Was ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG)?
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) stellt die nationale Umsetzung der überarbeiteten EU-Richtlinie zur Netz- und Informationssicherheit (NIS-2-Richtlinie) dar. Es bildet somit den Rahmen für eine kohärente Umsetzung der NIS-2-Richtlinie in Deutschland und unterstützt die Resilienz kritischer Infrastrukturen gegenüber Cyberbedrohungen.
Zentrales Ziel des NIS2UmsuCG ist es, ein hohes und einheitliches Cybersicherheitsniveau innerhalb der Europäischen Union zu gewährleisten. Die Regulierung definiert für Einrichtungen von essenzieller und hoher Relevanz, darunter Sektoren wie Energie, Verkehr und Gesundheitswesen, strengere Anforderungen an die Informationssicherheit.
Unternehmen und öffentliche Verwaltungen sind durch das NIS2UmsuCG verpflichtet, Maßnahmen zum Risikomanagement umzusetzen und Sicherheitsvorfälle verbindlich zu melden. Zudem wird die Zusammenarbeit zwischen den EU-Mitgliedsstaaten im Bereich der Cybersicherheit gestärkt, um Bedrohungen gemeinsam effektiver begegnen zu können.
Alle wichtigen Infos auf einen Blick:
- Ziel: Einführung eines hohen Cybersicherheitsstandards in Deutschland sowie in der gesamten EU.
- Verpflichtung zur Umsetzung umfassender Risikomanagementmaßnahmen und zur schnellen Meldung von Sicherheitsvorfällen
- Fokussierung auf kritische Sektoren wie Energie, Transport und Gesundheitswesen.
- Neue Anforderungen und Aufsichtsmaßnahmen, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kontrolliert werden.
- Einführung eines dreistufigen Meldesystems zur Optimierung der Meldepflichten.
- Erweiterte Verantwortlichkeit für die Geschäftsführung und potenziell hohe Bußgelder bei Nichteinhaltung.
Was bedeutet das NIS2UmsuCG für Unternehmen?
Die Umsetzung des NIS2UmsuCG bringt für betroffene Unternehmen klare Pflichten und Anforderungen mit sich. Zentrale Vorgabe des NIS2UmsuCG ist die Einführung eines umfassenden Risikomanagements, das sowohl technische als auch organisatorische Maßnahmen umfasst. Dazu gehören unter anderem der Schutz von Netzwerken, die Einführung strenger Zugangskontrollen und der Einsatz moderner Verschlüsselungstechnologien.
Darüber hinaus sind die betroffenen Unternehmen dazu verpflichtet, Sicherheitsvorfälle innerhalb enger Fristen zu melden, um eine schnelle und koordinierte Reaktion sicherzustellen. Um auch bei Störungen handlungsfähig zu bleiben, sind zudem Pläne zur Geschäftskontinuität und Notfallmaßnahmen erforderlich. Eine ausführlichere Darstellung der Anforderungen an das NIS2UmsuCG können Sie hier nachlesen.
Pflicht und Chance zugleich: Die Kernpunkte des NIS2UmsuCG
In dem vorliegenden Referentenentwurf vom 02. Oktober 2024 werden die folgenden Kernpunkte des NIS2UmsuCG festgelegt:
- Eine wesentliche Modifikation des Gesetzes besteht in der Ausweitung des Anwendungsbereichs. Diesbezüglich werden die Anforderungen auf eine breitere Auswahl an Einrichtungen und Unternehmen ausgedehnt, insbesondere auf solche, die als "besonders wichtige" oder "wichtige" Einrichtungen kategorisiert werden. Die genannten Kategorien umfassen neben traditionellen Sektoren wie Energie und Transport auch digitale Dienste und Unternehmen, die als "im besonderen öffentlichen Interesse" eingestuft werden.
- Ein dreistufiges Meldesystem ersetzt das bisherige einstufige System zur Meldung von Sicherheitsvorfällen. Dies führt zu einer Reduktion des bürokratischen Aufwands und erlaubt eine präzisere Einordnung der Vorfälle, was eine Optimierung der Meldepflichten zur Folge hat.
- Des Weiteren werden die Befugnisse des BSI erweitert. Das BSI erhält zusätzliche Aufsichtsmaßnahmen, die eine gezielte Kontrolle der Umsetzung der Sicherheitsanforderungen ermöglichen. Diese Änderungen orientieren sich an ähnlichen Strukturen wie im Bereich der EU-Datenschutz-Grundverordnung (DSGVO) und beinhalten auch die Festlegung klarer Sanktionen bei Verstößen (2013184).
