10 Gründe, wie Ihre IT neue Kunden anziehen kann!
Mehr erfahren

NIS-2: Das neue IT-Sicherheitsgesetz für Deutschland

Jonas Miedl
8 min
Aktualisiert:
14.6.24
Veröffentlicht:
27.6.24

Ab 2024 werden knapp 30.000 Unternehmen in Deutschland von dem neuen NIS2-Umsetzungsgesetz betroffen sein, das die IT-Sicherheit und Cybersicherheit auf ein neues Level hebt1. Die NIS-2-Richtlinie, die am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht wurde, muss bis Oktober 2024 in nationales Recht umgesetzt werden2. Für die betroffenen Unternehmen bedeutet dies einen signifikanten Anstieg der Security-Pflichten1.

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird voraussichtlich im März 2024 verkündet und ab Oktober 2024 in Kraft treten3. Es ersetzt die NIS-Richtlinie aus dem Jahr 2016 und erweitert die abgedeckten Sektoren, die nun in elf "wesentliche" und sieben "wichtige" Sektoren unterteilt sind23. Unternehmen müssen umfassende Risikomanagementmaßnahmen für die Cybersicherheit implementieren und höhere Anforderungen als zuvor erfüllen3.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält erweiterte Befugnisse, darunter Vor-Ort-Inspektionen, Sicherheitsscans, die Anforderung von Informationen von relevanten Institutionen, die Erteilung von Anweisungen und die Verhängung von Geldbußen bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes für wesentliche Einrichtungen23. Für wichtige Einrichtungen können die Bußgelder bis zu 7 Millionen Euro oder 1,4% des weltweiten Umsatzes erreichen, mit potenzieller persönlicher Haftung für Geschäftsführer und Vorstände3.

Als externe IT-Abteilung unterstützt MDSystec Unternehmen dabei, die Anforderungen der NIS-2-Richtlinie zu erfüllen und die IT-Sicherheit zu gewährleisten. Wir sind der richtige Ansprechpartner, wenn Sie über keine eigene IT-Abteilung verfügen, mit Ihrem aktuellen IT-Verantwortlichen unzufrieden sind oder einen dringenden IT-Notfall haben.

Kernpunkte

  • NIS-2-Richtlinie tritt ab 2024 in Kraft und betrifft knapp 30.000 Unternehmen in Deutschland
  • Signifikante Erhöhung der Security-Pflichten für betroffene Unternehmen
  • Erweiterung der Sektoren in elf "wesentliche" und sieben "wichtige" Bereiche
  • Umfassende Risikomanagementmaßnahmen für Cybersicherheit erforderlich
  • BSI erhält erweiterte Befugnisse, inklusive Inspektionen, Scans und Bußgelder

Einführung in NIS-2

Die NIS-2-Richtlinie, oder auch die "Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union", ist eine wichtige EU-Richtlinie zur Stärkung der Netzwerk- und Informationssicherheit. Sie wurde am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht und ist am 16.01.2023 in Kraft getreten4. Die Mitgliedsstaaten der EU müssen die Richtlinie bis Oktober 2024 in nationales Recht überführen4.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist die überarbeitete Version der ersten NIS-Richtlinie aus dem Jahr 2016. Sie zielt darauf ab, das Cybersicherheitsniveau innerhalb der Europäischen Union zu vereinheitlichen und zu erhöhen. Die Richtlinie schafft einen einheitlichen Rechtsrahmen für den Aufbau nationaler Kapazitäten im Bereich der Cybersicherheit und fördert die Zusammenarbeit zwischen den Mitgliedsstaaten.

Die NIS-2-Richtlinie gilt ab 2024 EU-weit und betrifft Unternehmen in 18 Sektoren, sofern sie mindestens 50 Mitarbeiter oder einen Umsatz von 10 Mio. Euro aufweisen5. In Deutschland werden schätzungsweise zwischen 29.000 und 40.000 Unternehmen von der Richtlinie erfasst6.

Ziele und Hintergründe der NIS-2-Richtlinie

Das Hauptziel der NIS-2-Richtlinie ist es, durch die Umsetzung eines systematischen Risikomanagements ein einheitliches Sicherheitsniveau zu erreichen und dadurch die Widerstandsfähigkeit der europäischen Infrastruktur gegenüber Cyberbedrohungen zu erhöhen6. Die Richtlinie berücksichtigt die zunehmende Digitalisierung und Vernetzung in vielen Bereichen der Gesellschaft und Wirtschaft sowie die damit verbundenen Risiken.

Die NIS-2-Richtlinie unterscheidet zwischen 11 "wesentlichen" (Essential) und 7 "wichtigen" (Important) Sektoren5. Zu den betroffenen Sektoren gehören unter anderem Energie, Transport, Gesundheit, digitale Infrastruktur und Abfallwirtschaft5. Einrichtungen in den Bereichen Verteidigung, nationale Sicherheit, Justiz und Zentralbanken sind von der Richtlinie ausgenommen5.

Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen ab 2024 verschärfte gesetzliche Anforderungen an die Informationssicherheit erfüllen5. Dazu gehören Themen wie Cyber-Risikomanagement, Kontrolle und Überwachung sowie der Umgang mit Zwischenfällen und die Gewährleistung der Geschäftskontinuität4. Die Nichteinhaltung der Vorgaben kann zu Bußgeldern von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes führen6.

Insgesamt zielt die NIS-2-Richtlinie darauf ab, das Cybersicherheitsniveau in der EU zu stärken, indem sie einheitliche Standards schafft, die Zusammenarbeit fördert und die Widerstandsfähigkeit kritischer Infrastrukturen erhöht. Sie berücksichtigt dabei die zunehmende Bedeutung der Cybersicherheit in einer digitalisierten Welt und die Notwendigkeit eines gemeinsamen Vorgehens auf europäischer Ebene.

Wesentliche Änderungen durch NIS-2

Die NIS-2-Richtlinie führt im Vergleich zur ersten NIS-Richtlinie aus dem Jahr 2016, die mit Wirkung vom 18.10.2024 aufgehoben wird, umfangreiche Änderungen ein7. Die neuen Anforderungen betreffen sowohl private als auch öffentliche Organisationen und sollen das Cybersicherheitsniveau innerhalb der EU vereinheitlichen und erhöhen7.

Ausweitung des Geltungsbereichs

Eine der wesentlichen Änderungen durch NIS-2 ist die Ausweitung des Geltungsbereichs. In Deutschland werden nun auch kleine und mittlere Institutionen erfasst, die bisher nicht von der NIS-1-Richtlinie betroffen waren8. Schätzungsweise sind bundesweit ca. 30.000 Unternehmen betroffen und müssen bis spätestens 18.10.2024 IT-Sicherheitsmaßnahmen umsetzen sowie Vorfälle melden8.

Neue Sektoren und Schwellenwerte

NIS-2 führt neue Sektoren ein, die als kritische Infrastrukturen gelten. Unternehmen aus Anhang I mit hoher Kritikalität umfassen Sektoren wie Energie, Verkehr, Bankwesen und Gesundheitswesen7. Anhang II nennt sonstige kritische Sektoren wie Post- und Kurierdienste, Produktion und Handel mit chemischen Stoffen sowie digitale Dienstleister7. Die NIS-2-Richtlinie deckt insgesamt 18 Sektoren ab, mit 11 "wesentlichen" und 7 "wichtigen" Sektoren5.

Neue Schwellenwerte definieren, welche Unternehmen als mittlere oder große Unternehmen gelten. Mittlere Unternehmen nach EU-Recht haben mindestens 250 Beschäftigte und einen Jahresumsatz von mehr als 50 Mio. Euro7. Ab 2024 müssen Unternehmen mit mindestens 50 Mitarbeitern und 10 Millionen Euro Umsatz die Mindeststandards für Cybersicherheit gemäß NIS-2 erfüllen5.

