Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (BSIG) ist vom Bundestag und Bundesrat nun beschlossen. Ca. 29.000 Unternehmen in Deutschland fallen neu unter die Regulierung des Gesetzes. Ziel ist die Stärkung der Informationssicherheit und der Resilienz von Unternehmen und Organisationen.
Keine Übergangsfristen
Übergangsfristen, wie bei anderen Gesetzesvorhaben, wird es im BSIG nicht geben, da die Bundesregierung mit der Umsetzung der NIS2-Richtlinie deutlich im Verzug ist. Unternehmen und Behörden sind also gut beraten, sofern nicht ohnehin schon geschehen, die Umsetzung der Kernpflichten umgehend in Angriff zu nehmen.
Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist eine EU-weite Regelung zur Stärkung der Cyberresilienz und zum Schutz kritischer Infrastrukturen in Europa.
Die wesentliche Pflichten und Eckpunkte
Der Kreis der Unternehmen, die unter die Richtlinie fallen, wird deutlich größer sein, als die bislang nach NIS1 regulierten Unternehmen. Unterschieden wird nach Sektoren mit hoher Kritikalität in Anhang I und nach sonstigen kritischen Sektoren (Anhang II):
Sektoren nach Anhang I:
| Sektor | Beispiele für betroffene Einrichtungen |
| Energie | Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff. |
| Verkehr | Luft-, Schienen-, Wasser- und Straßenverkehr. |
| Bankwesen | Kreditinstitute. |
| Finanzmarktinfrastrukturen | Handelsplätze, Zentrale Gegenparteien. |
| Gesundheitswesen | Gesundheitsdienstleister (z.B. Krankenhäuser), EU-Referenzlabore, Forschungsinstitute, Hersteller von pharmazeutischen Grundstoffen und Medizinprodukten. |
| Trinkwasser | Wasserversorgung. |
| Abwasser | Abwasserentsorgung. |
| Digitale Infrastruktur | Betreiber von Internet-Knoten (IXP), DNS-Diensteanbieter, TLD-Register, Cloud-Computing-Dienste, Rechenzentren, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze. |
| IKT-Dienstleistungsmanagement (B2B) | Managed Service Provider (MSP), Managed Security Service Provider (MSSP). |
| Öffentliche Verwaltung | Zentralregierungen, Regionalregierungen. |
| Weltraum | Betreiber von Bodengestützten Infrastrukturen. |
Sektoren nach Anhang II:
| Sektor | Beispiele für betroffene Einrichtungen |
| Post- und Kurierdienste | Postdienstleister. |
| Abfallwirtschaft | Abfallbewirtschaftungsunternehmen. |
| Chemikalien | Produktion, Herstellung und Handel mit chemischen Stoffen. |
| Lebensmittel | Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Großunternehmen). |
| Verarbeitendes Gewerbe/Herstellung von Waren | Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, elektrischen/optischen Erzeugnissen, Maschinenbau, Kraftwagen und Teilen, sonstiger Fahrzeugbau. |
| Digitale Anbieter | Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke. |
| Forschung | Forschungseinrichtungen. |
Zudem spielen Unternehmensgrößen nach Umsatz und Mitarbeiterzahl eine Rolle. Auch wenn die Gesetzgebung in Deutschland noch den Anforderungen hinterher hinkt, so sollten sich Unternehmen darauf einstellen, dass die Regulierung in Kürze kommt.
Die wichtigsten Pflichten für Unternehmen
Die wesentlichen Pflichten für Unternehmen in den genannten Sektoren sind.
- Registrierungspflicht:
Wichtige und besonders wichtige Unternehmen sind verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu registrieren. - Meldepflicht:
erhebliche Sicherheitsvorfälle sind dem BSI zu melden. - Pflicht zum Risikomanagement:
Unternehmen müssen geeignete Maßnahmen zum Risikomanagement umsetzen und dokumentieren.
Die Orientierung an etablierten Standards (BSI IT-Grundschutz / ISO 27001) wird für die betroffenen Unternehmen empfohlen. Ein Informationssicherheitsmanagementsystem (ISMS) ist unverzichtbar. Ein ISMS-Tool kann Ihrem Unternehmen helfen, die Rechtspflichten nach NIS2 umzusetzen und zu dokumentieren, ohne dass die Kosten ins Unermessliche steigen.