Erste Lesung des NIS-2-Entwurfs im Bundestag: Kompakter Überblick zu den Anforderungen und Hinweise für betroffene Unternehmen.

Mit der Umsetzung der NIS-2-Richtlinie in deutsches Recht werden mehr als 30.000 Unternehmen zu umfassenden Maßnahmen im Bereich Cybersecurity verpflichtet. Ziel der Richtlinie ist die Schaffung eines einheitlichen Mindestniveau im Bereich IT-Sicherheit in der EU. Wir geben hier einen Überblick zum aktuellen Stand des Umsetzungsgesetzes und zu den wichtigsten Anforderungen, die auf betroffene Unternehmen zukommen.

Die Frist für die Umsetzung (17. Oktober 2024) wurde aufgrund der Regierungskrise der Ampelkoalition nicht eingehalten. Die neue Regierung hatte Ende Juli bereits einen neuen Gesetzentwurf veröffentlicht. Am 11. September fand die erste Lesung im Bundestag statt. Alle Fraktionen sind sich einig, dass eine zügige Verabschiedung notwendig ist, um die deutsche Wirtschaft und Verwaltung vor Cyberangriffen und den dadurch entstehenden Schäden zu schützen.

Was ist NIS-2?

Die Network and Information Security Directive 2 (kurz NIS-2) ist eine Richtlinie der EU, die in nationales Recht überführt werden muss. Sie verfolgt das Ziel, die Cyber- und Informationssicherheit EU-weit zu harmonisieren und die Widerstandsfähigkeit kritischer und wichtiger Einrichtungen gegen Cyberangriffe zu erhöhen.

NIS-2 als Artikelgesetz in Deutschland

Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung ist ein sogenanntes Artikelgesetz. Artikelgesetze sind Gesetze, die nicht nur einen neuen Rechtsrahmen schaffen, sondern gleichzeitig eine Vielzahl bestehender Gesetze ändern. Sie sind in „Artikel“ gegliedert, wobei jeder Artikel einen Änderungskomplex enthält. Der Großteil der NIS-2-Anforderungen wird in einem neuen BSI-Gesetz münden.

Das NIS-2-Umsetzungsgesetz enthält u. a. folgende Artikel:

• Artikel 1: Änderung des BSI-Gesetzes (BSIG) – zentrale neue Regelungen zu Pflichten, Meldewegen und Aufsicht
• Artikel 17: Änderung des Energiewirtschaftsgesetzes (EnWG)
• Artikel 25: Änderung des Telekommunikationsgesetzes (TKG)

Weitere Artikel ändern Gesetze in Bereichen wie Gesundheit, Ernährung, Transport oder Abfallwirtschaft.

Wichtige Paragrafen im Entwurf des neuen BSI-Gesetzes (BSIG-E)

• § 28: Anwendungsbereich, Definition von „wichtigen“ und „besonders wichtigen Einrichtungen“
• § 30: Risikomanagementmaßnahmen
• § 32: Meldepflichten bei erheblichen IT-Sicherheitsvorfällen
• § 38: Pflichten des Managements, einschließlich persönlicher Haftung und Schulungspflicht
• § 61 & § 62: Aufsichts- und Durchsetzungsmaßnahmen

Wer ist von NIS-2 betroffen?

Die Richtlinie betrifft nicht mehr nur die klassischen Betreiber kritischer Infrastrukturen, sondern auch viele Unternehmen aus weiteren Branchen. Das Gesetz unterscheidet dabei zwischen wichtigen und besonders wichtigen Einrichtungen – die Einordnung erfolgt anhand der Mitarbeiterzahl oder des Jahresumsatzes und der Bilanzsumme.

• Als besonders wichtige Einrichtungen gelten:
  • Betreiber kritischer Infrastrukturen
  • Unternehmen aus Sektoren aus Anhang 1¹ mit >250 Mitarbeitenden oder Umsatz >50 Millionen Euro und Bilanz >43 Millionen Euro
  • Einige weitere Sonderfälle
• Als wichtige Einrichtungen gelten
  • Unternehmen aus Sektoren aus Anlage 1 oder 2² mit >50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils >10 Millionen Euro
  • Weitere Sonderfälle

Ob Ihr Unternehmen betroffen ist, können Sie beispielsweise mit der Betroffenheitsprüfung des BSI prüfen.

Was kommt auf betroffene Unternehmen zu?

Unternehmen müssen künftig ein umfassendes Informationssicherheitsmanagement umsetzen, u. a. mit folgenden Pflichten:

• Technisch-organisatorische Maßnahmen zur Abwehr von Cyberangriffen (z. B. Risikoanalysen, BCM, Zugangskontrollen, Verschlüsselung) sind zu ergreifen.
• Schulungspflicht: Geschäftsführungen betroffener Unternehmen müssen sich regelmäßig (alle 3 Jahre) fortbilden – zum Beispiel mit unserer NIS-2-Schulung.
• Registrierungs- und Meldepflicht: Unternehmen müssen sich bei der zuständigen Behörde (BSI) registrieren und erhebliche IT-Sicherheitsvorfälle unverzüglich melden.
• Haftung des Managements: Geschäftsleitungen haften persönlich für die Umsetzung.
• Prüfung der Einhaltung der Verpflichtung ist jederzeit möglich (für besonders wichtige Einrichtungen) bzw. die Prüfung bei Verdacht der Nichteinhaltung (für wichtige Einrichtungen)

Mit einem ISMS nach der ISO 27001 werden bereits weite Teile der Anforderungen abgedeckt und somit eine ideale Basis gelegt, um die NIS-2-Verpflichtungen zu erfüllen. Falls Sie sich weitergehend zur NIS-2-Umsetzung informieren möchten, nehmen Sie gerne an unserer NIS-2-Schulung teil.

Bei Fragen oder Anmerkungen zum Thema wenden Sie sich gerne an Cedric Sell.

¹ Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum

² Post- und Kurierdienste, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe/Produktion, Anbieter digitaler Dienste, Forschung