Verschärfte Sicherheitsanforderungen

Die Sicherheitsanforderungen werden durch NIS-2 deutlich verschärft. Dazu gehören ein mehrstufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen, die persönliche Haftung der Geschäftsleitung und erhöhte Sanktionen bei Verstößen7. Die maximale Geldbuße bei Verstößen gegen NIS-2 kann für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes betragen, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4% des Jahresumsatzes7.

Einrichtungstyp

Maximale Geldbuße

Wesentliche Einrichtungen

10 Mio. Euro oder 2% des weltweiten Jahresumsatzes

Wichtige Einrichtungen

7 Mio. Euro oder 1,4% des weltweiten Jahresumsatzes

Für neu betroffene Einrichtungen wird ein Kostenanstieg von 22% erwartet, während bereits durch NIS-1 regulierte Einrichtungen mit einem Anstieg von 12% rechnen7. Experten prognostizieren eine ähnlich große Auswirkung auf Unternehmen wie die Einführung der DSGVO im Jahre 20187.

Betroffene Unternehmen und Einrichtungen

Die Umsetzung der NIS-2-Richtlinie in Deutschland ab 2024 wird voraussichtlich rund 30.000 Unternehmen betreffen, von denen bislang nur etwa 40 Prozent angemessene Maßnahmen ergriffen haben9. Dabei unterscheiden wir drei Hauptgruppen: Betreiber kritischer Anlagen (KRITIS), besonders wichtige Einrichtungen und wichtige Einrichtungen10.

Für allgemeinere Informationen zur IT-Sicherheit in Unternehmen gibt es mehr Infos in diesem Blog von uns
IT Sicherheitsberatung für Ihr Unternehmen

Betreiber kritischer Anlagen (KRITIS)

Betreiber kritischer Infrastrukturen (KRITIS) werden unter NIS-2 zu Betreibern kritischer Anlagen und gelten automatisch als besonders wichtige Einrichtungen10. Die Einstufung als KRITIS-Anlage erfolgt weiterhin nach der bewährten Methodik basierend auf Sektoren, kritischen Dienstleistungen und Anlagen, die bestimmte Schwellenwerte überschreiten (≥ 500.000 versorgte Personen)10. Insgesamt werden 4.693 KRITIS-Betreiber und Anbieter digitaler Dienste erwartet9.

Besonders wichtige Einrichtungen

Zu den besonders wichtigen Einrichtungen zählen Großunternehmen aus den in Anhang 1 der NIS-2-Richtlinie genannten Sektoren sowie einige Unternehmen unabhängig von ihrer Größe10. Maßgeblich sind hier Faktoren wie Mitarbeiterzahl oder Jahresumsatz und Bilanzsumme10. Insgesamt wird mit rund 8.100 besonders wichtigen Einrichtungen gerechnet, darunter etwa 3.400 neue Einrichtungen zusätzlich zu den KRITIS-Betreibern9.

Wichtige Einrichtungen

Als wichtige Einrichtungen gelten sowohl große als auch mittlere Unternehmen aus den in Anhang 1 und 2 der NIS-2-Richtlinie aufgeführten Sektoren10. Ausschlaggebend sind auch hier Kriterien wie Mitarbeiterzahl oder Jahresumsatz und Bilanzsumme10. Es wird erwartet, dass rund 20.900 Unternehmen in diese Kategorie fallen werden9.

