Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist eine EU-weite Regelung zur Stärkung der Cyberresilienz und zum Schutz kritischer Infrastrukturen in Europa. Derzeit befindet sich das bundesdeutsche Gesetz zur Umsetzung der Richtlinie in deutsches Recht im Gesetzgebungsverfahren. Unternehmen, die voraussichtlich unter die Regelungen des Gesetzes fallen, sollten spätestens jetzt anfangen, die Umsetzung zu planen. Zu Ihrer eigenen Sicherheit.
Die wesentliche Pflichten und Eckpunkte
Der Kreis der Unternehmen, die unter die Richtlinie fallen, wird deutlich größer sein, als die bislang nach NIS1 regulierten Unternehmen. Unterschieden wird nach Sektoren mit hoher Kritikalität in Anhang I und nach sonstigen kritischen Sektoren (Anhang II):
Sektoren nach Anhang I:
| Sektor | Beispiele für betroffene Einrichtungen |
| Energie | Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff. |
| Verkehr | Luft-, Schienen-, Wasser- und Straßenverkehr. |
| Bankwesen | Kreditinstitute. |
| Finanzmarktinfrastrukturen | Handelsplätze, Zentrale Gegenparteien. |
| Gesundheitswesen | Gesundheitsdienstleister (z.B. Krankenhäuser), EU-Referenzlabore, Forschungsinstitute, Hersteller von pharmazeutischen Grundstoffen und Medizinprodukten. |
| Trinkwasser | Wasserversorgung. |
| Abwasser | Abwasserentsorgung. |
| Digitale Infrastruktur | Betreiber von Internet-Knoten (IXP), DNS-Diensteanbieter, TLD-Register, Cloud-Computing-Dienste, Rechenzentren, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze. |
| IKT-Dienstleistungsmanagement (B2B) | Managed Service Provider (MSP), Managed Security Service Provider (MSSP). |
| Öffentliche Verwaltung | Zentralregierungen, Regionalregierungen. |
| Weltraum | Betreiber von Bodengestützten Infrastrukturen. |
Sektoren nach Anhang II:
| Sektor | Beispiele für betroffene Einrichtungen |
| Post- und Kurierdienste | Postdienstleister. |
| Abfallwirtschaft | Abfallbewirtschaftungsunternehmen. |
| Chemikalien | Produktion, Herstellung und Handel mit chemischen Stoffen. |
| Lebensmittel | Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Großunternehmen). |
| Verarbeitendes Gewerbe/Herstellung von Waren | Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, elektrischen/optischen Erzeugnissen, Maschinenbau, Kraftwagen und Teilen, sonstiger Fahrzeugbau. |
| Digitale Anbieter | Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke. |
| Forschung | Forschungseinrichtungen. |
Zudem spielen Unternehmensgrößen nach Umsatz und Mitarbeiterzahl eine Rolle. Auch wenn die Gesetzgebung in Deutschland noch den Anforderungen hinterher hinkt, so sollten sich Unternehmen darauf einstellen, dass die Regulierung in Kürze kommt.
Die wichtigsten Pflichten für Unternehmen
Die wesentlichen Pflichten für Unternehmen in den genannten Sektoren sind.
- Registrierungspflicht:
Wichtige und besonders wichtige Unternehmen sind verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu registrieren. - Meldepflicht:
erhebliche Sicherheitsvorfälle sind dem BSI zu melden. - Pflicht zum Risikomanagement:
Unternehmen müssen geeignete Maßnahmen zum Risikomanagement umsetzen und dokumentieren.
Die Orientierung an etablierten Standards (BSI IT-Grundschutz / ISO 27001) wird für die betroffenen Unternehmen empfohlen. Ein Informationssicherheitsmanagementsystem (ISMS) ist unverzichtbar. Ein ISMS-Tool kann Ihrem Unternehmen helfen, die Rechtspflichten nach NIS2 umzusetzen und zu dokumentieren, ohne dass die Kosten ins Unermessliche steigen.