Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie tritt das modernisierte Cybersicherheitsrecht in Deutschland am 6. Dezember offiziell in Kraft.

Bisher wurden rund 4.500 Organisationen durch das BSI-Gesetz reguliert. Mit dem Inkrafttreten des NIS-2-Gesetzes wurde jedoch der Anwendungsbereich des BSI-Gesetzes deutlich erweitert, sodass künftig etwa 29.500 Einrichtungen unter die Aufsicht des BSI fallen.

Neben Betreibern kritischer Infrastrukturen fallen ab sofort auch viele weitere Unternehmen unter die neuen Kategorien „wichtige“ und „besonders wichtige Einrichtungen“. Maßgeblich sind dabei die Branche sowie Schwellenwerte bei Mitarbeitenden, Umsatz und Bilanzsumme. Betroffene Organisationen müssen selbst prüfen, ob sie unter NIS 2 fallen.

Künftig gelten für sie zentrale Pflichten. Dazu zählen die Registrierung als NIS-2-Unternehmen, die Meldung erheblicher Sicherheitsvorfälle an das BSI sowie die Einführung, Umsetzung und Dokumentation von Risikomanagementmaßnahmen. KRITIS-Unternehmen gelten automatisch als besonders wichtige Einrichtungen.

Auch die Bundesverwaltung ist betroffen. Bundesbehörden und bestimmte öffentlich-rechtliche IT-Dienstleister müssen unter anderem IT-Risikomanagementmaßnahmen auf Basis des IT-Grundschutzes umsetzen und die BSI-Mindeststandards einhalten.

Der vollständige Gesetzestext ist im Bundesgesetzblatt veröffentlicht und hier abrufbar.