Einrichtungstyp

Anzahl

Kriterien

Betreiber kritischer Anlagen (KRITIS)

4.693

Sektoren, kritische Dienstleistungen, Schwellenwerte (≥ 500.000 versorgte Personen)

Besonders wichtige Einrichtungen

8.100 (inkl. 3.400 neue)

Großunternehmen bestimmter Sektoren, teilweise größenunabhängig

Wichtige Einrichtungen

20.900

Große und mittlere Unternehmen vieler Sektoren

Die Einstufung der Unternehmen erfolgt anhand spezifischer Sektoren und Unternehmensgrößen, wobei Faktoren wie Mitarbeiterzahl, Jahresumsatz und Bilanzsumme eine entscheidende Rolle spielen10. Zu den betroffenen Sektoren gehören unter anderem Energie, Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasserversorgung, IT und Telekommunikation, Raumfahrt, Abfallentsorgung, verarbeitendes Gewerbe, Chemie und Forschungseinrichtungen10. Die jährlichen Compliance-Kosten werden voraussichtlich um rund 1,65 Milliarden Euro steigen, wobei einmalig etwa 1,37 Milliarden Euro speziell für die Wirtschaft anfallen9. Diese Kosten entstehen hauptsächlich durch die Umsetzung oder Anpassung digitaler Prozesse, während die Verwaltungskosten für Informationspflichten rund 121 Millionen Euro betragen9.

NIS-2 und die Cybersicherheitsanforderungen

Die NIS-2-Richtlinie stellt umfassende Anforderungen an die Cybersicherheit der betroffenen Unternehmen in 18 Sektoren, die ab 2024 Mindeststandards für die Informationssicherheit umsetzen müssen5. Zwischen 29.000 bis 40.000 Unternehmen in Deutschland könnten von der NIS-2 betroffen sein, die den Kreis der regulierten Unternehmen im Vergleich zur vorherigen NIS Directive erhöht11. Die Richtlinie gilt für Unternehmen mit mindestens 50 Mitarbeitern und 10 Millionen Euro Umsatz54.

Zu den Anforderungen gehören Maßnahmen zum Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, Registrierungspflichten, technische Sicherheitsmaßnahmen und Governance-Anforderungen. Unternehmen müssen unter anderem Maßnahmen im Risikomanagement, Vorfallsbewältigung, Business Continuity, Supply Chain Sicherheit, Einkauf von IT-Systemen und Kryptografie umsetzen, um den NIS-2 Standards zu entsprechen11. Laut der PwC-Studie "Digital Trust Insights 2023" erlitten 30% der befragten Unternehmen Datenverluste in Millionenhöhe durch Cyberangriffe5.

Für Betreiber kritischer Anlagen besteht eine Nachweispflicht alle drei Jahre, für Einrichtungen eine Dokumentationspflicht und stichprobenartige Überprüfungen durch Behörden. "Besonders wichtige" Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren11. Die Geschäftsführung von Betreibern Kritischer Infrastruktur muss die Einhaltung der NIS-2-Anforderungen überwachen11. Bei Verletzung der Überwachungspflichten haftet ein Geschäftsleiter für entstandene Schäden4.

Die staatlichen Befugnisse werden durch mehr Registrierungen, Nachweise und Meldepflichten erweitert. Für besonders wichtige Einrichtungen können Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden4. Sanktionen für wichtige Einrichtungen können bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes betragen411.

Kategorie

Anforderungen

Risikomanagement

Identifizierung und Bewertung von Cyberrisiken, Implementierung von Schutzmaßnahmen

Meldepflichten

Meldung erheblicher Sicherheitsvorfälle an zuständige Behörden

Registrierung

Registrierung beim BSI für "besonders wichtige" Einrichtungen

Technische Maßnahmen

Umsetzung von Sicherheitsmaßnahmen für IT-Systeme, Netzwerke, Kryptografie

Governance

Überwachung der NIS-2-Compliance durch Geschäftsführung, Haftung bei Verstößen

Nachweispflicht

Alle 3 Jahre für Betreiber kritischer Anlagen

Dokumentationspflicht

Für Einrichtungen, stichprobenartige behördliche Überprüfungen

Die Implementierung und Überwachung der NIS-2-Standards wird für viele Unternehmen eine komplexe und zeitintensive Aufgabe sein11. Laut der Studie "Digital Trust Insights 2023" berichteten 38% der Befragten von unklaren Verantwortlichkeiten und Zuständigkeiten in der OT- und IT-Sicherheit, während 37% einen Mangel an Risikobewertung und Folgenabschätzung beklagten5. Unternehmen müssen daher ein Informationssicherheitsmanagementsystem (ISMS) implementieren, um den gesetzlichen Anforderungen zu entsprechen11.

