Die Europäische Union hat mit der NIS2-Richtlinie einen aktualisierten Rechtsrahmen geschaffen, um die Cybersicherheit innerhalb der Mitgliedstaaten zu stärken und die Herausforderungen der fortschreitenden Digitalisierung zu bewältigen. Deutschland arbeitet derzeit an der Umsetzung dieser Richtlinie in nationales Recht: das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Der Stichtag für die nationale Umsetzung der NIS-2-Richtlinie war am 17. Oktober 2024.
Das Ziel des NIS2UmsuCG ist es, das allgemeine Niveau der Cybersicherheit zu erhöhen und die Resilienz kritischer Infrastrukturen zu stärken. Der Anwendungsbereich wird dabei deutlich erweitert: Neben großen Unternehmen fallen nun auch mittelgroße Unternehmen aus verschiedenen Sektoren unter die neuen Regelungen.
Verbindliche Aussagen zum Anwendungsbereich in Deutschland können erst nach Vorliegen des finalen Gesetzes getroffen werden. Man rechnet damit im Frühjahr 2025. Eine frühzeitige Anpassung an die neuen Anforderungen vermeidet nicht nur potenzielle Sanktionen, sondern stärkt auch die eigene Resilienz gegenüber Cyberbedrohungen. Angesichts der fortschreitenden Digitalisierung und der damit verbundenen Risiken ist ein proaktiver Umgang mit Cybersicherheit für Unternehmen unerlässlich.
Betroffene Sektoren
Zu den Sektoren, die vom neuen Gesetz betroffen sind, gehören unter anderem die Energieversorgung, der Transport- und Gesundheitssektor. Auch die digitale Infrastruktur, wie Internetknotenpunkte, DNS-Dienste, Cloud-Computing-Dienste und Rechenzentren, ist eingeschlossen. Ebenso sind die Lebensmittelproduktion und der -Vertrieb sowie die Herstellung kritischer Produkte wie Chemikalien, Arzneimittel und Medizinprodukte Teil des erweiterten Anwendungsbereichs. Besonders herausfordernd sind die sogenannten Lieferketten. Unternehmen, die als Zuliefer-Betriebe oder Dienstleistende für ein Unternehmen tätig sind, das in einen der genannten Sektoren fällt, können ebenfalls vom NIS2UmsuCG betroffen sein.
Erhöhte Sicherheitsanforderungen
Für Unternehmen in diesen Sektoren bedeutet dies die Verpflichtung zur Erfüllung erhöhter Sicherheitsanforderungen. Die Implementierung eines effektiven Risikomanagements, das technische und organisatorische Maßnahmen zur Identifizierung und Bewältigung von Cybersicherheitsrisiken umfasst, ist verpflichtend. Im Falle eines erheblichen Sicherheitsvorfalls besteht eine unverzügliche Meldepflicht gegenüber den zuständigen Behörden. Eine ausführliche Berichterstattung muss innerhalb von 72 Stunden erfolgen. Die Effektivität der Sicherheitsmaßnahmen muss durch regelmäßige Sicherheitsaudits und -bewertungen kontinuierlich überprüft werden. Risiken aus Geschäftsbeziehungen mit Drittanbietenden oder innerhalb der Lieferkette müssen ebenfalls analysiert und gemanagt werden. Mitarbeitende sind zudem durch Schulungen für die Thematik der Cybersicherheit zu sensibilisieren.
Was sollten Unternehmen jetzt tun?
Unternehmen sollten zeitnah prüfen, ob sie in den Anwendungsbereich des NIS2UmsuCG fallen. Althammer & Kill bietet hierzu ein NIS-2-Assessment an, das eine Betroffenheitsprüfung anhand der Schwellwerte und Anwendungsbereiche des NIS2UmsuCG umfasst. Ist ein Unternehmen betroffen, muss ein Aktionsplan erstellt werden, der Zeitpläne und Zuständigkeiten definiert. Zudem sollten Prozesse zur fortlaufenden Überprüfung und Optimierung der Cybersicherheitsmaßnahmen implementiert werden, um eine kontinuierliche Verbesserung sicherzustellen.
Angesichts der zunehmenden Digitalisierung und der damit verbundenen Risiken ist ein proaktiver Umgang mit Cybersicherheit für Unternehmen unerlässlich.