NIS2-Richtlinie: Ab Oktober neue Cybersicherheitsstandards?

18. September 2024

Um ein höheres und einheitlicheres Schutzniveau für die digitale Infrastruktur in der gesamten
Europäischen Union zu schaffen, erließ diese im Dezember 2022 die NIS2-Richtlinie (Unser Beitrag zur NIS2-Richtlinie). Die Umsetzungsfrist von NIS2 endet am 17. Oktober 2024. Der deutsche Gesetzesentwurf – das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) – hat am 24. Juli 2024 das Kabinett passiert. Ein Überblick, was auf Unternehmen in Deutschland zukommt.

Ein erweiterter Anwendungsbereich

Die NIS2-Richtlinie und des NIS-2UmsuCG sind eine Weiterentwicklung der bereits existierenden NIS-Richtlinie aus dem Jahr 2016, die das Ziel verfolgt, die Cybersicherheitsstandards in der EU zu harmonisieren. Während die ursprüngliche Richtlinie auf Betreiber kritischer Infrastrukturen fokussiert war, erweitert NIS2 den Geltungsbereich auf insgesamt 18 Sektoren, darunter Unternehmen der Lieferketten, Banken und den Gesundheitssektor und verpflichtet öffentliche und private Unternehmen mit mind. 50 Beschäftigten oder mind. 10 Mio. Euro Jahresumsatz und Jahresbilanzsumme. Darüber
hinaus enthält die NIS-2-Richtlinie Sonderfälle. Besonders für mittelständische Unternehmen, die bisher nicht unter die Regulierung fielen, bedeutet dies eine deutliche Verschärfung der Sicherheitsanforderungen. Für eine erste Orientierung können Sie auf der Seite des BSI eine NIS-2-Betroffenheitsprüfung durchführen.

NIS-2UmsuCG: Striktere Meldepflichten und Sicherheitsstandards

Ein zentraler Bestandteil der NIS2-Richtlinie sind die Einführung neuer Cybersecurity-Maßnahmen von Riskmanagement-Maßnahmen bis hin zu Meldepflichten und einer Registrierungpflicht.

Im Rahmen des Risikomanagements für Cybersicherheit werden die Anforderungen an Sicherheitsstandards verschärft. Unternehmen sind verpflichtet, regelmäßige Risikobewertungen durchzuführen und kontinuierliche Maßnahmen zur Sicherung ihrer Netzwerke und Systeme zu implementieren, wie im § 30 des BSIG-Entwurfs festgelegt. Zudem wird die Meldepflicht von Sicherheitsvorfällen ausgeweitet: Unternehmen müssen Vorfälle schneller und detaillierter an die zuständigen Behörden melden, um Angriffe frühzeitig zu erkennen und effektiv darauf zu reagieren (§ 32 BSIG-Entwurf). Darüber hinaus müssen betroffene Unternehmen sich künftig gemäß §§ 33-34 des BSIG-Entwurfs bei einer Bundesbehörde registrieren und bestimmte Informationen bereitstellen.

Fazit: Cybersicherheitsstandards jetzt umsetzen

Auch wenn das NIS2UmsuCG vermutlich nicht fristgerecht zum 17. Oktober 2024 in Kraft treten wird, ist der Umsetzungsaufwand nicht zu unterschätzen. Bei Nichteinhaltung drohen empfindliche Strafen (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, § 65 BSIG-Entwurf) und auch die Geschäftsführung haftet bei Verletzung der Überwachungspflichten für die entstandenen Schäden nach dem jeweils geltenden Gesellschaftsrecht (§ 38 Abs. 2 BSIG-Entwurf). Betroffene Unternehmen sollten die verpflichtenden Cybersicherheitsmaßnahmen daher zeitnah umsetzen, um den rechtlichen Sanktionen aus dem Weg zu gehen und das Schutzniveau des eigenen Unternehmens zu erhöhen.