Wir als MDSystec unterstützen Sie gerne bei der Vorbereitung auf die NIS-2-Anforderungen. Als externe IT-Abteilung übernehmen wir für Sie die Umsetzung der geforderten technischen und organisatorischen Maßnahmen. Unser erfahrenes Team steht Ihnen mit Kompetenz und Know-how zur Seite, um die Cybersicherheit in Ihrem Unternehmen zu stärken und die Compliance sicherzustellen. Kontaktieren Sie uns, um gemeinsam Ihre individuelle NIS-2-Strategie zu entwickeln.

Umsetzung von NIS-2 in Deutschland

Die NIS-2-Umsetzung in Deutschland erfolgt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), welches derzeit als Referentenentwurf vorliegt und sich in der Ressortabstimmung befindet. Das NIS2UmsuCG wird voraussichtlich am 18.10.2024 in Kraft treten, um die Verpflichtungen der NIS-2-Richtlinie fristgerecht bis zum 17.10.2024 umzusetzen12. Mit der Einführung des Gesetzes werden das BSI-Gesetz und die KRITIS-Verordnung merklich beeinflusst, was in Kombination mit dem KRITIS-Dachgesetz zu einem signifikanten Anstieg der registrierungspflichtigen Institutionen führen wird.

NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Das NIS2-Umsetzungsgesetz betrifft knapp 30.000 Unternehmen in Deutschland1. Besonders wichtige Einrichtungen müssen mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. € aufweisen12. Mittlere Unternehmen mit über 50 Mitarbeitern oder einem Umsatz über 10 Mio. EUR werden als wichtige Einrichtungen betrachtet1. Wichtige Einrichtungen sind Unternehmen, die zwischen 50 und 249 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. € aufweisen12. Betreiber kritischer Anlagen umfassen Sektoren wie Energie, Transport/Verkehr, Finanzen/Versicherungen usw.1.

Verpflichtungen und Sanktionen

Die NIS2-Umsetzung beinhaltet erweiterte Verpflichtungen und Sanktionsvorschriften für Unternehmen1. Registrierungen, Nachweise und Meldepflichten nehmen für Unternehmen durch das Gesetz zu1. Für Betreiber kritischer Anlagen (KRITIS) besteht eine Nachweispflicht bezüglich der NIS-2-Richtlinie, die alle drei Jahre erneuert werden muss112. Ein dreistufiges Meldesystem für Sicherheitsvorfälle ist vorgesehen12. Das BSI kann bei besonders wichtigen Einrichtungen anlasslose Kontrollen durchführen12.

Bei Verstößen gegen das NIS2-Umsetzungsgesetz drohen Bußgelder zwischen 100.000 und 20 Mio. EUR1. Für Unternehmen, die den Pflichten der NIS-2-Richtlinie nicht nachkommen, können Bußgelder bis zu 10 Mio. € oder 2% des weltweiten Gesamtumsatzes betragen12. Für wichtige Einrichtungen und KRITIS-Unternehmen können Sanktionen bis zu 7 Mio. € oder 1,4% des Jahresumsatzes verhängt werden12. Geschäftsführer haften bei Nichterfüllung der Anforderungen mit ihrem Privatvermögen, wobei die Obergrenze bei 2% des weltweiten Jahresumsatzes des Unternehmens liegt12.

Unternehmenskategorie

Kriterien

Verpflichtungen

Sanktionen

Besonders wichtige Einrichtungen

mind. 250 MA oder Umsatz > 50 Mio. €, Bilanz > 43 Mio. €

Risikomanagement, Meldepflichten, Registrierung, Nachweise

bis 10 Mio. € oder 2% des Umsatzes

Wichtige Einrichtungen

50-249 MA oder Umsatz > 10 Mio. €, Bilanz > 10 Mio. €

Risikomanagement, Meldepflichten, Registrierung, Dokumentation

bis 7 Mio. € oder 1,4% des Umsatzes

KRITIS-Betreiber

Anlagen in Sektoren wie Energie, Transport, Finanzen etc.

Nachweispflicht alle 3 Jahre, Meldepflichten

bis 20 Mio. € oder 2% des Umsatzes

Die NIS2-Umsetzung beinhaltet umfassende Anforderungen an Betreiber und Einrichtungen wie Risikomanagement, Meldepflichten, Registrierung und Nachweise1. Ein Mapping von NIS2 auf ISO 27001 wird vorgeschlagen, um die Umsetzung für Einrichtungen zu erleichtern1. MDSystec als externe IT-Abteilung unterstützt Sie gerne bei der Erfüllung der NIS2-Anforderungen, sei es im Rahmen eines längerfristigen Betreuungsvertrags oder auch in akuten IT-Notfällen.

Vorbereitung auf NIS-2

Um die Anforderungen der NIS-2-Richtlinie zu erfüllen, die im Oktober 2024 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland in Kraft tritt13, müssen sich betroffene Unternehmen frühzeitig vorbereiten. Das nationale Umsetzungsgesetz zu NIS-2 soll am 18. Oktober 2024 in Kraft treten14. Etwa 5.000 bis 6.000 KRITIS-Betreiber und rund 30.000 weitere Einrichtungen in Deutschland werden von den neuen Anforderungen betroffen sein13. Unternehmen in bestimmten Sektoren könnten bereits ab 50 Mitarbeitern von der NIS-2-Richtlinie betroffen sein14.

Risikomanagement und Informationssicherheit

Ein wesentlicher Bestandteil der Vorbereitung ist die Einführung eines Informationssicherheitsmanagementsystems (ISMS) zum Management von Cyberrisiken. Betriebe, die von NIS-2 betroffen sind, müssen die Norm ISO 27001 umsetzen14. Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um Sicherheitsrisiken zu beherrschen gemäß der NIS-2-Richtlinie13. Dazu gehört auch die Prüfung genutzter Lieferketten und die regelmäßige Erneuerung von Zertifikaten14.

Eine Fit-Gap-Analyse kann Unternehmen helfen, offene Maßnahmen zu identifizieren und die entsprechenden Lücken bis Oktober 2024 zu schließen13. Es ist wichtig, interne Abteilungen und Personen zu identifizieren, die von NIS-2 betroffen sein könnten und sie regelmäßig auf demselben Stand zu halten14.

Zusammenarbeit mit Behörden

Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für betroffene Unternehmen erforderlich14. Gemäß NIS-2 müssen Cybersicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden und innerhalb von 72 Stunden bewertet werden14. Ein ausführlicher Bericht zu Cybersicherheitsvorfällen muss innerhalb von einem Monat an die Meldebehörde gesendet werden14.

Eine zentrale KRITIS-Organisation kann helfen, die zahlreichen Pflichten zu koordinieren und zu steuern. Eine enge Zusammenarbeit mit den zuständigen Behörden wie dem BSI ist dabei unerlässlich. Wir von MDSystec unterstützen Sie als externe IT-Abteilung bei der Vorbereitung auf NIS-2 und der Erfüllung der Anforderungen.

