Um Unternehmen in der EU künftig besser vor Cyberangriffen zu schützen, brachte die europäische Kommission Anfang 2023 mit der NIS-2-Direktive den Nachfolger der seit 2016 geltenden NIS 1 auf den Weg. Die Regierungen der Mitgliedstaaten haben anschließend bis 17. Oktober 2024 Zeit, die neue Richtlinie in ihre jeweilige Gesetzgebung zu übernehmen.

Wie genau diese Umsetzung aussehen würde, war lange Zeit unklar: Zwar gingen die meisten Experten davon aus, dass der Kreis der betroffenen Unternehmen deutlich erweitert, die Maßnahmen in Teilen verschärft und die bei Verstößen geltenden Bußgelder signifikant erhöht werden – doch viele Details blieben zunächst offen.

Seit Juli 2024 liegt der offizielle Regierungsentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vor, der die wichtigsten Fragen beantwortet.

Was ist die NIS 2?

Die NIS-2-Direktive der Europäischen Kommission soll die Cyber-Resilienz betroffener Unternehmen in der EU stärken. Hierfür wurde der Kreis betroffener Unternehmen gegenüber dem Vorgänger NIS 1 massiv ausgeweitet und die Anforderungen an betroffene Unternehmen nachdrücklich verschärft.

Wer ist von der NIS 2 betroffen?

Die Vorgaben werden in Deutschland nach Expertenschätzungen rund 30.000 mittlere und große Unternehmen aus 18 Sektoren der Wirtschaft betreffen (etwa Versorgung, Verkehr, Finanzen, Gesundheitswesen und ITK). Faktisch wird sich die NIS 2 aber auf wesentlich mehr Betriebe auswirken, da viele unmittelbar regulierte Unternehmen auch ihre Lieferketten in die Pflicht nehmen werden, die Maßnahmen und Vorgaben umzusetzen.

Der Gesetzgeber unterscheidet zwischen besonders wichtigen Einrichtungen (über 250 MA oder über 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz) und wichtigen Einrichtungen (über 50 MA oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Bilanz).

 

Was fordert die NIS 2 mitunter?

Organisationen und Unternehmen sind nach Inkrafttreten des Gesetzes verpflichtet, sich fristgerecht und selbstständig bei der zuständigen Aufsichtsbehörde zu registrieren, verschiedensten Pflichten nachzukommen und diverse, technische und methodische Anforderungen umzusetzen.

Bekomme ich Bescheid, falls ich betroffen bin?

Nein, besonders wichtige und wichtige Einrichtungen werden verpflichtet sein, sich innerhalb von drei Monaten nach Inkrafttreten des neuen Gesetzes eigenständig im Online-Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu registrieren. Nicht verpassen – es drohen hohe Geldstrafen!

 

Was müssen die Betroffenen leisten?

Der Regierungsentwurf verpflichtet Sie zu einem systematischen Cyberrisikomanagement, das sich an den relevanten europäischen und internationalen Normen orientiert. Hierfür müssen Sie eine Reihe von Mindestanforderungen an die Cybersicherheit erfüllen und geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen nach dem Allgefahrenansatz ergreifen.

 

Was sind die größten Herausforderungen für neu regulierte Unternehmen?

Eine hohe Hürde wird das neue dreistufige Meldesystem sein: Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden dem BSI melden und binnen 72 Stunden bestätigen, erläutern und bewerten. Spätestens einen Monat nach der Meldung muss dann ein Abschlussbericht vorliegen. Dieser Dreiklang aus Meldung, Unterrichtung und Auskunftsfähigkeit erfordert von den Unternehmen klare und effiziente Prozesse, die vielfach neu definiert werden müssen.

 

Was geschieht bei Verstößen gegen die NIS-2-Vorgaben?

Bei Verstößen sind abgestufte Bußgelder vorgesehen. Die Obergrenzen sollen zwischen 100.000 Euro und 10 Millionen Euro liegen. Für große Einrichtungen können alternativ Bußgelder von bis zu 2 Prozent des weltweit getätigten Jahresumsatzes verhängt werden. Und jetzt in der Frühphase besonders wichtig: Bei ausbleibender oder fehlerhafter Registrierung droht ein Bußgeld von bis zu 500.000 Euro.

 

Handeln Sie jetzt!

Stellen Sie jetzt die Weichen für lückenlose NIS-2-Compliance – denn selbst, wenn Sie nicht direkt betroffen sein sollten, werden Ihre Geschäftspartner die entsprechenden Anforderungen und Pflichten an Sie weitergeben! Unsere Experten helfen Ihnen im Rahmen unseres NIS-2-Compliance-Checks zunächst, zu identifizieren, wo Sie bei der Umsetzung stehen. Im zweiten Schritt unterstützen wir Sie gerne auch beim Aufbau eines systematischen und nachhaltigen Informationssicherheitsmanagements. So sichern Sie sich das Vertrauen Ihrer Kunden und Partner – und können sich ganz auf den Erfolg Ihres Unternehmens konzentrieren.

Betroffen! – was nun?

Sprechen Sie mit uns! Unsere Experten stehen Ihnen gerne bei allen Fragen zur NIS-2-Compliance zur Seite und helfen Ihnen dabei, zuverlässig alle Vorgaben einzuhalten.


Unsere Leistungen für Sie:

Wir prüfen gemeinsam mit Ihnen, ob Sie von der NIS 2 betroffen sind.

... mehr Details

Wir leiten die konkreten Anforderungen der NIS 2 für Ihre Organisation ab.

... mehr Details

Wir ermitteln in Interviews, wo Sie im Hinblick auf die Anforderungen stehen.

... mehr Details

Wir konzeptionieren gemeinsam mit Ihnen die erforderlichen Maßnahmen und unterstützen Sie mit unserer Umsetzungskompetenz.

... mehr Details

Wir beraten Sie hinsichtlich eines ganzheitlichen Informationssicherheitsmanagements.

... mehr Details

Wir helfen Ihnen, einen resilienten Geschäftsbetrieb aufzusetzen und sich für den Notfall vorzubereiten.

... mehr Details

Wir helfen Ihnen gerne weiter!

Möchten Sie weitere Informationen zu unseren NIS2-Dienstleistungen und Services? Haben Sie konkrete Fragen? Wünschen Sie eine persönliche Beratung?

Kontakt zu NIS2

NIS2
Bitte tragen Sie hier das RECHENERGEBNIS des Captcha-Feldes ein:
captcha

Kontakt

Haben Sie Fragen? Unsere Experten stehen Ihnen gerne zur Verfügung.

 

E-Mail schreiben

Daniel Kammerbauer
Team Lead GRC

E-Mail schreiben