Direkt zum Inhalt

Umsetzung der EU-Direktive NIS 2 in Deutschland (NIS2UmsuCG)

Die Bundesregierung plant eine Verschärfung der EU NIS 2 Direktive in Form des „NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“

Seit Anfang des Jahres gilt die EU-Direktive NIS 2 ("Network and Information Security") für Organisationen und Unternehmen mit Niederlassungen in der Europäischen Union. Hierdurch werden einheitliche Cybersicherheits-Mindeststandards definiert, die von betroffenen Organisationen bis Oktober 2024 umzusetzen sind. Die Direktive adressiert insbesondere das Risikomanagement in Unternehmen und legt Registrierungs- und Meldepflichten fest. Die Bundesregierung beabsichtigt eine Verschärfung der EU-Vorgaben. Für die Umsetzung der Maßnahmen gelten keine Übergangsfristen. Welche Maßnahmen müssen betroffene Unternehmen und Organisationen bis Oktober 2024 umsetzen, um die Vorgaben des geplanten NIS2UmsuCG zu erfüllen?

27.000 Unternehmen und Organisationen sind aufgrund der Erweiterung des Geltungsbereichs von NIS 2 betroffen

 

NIS 2 baut auf der 2016 veröffentlichten ersten NIS-Version auf. Eine wesentliche Neuerung der aktualisierten Direktive ist die Erweiterung des Geltungsbereichs, sodass bereits Unternehmen ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz hierunter fallen, sofern sie einem der im Fokus befindlichen Sektoren – z. B. Maschinenbauunternehmen, Betreiber von Online-Marktplätzen, Nahrungsmittelproduzenten, aber auch Körperschaften des Öffentlichen Rechts – zuzuordnen sind. Nach Schätzungen des Bundesinnenministeriums werden ca. 27.000 Unternehmen in Deutschland von NIS 2 betroffen sein, was einer Verzehnfachung der bisher als KRITIS Fokus definierten Betreiber bedeutet. Je nach Sektor-Zugehörigkeit und Größe der Unternehmen findet eine Einteilung in "besonders wichtige" und "wichtige" Unternehmen statt. Hauptsächliches Unterscheidungsmerkmal hierbei ist die proaktive bzw. reaktive Überwachung durch die Aufsichtsbehörde BSI (Bundesamt für Sicherheit in der Informationstechnik). Die umzusetzenden Cybersicherheitsmaßnahmen sind für beide Kategorien identisch. 

Für in Deutschland ansässige Unternehmen sind verschärfte Regeln geplant

 

Die NIS 2 Direktive definiert Mindeststandards, die von den Mitgliedstaaten zunächst in nationales Recht umzusetzen sind. Während einige EU-Länder die Direktive größtenteils wortgleich übernehmen, beabsichtigt die Bundesregierung eine teilweise Verschärfung der Anforderungen sowie eine zusätzliche Erweiterung des Geltungsbereichs. Gemäß dem zweiten Referentenentwurf des NIS2UmsuCG („NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“) aus dem Juli 2023 geht hervor, dass u. a. auch Unternehmen unabhängig von ihrer Größe als "wichtige" Unternehmen eingestuft werden, sofern sie einem bestimmten Sektor zugehören. Dies betrifft bspw. Unternehmen der Verteidigungsindustrie und deren Zulieferer sowie Fuhrparkbetreiber, die Gefahrstoffe transportieren - jeweils unabhängig von Umsatzkennzahlen oder der Zahl der Mitarbeitenden. Eine weitere Besonderheit des NIS2UmsuCG ist die Einführung der – durch die Unternehmen vertraglich nicht exkludierbare – Haftung der Geschäftsführenden und Vorstände mit ihrem Privatvermögen bei Verstößen. Hierdurch beabsichtigt der Gesetzgeber eine weitere Steigerung des Bewusstseins der Entscheider für dieses wichtige Thema. Ebenso können Geldstrafen durch die Aufsichtsbehörden gegen Unternehmen verhängt werden, wie bspw. bis zu 2 Prozent des globalen Jahresumsatzes bei „besonders wichtigen“ Unternehmen.

Qualität und Quantität der umzusetzenden Maßnahmen erfordern einen strategischen und ganzheitlichen Ansatz

 

Die notwendigen Maßnahmen betreffen insbesondere das Risiko- und Informationssicherheitsmanagement im Unternehmen sowie die Umsetzung technischer Sicherheitsmaßnahmen nach dem Stand der Technik. Hierbei ist die Berücksichtigung eines gefahrenübergreifenden Ansatzes unerlässlich. Im Einzelnen fordert der Gesetzgeber die Umsetzung und Einhaltung von Cybersicherheits-Maßnahmen in folgenden Bereichen:

  • Sicherheits- und Risikokonzepte
  • Vorfallsmanagement
  • Notfall- und Krisenmanagement 
  • Sicherheit der Lieferkette
  • Einkaufsmanagement
  • Effektivitätsmessung 
  • Schulungen
  • Verschlüsselung 
  • Personalwesen
  • Zugangskontrolle
  • Asset- und Schwachstellenmanagement
  • Authentifizierung
  • Sichere und Notfallkommunikation

Ein etabliertes und im Unternehmen gelebtes ISMS (Informationssicherheitsmanagementsystem) ist die Grundlage für die Umsetzung der Maßnahmen. Sofern kein ISMS vorhanden ist, empfiehlt es sich, dessen Implementierung im Rahmen eines NIS 2 Umsetzungsprojekts zu integrieren.

Die o. a. konkreten Maßnahmen werden durch Registrierungs- und Meldepflichten ergänzt. Neben einer Registrierungspflicht für betroffene Unternehmen ist bspw. gefordert, dass Cybersicherheitsvorfälle innerhalb von 24 Stunden und Zwischenmeldungen nach 72 Stunden an das zuständige Bundesamt gemeldet werden. Sollten Organisationen der Registrierungspflicht nicht nachkommen, ist das NIS2UmsuCG trotzdem anwendbar; eine „zwangsweise“ Registrierung durch das BSI kann erfolgen.

Vorgehensweise zur Erreichung der NIS 2 Compliance

 

Deloitte empfiehlt für die Umsetzung der NIS 2 eine vierstufige Vorgehensweise:

Da die Maßnahmenumsetzung größtenteils das ISMS im Unternehmen betrifft, ist es optional möglich, die Organisation auf eine Zertifizierung des ISMS gem. ISO 27001 oder BSI IT-Grundschutz vorzubereiten, da der zusätzlich hierfür anfallende Aufwand nicht wesentlich ist.


Bei Fragen zum NIS2UmsuCG kontaktieren Sie gerne unseren Experten Christian Zgardea.

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback

Wenn Sie helfen möchten, Deloitte.com weiter zu verbessern, füllen Sie bitte folgendes aus: 3-Minuten-Umfrage