Fazit

Die NIS-2-Richtlinie stellt eine bedeutende Weiterentwicklung der Cybersicherheit in Deutschland dar und erfordert eine enge Kooperation zwischen Staat und Wirtschaft, um den wachsenden Herausforderungen im Bereich der IT-Sicherheit effektiv zu begegnen. Mit der Umsetzung der Richtlinie in nationales Recht bis zum 17. Oktober 202415 werden nicht nur die Befugnisse des BSI erweitert, sondern auch harmonisierte europäische Mindestsicherheitsstandards etabliert und eine Kriseninfrastruktur für schnelle transnationale Unterstützung aufgebaut16.

Für Unternehmen in essenziellen Sektoren wie Energie, Finanzen, Gesundheit und öffentliche Verwaltung sowie in wichtigen Sektoren wie Logistik, Abfallwirtschaft, Lebensmittel und Forschung16 bedeutet dies die Umsetzung eines Mindestsicherheitsstandards durch Risikomanagementkonzepte16. Die Einführung von sektorspezifischen Klassifizierungen als essenziell und wichtig zielt darauf ab, die Implementierung definierter Sicherheitsmaßnahmen branchenübergreifend zu erleichtern16.

Wir bei MDSystec sind davon überzeugt, dass die NIS-2-Richtlinie einen wichtigen Schritt in Richtung einer verbesserten Cybersicherheit darstellt. Als externe IT-Abteilung unterstützen wir Unternehmen dabei, die Anforderungen der Richtlinie zu erfüllen und ihre Widerstandsfähigkeit gegenüber digitalen Angriffen zu stärken. Gemeinsam können wir die Herausforderungen meistern und dazu beitragen, dass Deutschland seiner Vorreiterrolle innerhalb der EU auf dem Gebiet der Cybersicherheit gerecht wird.

FAQ

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie wurde am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht und muss bis Oktober 2024 in nationales Recht umgesetzt werden. Die NIS-2-Richtlinie ist eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 und soll das Cybersicherheitsniveau innerhalb der EU vereinheitlichen und erhöhen.

Welche Unternehmen und Einrichtungen sind von NIS-2 betroffen?

Die von NIS-2 betroffenen Unternehmen in Deutschland bestehen aus drei Hauptgruppen: Betreiber kritischer Anlagen (bisherige KRITIS-Betreiber), besonders wichtige Einrichtungen und wichtige Einrichtungen. Die Einstufung erfolgt nach Unternehmensgröße und Sektorzugehörigkeit. Besonders wichtige Einrichtungen sind Großunternehmen bestimmter Sektoren sowie einige Unternehmen unabhängig ihrer Größe. Wichtige Einrichtungen sind Großunternehmen und mittlere Unternehmen in vielen Sektoren.

Welche Anforderungen stellt NIS-2 an die Cybersicherheit der betroffenen Unternehmen?

Die NIS-2-Richtlinie stellt umfassende Anforderungen an die Cybersicherheit der betroffenen Unternehmen. Dazu gehören Maßnahmen zum Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, Registrierungspflichten, technische Sicherheitsmaßnahmen und Governance-Anforderungen. Für Betreiber kritischer Anlagen besteht eine Nachweispflicht alle drei Jahre, für Einrichtungen eine Dokumentationspflicht und stichprobenartige Überprüfungen durch Behörden.

Wie wird NIS-2 in Deutschland umgesetzt?

Die Umsetzung der NIS-2-Richtlinie erfolgt in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es liegt als Referentenentwurf vor und befindet sich derzeit in der Ressortabstimmung. Das NIS2UmsuCG wird das BSI-Gesetz und die KRITIS-Verordnung merklich beeinflussen und in Kombination mit dem KRITIS-Dachgesetz zu einem signifikanten Anstieg der registrierungspflichtigen Institutionen führen.

Welche Sanktionen drohen bei Verstößen gegen NIS-2?

Das NIS2UmsuCG sieht deutlich verschärfte Sanktionen bei Verstößen vor, die sich an denen der DSGVO orientieren und bis zu 20 Millionen Euro oder 2% des Jahresumsatzes betragen können.