- Zusätzlich soll eine zentrale Stelle für Informationssicherheit auf Bundesebene eingerichtet werden. Die Etablierung eines Chief Information Security Officers (CISO) auf Bundesebene dient der zentralen Koordination der Informationssicherheit in der Bundesverwaltung. Der CISO ist für die Unterstützung der Ressorts bei der Umsetzung und Wahrung von Sicherheitsvorgaben verantwortlich.
Umsetzungsfristen und Konsequenzen bei Nichteinhaltung
Ursprünglich war der 17. Oktober als Stichtag für die Umsetzung des NIS2UmsuCG vorgesehen, doch dieser Termin wurde überschritten. Die Einführung der Maßnahmen ist nun für das Jahr 2025 vorgesehen. Dies gibt Unternehmen ausreichend Zeit, um die Vorgaben des NIS2UmsuCG vollständig umzusetzen.
Wichtig zu beachten ist, dass das NIS2UmsuCG keine Übergangsfristen vorsieht. Ab dem Inkrafttreten des Gesetzes können bei Nichteinhaltung Sanktionen und Bußgelder verhängt werden. Unternehmen sind daher angehalten, frühzeitig die notwendigen Sicherheitsmaßnahmen zu ergreifen, um den Anforderungen des NIS2UmsuCG gerecht zu werden und rechtliche sowie finanzielle Risiken zu vermeiden.
Anforderungen des NIS2UmsuCG überprüfen
Mit unserem NIS 2 & IT Security Quick Check können Sie nun überprüfen, ob Ihr Unternehmen die Vorgaben des NIS-2-Umsetzungsgesetzes bereits erfüllt und in welchen Bereichen noch Handlungsbedarf besteht.
Empfehlungen und Maßnahmen zur Einhaltung des NIS2UmsuCG
Die Einhaltung der Anforderungen des NIS2UmsuCG setzt eine strukturierte Vorgehensweise voraus. Der erste Schritt besteht für Unternehmen zunächst darin, den aktuellen Stand ihrer Sicherheitsmaßnahmen zu überprüfen. Hierfür empfehlen wir unseren NIS 2 & IT Security Check, der als fundierte erste Analyse den Status quo ermittelt.
Auf Grundlage dieser Ergebnisse können gezielte technische und organisatorische Maßnahmen umgesetzt werden, darunter effektive Zugangskontrollen und regelmäßige Risikobewertungen. Als erfahrene IT-Dienstleister unterstützen wir Sie in jeder Phase – von der Planung bis zur Umsetzung eines individuellen Cybersicherheitskonzepts.
Gemeinsam entwickeln wir Strategien, um die Anforderungen des NIS2UmsuCG zu erfüllen und gleichzeitig Ihre IT-Sicherheit nachhaltig zu stärken.
Anpassung weiterer Gesetze durch das Inkrafttreten des NIS2UmsuCG
Die Verabschiedung des NIS2UmsuCG, auch bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, führt zu Anpassungen in verschiedenen bestehenden Gesetzgebungen, insbesondere im Telekommunikationsgesetz und im Energiewirtschaftsgesetz.
Telekommunikationsgesetz
Im Zuge der NIS-2-Umsetzung erfolgt eine Ergänzung des Telekommunikationsgesetzes um Klarstellungen sowie neue Sicherheitsanforderungen. Telekommunikationsanbieter sind nun verpflichtet, Maßnahmen einzuführen, die den hohen Sicherheitsstandards der NIS-2-Richtlinie entsprechen. Besonders relevant ist die Angleichung der Sicherheitsstandards für Telekommunikationsdienste und -netze.
Die jüngsten Modifikationen lassen die Vermutung zu, dass ein neuer Sicherheitskatalog für die Telekommunikationsbranche seitens der Bundesnetzagentur (BNetzA) nicht unbedingt erforderlich sein wird. Dennoch bleibt die Einhaltung der neuen Vorgaben ein zentraler Punkt für die Branche.
Energiewirtschaftsgesetz
Auch das Energiewirtschaftsgesetz wird an die NIS-2-Vorgaben angepasst. Die neuen Regelungen setzen aktualisierte Sicherheitsanforderungen für Energieversorger durch und betonen eine enge Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der BNetzA.
Während die Registrierung und Einhaltung der Nachweispflichten bei der BNetzA liegen, erfolgt die Meldung von Sicherheitsvorfällen direkt an das BSI. Um die Anforderungen der NIS-2-Richtlinie zu erfüllen, wird die BNetzA ihre IT-Sicherheitskataloge entweder überarbeiten oder neu auflegen.
Quellen:
BMI – Gesetzgebungsverfahren – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
Das NIS2-Umsetzungsgesetz NIS2UmsuCG – OpenKRITIS
Deutscher Bundestag – Anhörung zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz