Gültigkeit des Gesetzes: Die NIS-2-Richtlinie wurde am 14. Dezember 2022 verabschiedet und hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. In Deutschland erfolgt diese Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das nach dem Regierungswechsel voraussichtlich in der zweiten Jahreshälfte 2025 in Kraft treten wird. Alle nachfolgenden Angaben können sich daher ggf. nochmals ändern, da das NIS2UmsuCG von der aktuellen Regierung nochmals neu angepasst wird. Ziel: Stärkung der Cybersicherheit in der EU durch Erweiterung des Geltungsbereichs auf mehr Sektoren und Unternehmen sowie Einführung strengerer Sicherheitsanforderungen und Meldepflichten. Wesentliche Punkte: • Erweiterter Anwendungsbereich auf zusätzliche Sektoren wie Abfallwirtschaft, Lebensmittelproduktion und digitale Dienste. • Einführung von Sicherheitsanforderungen und Meldepflichten für betroffene Unternehmen. • Unterscheidung zwischen "wesentlichen" und "wichtigen" Einrichtungen mit unterschiedlichen Aufsichtspflichten. • Strengere Sanktionen bei Nichteinhaltung, einschließlich Bußgeldern und Haftung der Geschäftsführung. Wer ist betroffen (Unternehmensgröße und Umsatz): Unternehmen, welche als Wesentliche Einrichtungen oder Wichtige Einrichtungen kategorisiert werden können sowie alle bisherigen Kritis-Unternehmen fallen unter die NIS2. • Wesentliche Einrichtungen: o Wesentliche Einrichtungen sind Unternehmen mit mindestens 250 Beschäftigten oder einem Jahresumsatz von über 50 Mio. EUR und einer Jahresbilanzsumme von über 43 Mio. EUR. o Sektoren: Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt. • Wichtige Einrichtungen: o Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. EUR. o Sektoren: Abfallwirtschaft, Lebensmittelproduktion, digitale Dienste, Forschungseinrichtungen. To-Do-Liste für Unternehmen: 1. Prüfen, ob das Unternehmen unter den Anwendungsbereich der NIS-2-Richtlinie fällt. 2. Implementierung von Sicherheitsmaßnahmen gemäß den Anforderungen der Richtlinie. 3. Einrichtung eines Risikomanagementsystems für Netz- und Informationssysteme. 4. Schulung der Mitarbeiter in Bezug auf Cybersicherheit. 5. Einrichtung von Meldeverfahren für Sicherheitsvorfälle. Erste Schritte: • Durchführung einer Risikoanalyse der bestehenden IT-Infrastruktur. • Benennung eines Verantwortlichen für Informationssicherheit. • Identifizieren des Bedarfs von externer Unterstützung. • Bei Bedarf: Kontaktaufnahme mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für weitere Informationen und Unterstützung. Anmerkungen zur Vorbereitung und Umsetzung der NIS-2 aus der Praxis: Die NIS-2-Richtlinie (EU) sowie das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) haben die Aufgabe, das Sicherheitsniveau der Europäischen Wirtschaft, d.h. jedes einzelne für die Wirtschaft und den Standort Deutschland und EU wichtige Unternehmen konkurrenzfähiger zu machen und die Widerstandsfähigkeit der EU-Wirtschaft zu erhöhen. Diese Aufgabe obliegt die Unternehmen mit Unterstützung der jeweiligen Behörden. Die Behörden haben zudem die Aufgabe Sicherheitsvorfälle entgegenzunehmen und mit den anderen EU-Ländern abzugleichen. Dies dient dem frühen Erkennen von Angriffen und ermöglicht es den Behörden, die Unternehmen ggf. rechtzeitig zu warnen. Zudem hat die Behörde für die Umsetzung der NIS-2 zu sorgen (Prüfungen). Randnotiz: Die Behörden haben viel im Umgang und der Umsetzung von Compliance-Vorgaben gelernt. Es ist insbesondere bei der Umsetzung der NIS-2 ein erklärtes Anliegen der umzusetzenden Behörde, die Unternehmen zu unterstützen und ihnen Hilfe an die Hand zu geben. Machen Sie Gebrauch davon und beginnen Sie zeitnah! Es ist davon auszugehen, dass auf die jeweiligen Behörden eine hohe Belastung zukommen wird und Prüfungen nicht flächendeckend durchgeführt werden können. Ein geringeres Risiko geprüft zu werden, sollte für betroffene Unternehmen jedoch keine „Hoffnung“ darstellen, die Umsetzung der NIS-2 nur halbherzig oder verspätet durchzuführen. Denn sollte das Unternehmen einen relevanten Sicherheitsvorfall haben, muss es eine Meldung (gefolgt von einem Bericht) an die Behörde geben. Spätestens ab diesem Zeitpunkt ist das Unternehmen auf dem Schirm der Behörde; eine Meldung zu unterlassen ist selbstredend keine Option. Der Schutz ihres Unternehmens, ihrer Unternehmenswerte, ihrer Kunden, Geschäftsbeziehungen und ihrer Mitarbeiter sollte für Sie im Vordergrund stehen. Empfehlung zur NIS-2 aus der Praxis: Prüfen Sie, ob ihr Unternehmen unter die NIS-2 fällt. a. Fällt ihr Unternehmen unter die NIS-2, dann beginnen Sie sobald als möglich mit der Planung und Umsetzung (niemand wird erwarten, dass sofort alles perfekt umgesetzt ist) und beachten Sie auch die Abhängigkeiten mit der DSGVO, CRA, Data Act und dem AI-Act (siehe die anderen Artikel hier) und holen Sie sich Unterstützung damit Synergien besser genutzt und Ihre Mitarbeiter nicht unnötig belastet werden. b. Fällt ihr Unternehmen nicht unter die NIS-2, aber sind relevante Auftraggeber oder Kunden ihres Unternehmens von der NIS-2 betroffen, so beschäftigen Sie sich ebenfalls mit der NIS-2 und betrachten Sie insbesondere die Bereiche ihres Unternehmens und die Prozesse sowie Abläufe, welche ihre NIS-2 Kunden/Auftraggeber als sicherheitskritisch ansehen könnten (dabei sollten Sie auch an die Verfügbarkeit von Zulieferungen oder Dienstleistungen denken!).