NIS2

Am 22.07.2024 wurde der Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vom Bundeskabinett beschlossen. Es folgt das parlamentarische Verfahren, für welches das Bundesministerium des Innern und für Heimat (BMI) verantwortlich ist. Mit dem Gesetz soll die EU-Richtlinie in Deutschland umgesetzt werden. Klicke hier, um den Regierungsentwurf mit Stand vom 22.07.2024 anzusehen

In Österreich ist das NIS2-Umsetzungsgesetz (NISG 2024) im Nationalrat an der Ablehnung der Oppositionsparteien gescheitert. Als Gründe wurden die mangelnde Einbeziehung der Opposition sowie die befürchtete Machtfülle des Bundesinnenministeriums genannt. Es ist nicht abzusehen, ob im Herbst noch eine Einigung möglich sei. Weitere Informationen

Dass der 17. Oktober 2024 für die Umsetzung der NIS2-Richtlinie gehalten werden kann, ist unwahrscheinlich. Mit einer möglichen Verabschiedung des Gesetzes ist in Deutschland zu Beginn des Jahres 2025 zu rechnen. Eine Übergangsfrist ist nicht geplant.

Der Anwendungsbereich der NIS2-Richtlinie geht weit über die bisher bekannten kritischen Infrastrukturen (KRITIS) hinaus. Unternehmen fallen dann in den Anwendungsbereich der NIS2, wenn sie

• den definierten Schwellenwerten entsprechen,
• in den in NIS2 aufgeführten 18 Wirtschaftssektoren tätig sind und/oder
• Dienste im Zusammenhang der Netzwerk- und Informationssicherheit erbringen.

Grundsätzlich findet NIS2 Anwendung für mittlere Unternehmen oder für Unternehmen, die die Schwellenwerte für mittlere Unternehmen überschreiten. 

Mittleres Unternehmen:

• Mindestens 50 und weniger als 250 Beschäftigte und
• entweder einen Jahresumsatz von mindestens 10 Mio. Euro, aber höchstens 50 Mio. Euro oder
• eine Jahresbilanzsumme von mindestens 10 Mio. Euro, aber höchstens 43 Mio. Euro.

Unabhängig von der Größe der Einrichtungen gilt die NIS2-Richtlinie auch für Einrichtungen, die in einem der in NIS2 aufgeführten 18 Sektoren tätig sind. Dazu zählen z. B. der Sektor Energie oder Verwaltung von IKT-Diensten bzw. Verarbeitendes Gewerbe/Herstellung von Waren oder Anbieter digitaler Dienste.

Wesentliche und wichtige Einrichtungen:

NIS2 unterscheidet darüber hinaus noch „wesentliche Einrichtungen“ und „wichtige Einrichtungen“.

Unternehmen gelten als „wesentliche Einrichtung“, wenn sie in einem Sektor mit hoher Kritikalität tätig sind sowie den Schwellenwert für ein mittleres Unternehmen überschreiten, d. h. mindestens 250 Beschäftigte zählen und entweder über 50 Mio. Jahresumsatz oder eine Bilanzsumme von über 43 Mio. Euro aufweisen.

Unternehmen gelten als „wichtige Einrichtung“, wenn sie in einem der insgesamt aufgeführten 18 Sektoren tätig sind und nicht unter die Definition der „wesentlichen Einrichtungen“ fallen.

Mehr zum Geltungsbereich von NIS2 erfahren.

Zu den einzelnen IT-Sicherheitsmaßnahmen macht NIS2 zahlreiche Vorgaben – angefangen bei einem Konzept für das Risikomanagement über technische Maßnahmen bis hin zu Meldefristen bei Sicherheitsvorfällen.

NIS2 fordert einen präventiven Ansatz für die IT-Sicherheit und ein entsprechendes Risikomanagement. Netz- und Informationssysteme müssen nach dieser Vorgabe abgesichert werden. Folgende Maßnahmen sind nach NIS2 u.a. vorgesehen: Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Bewertung von Risikomanagementmaßnahmen, Schulungen im Bereich der Cybersicherheit.

Vor dem Hintergrund der Zunahme von Cyberangriffen und einer hohen Bedrohungslage wird Prävention in der IT-Sicherheit immer wichtiger. Mit der NIS2-Richtlinie wird die bessere Vorbeugung gegen IT-Sicherheitsvorfälle europaweit verankert. Der Grundsatz lautet: Eine zuverlässige Cyberhygiene schützt die Hard- und Software sowie die Geschäfts- und Endnutzerdaten von Unternehmen. Dazu gehören zum Beispiel regelmäßige Updates, ein ordentliches Passwortmanagement, systematische Datensicherungen oder sichere Authentifizierung.

• Welche Geltungsbereiche von NIS2 existieren?
• Welche Sanktionen sind zu erwarten?