ri­schen Ein­grif­fen auf der einen und der Stär­kung der Cyber-Re­­si­­li­enz auf der anderen Seite ge­schaf­fen. Un­ter­neh­men sollten jetzt be­gin­nen ihre Cyber-Abwehr durch Ri­si­ko­be­wer­tung und Schwach­stel­len­be­he­bung, z. B. durch Schutz von Konten mit Multi-Faktor-Au­­then­­ti­­fi­­zie­rung, Backups usw. zu verbessern.

Lesen Sie auch unseren Block­ar­ti­kel: Syn­er­gien zwi­schen DORA und DSGVO: Ein um­fas­sen­der Ansatz zur Datensicherheit. 
https://www.adorgasolutions.de/synergien-zwischen-dora-und-dsgvo-ein-umfassender-ansatz-zur-datensicherheit/ 

Quelle und weitere In­for­ma­tio­nen – Bun­des­amt für Si­cher­heit und In­for­ma­ti­ons­tech­nik (BSI): https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html

Be­ar­bei­tungs­stand Re­fe­ren­ten­ent­wurf des BMI vom 07.05.2024: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE.pdf?__blob=publicationFile&v=3

Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbst­ver­ständ­lich gerne zur Ver­fü­gung – per E-Mail consulting@adorgasolutions.de oder te­le­fo­nisch unter 0173 8198864. 

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!