Wie können sich Unternehmen auf NIS-2 vorbereiten?

Um die Anforderungen der NIS-2-Richtlinie zu erfüllen, müssen sich betroffene Unternehmen frühzeitig vorbereiten. Dazu gehört die Identifizierung kritischer Dienstleistungen, Anlagen und Komponenten, die Registrierung beim BSI, die Benennung einer Kontaktstelle, die Erfüllung von Meldepflichten bei Sicherheitsvorfällen sowie die Einführung eines Informationssicherheitsmanagementsystems (ISMS) zum Management von Cyberrisiken. Eine zentrale KRITIS-Organisation kann helfen, die zahlreichen Pflichten zu koordinieren und zu steuern.

Quellenverweise

  1. https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
  2. https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html
  3. https://www.wbs.legal/it-und-internet-recht/die-nis-2-richtlinie-und-ihre-umsetzung-2024-ein-ueberblick-ueber-die-auswirkungen-auf-deutsche-unternehmen-71199/
  4. https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html
  5. https://www.secjur.com/blog/fur-wen-gilt-nis2
  6. https://www.secjur.com/blog/was-ist-nis2
  7. https://www.datenschutz-notizen.de/nis-2-welche-aenderungen-bringt-die-neue-eu-richtlinie-fuer-cybersicherheit-3142463/
  8. https://www.ihk-muenchen.de/de/Service/Digitalisierung/Informationssicherheit/NIS-2-Kritis/
  9. https://alter-solutions.de/allgemein/die-nis-2-richtlinie-welche-unternehmen-sind-betroffen/
  10. https://www.openkritis.de/it-sicherheitsgesetz/einrichtungen-unternehmensgroesse-nis2.html
  11. https://i-unit.group/2023/12/11/ab-2024-neue-cybersicherheitsanforderungen-fuer-unternehmen-durch-nis-2-richtlinie/
  12. https://www.dhpg.de/de/newsroom/blog/nis-2-richtlinie-umsetzung
  13. https://www.all-about-security.de/vorbereitung-auf-nis-2-10-praktische-tipps-fuer-unternehmen-und-institutionen/
  14. https://it-tuv.com/vorbereitung-nis-2/
  15. https://www.acp-gruppe.com/de-de/blog/nis2-was-sie-jetzt-tun-sollten
  16. https://www.akademie-herkert.de/neuigkeiten-fachwissen/datenschutz-it-sicherheit/nis2

Kostenloses Whitepaper holen:
25-Punkte-Checkliste für Ihre IT

IT-Strategie & IT-Sicherheit

IT-Strukturen & Datenmanagement

Jetzt Whitepaper downloaden
Kostenlose Analyse holen:
Wir überprüfen Ihre IT-Security
 100%  kostenfreier Security Check

Jetzt kostenfrei anmelden und wir überprüfen Ihr Sicherheitskonzept.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Fundierte Analyse mit Auswertung

Handlungsempfehlung & Beratung

Security-Check vereinbaren
Worauf warten Sie noch?

Kontaktieren Sie uns

Antwort via Live-Chat von echten Mitarbeiten
Chat öffnen
Kostenloser Beratungstermin
Termin buchen
Rufen Sie uns kurz für eine Beratung an
+49 (0) 8725 964 910
Jetzt kostenfreien IT- Security Check anfragen
Security Check
Kontaktieren Sie uns gerne per WhatsApp
WhatsApp öffnen
Senden Sie uns Ihre Anfrage per Mail
info@mdsystec.de
100% verschlüsselte Anfrage
Zertifiziert nach DIN ISO:9001 und 27001
Ein definierter Ansprechpartner
Johannes Meier, Michael Frohn, Florian Müller, Norbert Thomsen
und 100 andere Geschäftsführer vertrauen MDSYSTEC Ihre IT an.