NIS-2: Neue Vorgaben zur Verbesserung der Cyber-Sicherheit

Mit den neuen Regelungen wird die Zahl der Unternehmen in Deutschland, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Es wird bundesweit knapp 30.000 betroffenen Unternehmen gerechnet. Dabei erfolgt eine Kategorisierung in „wichtige“ und „besonders wichtige“ Einrichtungen, die in den Fokus der Richtlinie rücken.

NIS-2 umfasst nun auch mittlere und große Unternehmen in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung. Somit müssen mehr Unternehmen Maßnahmen zur Cybersicherheit ergreifen, um den neuen Anforderungen zu entsprechen. Ob Unternehmen gemäß §28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.

Kriterien sind:

Hinzu kommen spezielle IT-Einrichtungen wie beispielsweise qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter. Gegebenenfalls kann das BSI auch eine Betroffenheit anordnen.

Die IHK-Organisation hat im Mai 2024 in einem Positionspapier Stellung bezogen. Eine Forderung der IHK-Organisation wurde inzwischen erfüllt: Mit der „NIS-2-Betroffenheitsprüfung“ bietet das BSI das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird an.

Wird eine Betroffenheit festgestellt, bestehen diverse Pflichten, die insbesondere von der Einstufung („wichtig“ oder „besonders wichtig“) abhängen.

Zahlreiche Fragen zu NIS-2 beantwortet das BSI in einem FAQ-Katalog.

Den Gesetzentwurf zur Umsetzung in deutsches Recht hat das Bundeskabinett am 24. Juli 2024 verabschiedet. Für die Wirtschaft spielt dabei insbesondere das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundes eine Rolle.

Informationen zum aktuellen Stand bis zur Verkündung und Gültigkeit finden Sie hier.