NIS2 Umsetzungsgesetz (NIS2UmsuCG)

NIS2 Umsetzungsgesetz

Was Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie verpflichtet EU-Mitgliedsstaaten zur Umsetzung neuer Sicherheitsmaßnahmen und Meldepflichten für Unternehmen und Einrichtungen in kritischen Sektoren. Ziel ist eine Vereinheitlichung und Stärkung der Cybersicherheit in der gesamten Europäischen Union.

Damit die in NIS2 festgelegten Maßnahmen in Deutschland wirksam werden, wird die Richtlinie in nationales Recht überführt. Dies erfolgt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Wann Sie damit rechnen können und was die NIS2-Umsetzung für Ihre Unternehmen bedeutet, erfahren Sie hier.

Wann wird das NIS2-Umsetzungsgesetz veröffentlicht?

Die NIS2-Richtlinie wurde bereits Anfang 2023 durch die Europäische Union verabschiedet. Die Überführung in nationales Recht soll in allen Mitgliedsstaaten bis zum 17. Oktober 2024 erfolgen. So sollte auch das deutsche NIS2UmsuCG bereits im März 2024 veröffentlicht werden. Gemäß Vorgabe der EU soll es im Oktober 2024 in Kraft treten. Betroffene Unternehmen und wichtige Einrichtungen sind dann sofort daran gebunden.

Bislang sind mehrere Entwürfe an die Öffentlichkeit gelangt. Offiziell durch das Bundesministerium des Innern und für Heimat (BMI) veröffentlicht wurde jedoch lediglich ein Diskussionspapier vom 23.09.2023. Entwürfe darf das BMI nicht veröffentlichen, daher ist es schwierig einzuschätzen, wie der aktuelle Stand tatsächlich aussieht.

Der aktuellste bekannte Referentenentwurf erschien mit dem Bearbeitungsstand des 03.04.2024 und gelangte im Mai 2024 an die Öffentlichkeit. Die Fertigstellung und Veröffentlichung des NIS2UmsuCG wird sich jedoch noch weit über den 17. Oktober 2024 hinaus verzögern.

Wen betrifft das NIS2UmsuCG?

Wer im Einzelfall betroffen ist und wer nicht, wird erst mit der Verabschiedung des NIS2-Umsetzungsgesetzes abschließend definiert. So schließt das NIS2UmsuCG betroffene Sektoren ausdrücklich ein, macht zudem aber auch Ausnahmen, bspw. bei Unternehmen, die unmittelbar unter die DORA-Verordnung fallen. Zu beachten ist, dass Unternehmen nicht automatisch informiert werden, ob sie betroffen sind oder nicht. Stattdessen sind sie dazu verpflichtet, eigenständig zu prüfen, ob sie betroffen sind, und ihre Betroffenheit dann zu registrieren. Zudem kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheit bei Bedarf anordnen.

Durch NIS2 ist zunächst definiert, dass die Richtlinie Organisationen in „Sektoren mit hoher Kritikalität“ umfasst. Sie gilt auch für „sonstige kritische Sektoren“, die gewisse Schwellwerte überschreiten. Bei Unternehmen in „Sektoren mit hoher Kritikalität“ liegen diese Schwellenwerte bei 250 Mitarbeitenden. Andernfalls gelten sie bei mehr als 50 Millionen Euro Jahresumsatz. Alternativ gelten sie bei einer Bilanz von 43 Millionen Euro. Bei Unternehmen in „sonstigen kritischen Sektoren“ liegen die Schwellenwerte bei 50 Mitarbeitenden. Andernfalls gelten sie bei mehr als 10 Millionen Euro Jahresumsatz. Alternativ gelten sie bei einer Bilanz von 10 Millionen Euro.

Eine vollständige Übersicht über die betroffenen Sektoren finden Sie hier.

Auch wenn Ihr Unternehmen diese Schwellwerte nicht überschreitet, kann eine Betroffenheit nicht automatisch ausgeschlossen werden. Basierend auf den jeweiligen Begebenheiten und der Kritikalität einzelner Unternehmen, können diese als Sonderfall von NIS2 betroffen sein.

Wie viel Zeit wird benötigt, um die Anforderungen zu erfüllen?

Die Anforderungen, die durch NIS2 und das NIS2UmsuCG auf Betreiber kritischer Anlagen zukommen, sind vielseitig. Neben Maßnahmen zur Stärkung der Cybersicherheit werden unter anderem Konzepte zur Betriebskontinuität und Incident-Response-Pläne verlangt. Auch Zutrittskontrollsysteme und Maßnahmen zum Schutz der Lieferkette sind erforderlich. Eine genauere Auflistung der umzusetzenden Maßnahmen finden Sie hier.

Wie lange es im Einzelfall dauern wird, die Anforderungen des NIS2-Umsetzungsgesetzes zu erfüllen, kann nicht pauschal beantwortet werden. Entscheidend sind hier zum einen branchenspezifische Anforderungen, zum anderen die jeweiligen Gegebenheiten in Ihrem Unternehmen.

Sobald Sie wissen, dass Sie von NIS2 betroffen sind, empfiehlt sich daher die Durchführung eines Readiness Assessments. So können Sie herausfinden, wo Sie aktuell stehen. Außerdem erfahren Sie, welche Maßnahmen zur Erfüllung der Anforderungen noch umgesetzt werden müssen.

Fazit:

NIS2 Umsetzungsgesetz Referentenentwurf

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) stellt einen entscheidenden Schritt zur Erhöhung der Cybersicherheit in Deutschland dar. Durch die Überführung der NIS2-Richtlinie in nationales Recht werden Unternehmen und Einrichtungen in kritischen Sektoren verpflichtet. Sie müssen umfangreiche Maßnahmen zur Erhöhung der Sicherheit implementieren.

Derzeit sind mehrere Entwürfe in Umlauf, und die finale Version wird für Oktober 2024 erwartet. Unternehmen sollten proaktiv prüfen, ob sie betroffen sind, und entsprechende Maßnahmen zur Einhaltung der neuen Anforderungen einleiten. Ein frühzeitiges Readiness Assessment kann dabei helfen, die nötigen Schritte zur Erfüllung der Anforderungen herauszufinden und umzusetzen.
Kontakt anfragen

Ergänzender Hinweis zur Selbstmeldung beim BSI:

Ein zentraler Aspekt der NIS2-Richtlinie ist die Selbstmeldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Unternehmen, die in den Anwendungsbereich der NIS2 fallen, sind dazu verpflichtet, sich eigenständig beim BSI zu registrieren. Diese Pflicht betrifft vor allem Unternehmen aus kritischen Sektoren wie Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur und öffentliche Verwaltung. Darüber hinaus gilt die Meldepflicht für Unternehmen, die bereits unter die ursprüngliche NIS-Richtlinie fielen, sowie für Unternehmen mit mehr als 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro.

Die Selbstmeldung ermöglicht dem BSI, einen umfassenden Überblick über die betroffenen Unternehmen zu erhalten und eine effektive Kommunikation im Falle von Cybersicherheitsvorfällen sicherzustellen. Es ist wichtig zu beachten, dass die Verantwortung für diese Meldung vollständig bei den Unternehmen liegt – das BSI wird diesen Prozess nicht initiieren.

Bereitstellung von Kontaktdaten

Bei der Registrierung müssen Unternehmen detaillierte Kontaktdaten bereitstellen, darunter:

  • Den vollständigen rechtlichen Namen des Unternehmens.
  • Die Adresse der Hauptniederlassung sowie aller rechtlichen Niederlassungen innerhalb der EU.
  • Aktuelle Kontaktdaten, die funktionale E-Mail-Adressen (z.B. security@unternehmen.de), Telefonnummern, Notfall-Kontaktnummern sowie die Namen und Positionen der für Cybersicherheit verantwortlichen Personen umfassen.

Diese Informationen sind entscheidend, damit das BSI im Falle eines Sicherheitsvorfalls oder bei der Verbreitung wichtiger Sicherheitsinformationen schnell und gezielt mit den richtigen Ansprechpartnern in Kontakt treten kann.

Fristen und Aktualisierungen

Die Einhaltung der vorgegebenen Fristen ist essenziell, um den Anforderungen der NIS2-Richtlinie gerecht zu werden. Innerhalb von 12 Monaten nach Inkrafttreten der Richtlinie müssen alle relevanten Kontaktdaten an das BSI übermittelt werden. Sollten sich Änderungen an den Kontaktdaten, der Adresse oder den Ansprechpartnern ergeben, müssen diese innerhalb von 3 Monaten aktualisiert werden. Unternehmen sollten daher interne Prozesse etablieren, um diese Fristen zu überwachen und sicherzustellen, dass die beim BSI hinterlegten Informationen stets aktuell sind.

Freiwillige Meldungen

Ein weiterer wichtiger Punkt der NIS2-Richtlinie ist die Möglichkeit freiwilliger Meldungen. Unternehmen, die nicht in den obligatorischen Geltungsbereich fallen, können dennoch Cyber-Bedrohungen oder sicherheitsrelevante Vorfälle freiwillig an das BSI melden. Dies fördert den Informationsaustausch und die Zusammenarbeit im Bereich der Cybersicherheit. Freiwillige Meldungen tragen dazu bei, die allgemeine Sicherheitslage zu verbessern und andere Unternehmen vor potenziellen Bedrohungen zu warnen. Zudem können sich Unternehmen, die sich freiwillig beteiligen, die Ressourcen und das Expertenwissen des BSI zunutze machen, ohne den vollen regulatorischen Anforderungen zu unterliegen. Diese freiwillige Beteiligung unterstreicht den kollaborativen Ansatz der NIS2-Richtlinie zur Stärkung der Cybersicherheit in der gesamten EU.

Hier finden Sie weitere Beiträge zum Thema NIS2!

NIS2: Wer ist betroffen?

NIS2 Maßnahmen - Was müssen Unternehmen tun?

NIS2-Folgen: Unternehmen drohen hohe Bußgelder

NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen

NIS2 Security: Effiziente Angriffserkennung & Reporting

< Zurück zur Übersicht
Home | Insights | Blog | NIS2 Umsetzungsgesetz (NIS2UmsuCG)