Die Umsetzung der EU-Sicherheitsrichtlinie NIS 2 in nationales Recht wird in Deutschland wohl erst 2025 erfolgen. Dennoch sollten sich Geschäftsführer und IT-Verantwortliche schon jetzt mit dem vorliegenden Gesetzesentwurf für die Umsetzung beschäftigen. Dieser Ratgeber hilft, den Text zu interpretieren und die Weichen richtig zu stellen.
Inhalt:
Die Novelle der Network and Information Security Directive (NIS 2) soll ein einheitliches Cybersicherheitsniveau in Europa gewährleisten. Im Vergleich zur Vorgängerrichtlinie sind deutlich mehr Unternehmen von den Regelungen betroffen. So fallen neben Betrieben der kritischen Infrastruktur auch sogenannte wesentliche und wichtige Einrichtungen darunter.
Die Richtlinie hätte eigentlich bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. In Deutschland wurde diese Frist jedoch nicht eingehalten. Immerhin liegt seit Juli 2024 ein Regierungsentwurf für ein „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) vor, der nun noch Bundestag und Bundesrat passieren muss. Mit einem Inkrafttreten ist daher nicht vor 2025 zu rechnen.
IT-Verantwortliche und Geschäftsführer sollten sich dennoch schon jetzt mit dem Gesetzesentwurf vertraut machen und prüfen, ob und inwieweit sie unter die Regelungen von NIS 2 fallen. Dieser Ratgeber hilft bei der Interpretation der Vorschriften und der Planung entsprechender Maßnahmen.
Sie erfahren unter anderem:
- Warum Cybersicherheit durch NIS 2 zur Managementaufgabe wird.
- Welche Unternehmen vom erweiterten Anwendungsbereich betroffen sind.
- Welche Pflichten sich aus der neuen Gesetzgebung ergeben.
Originalauszug aus dem Dokument:
Das BSIG n.F. ist zunächst auf jede Einrichtung der genannten Sektoren anwendbar, die nach der KMU-Definition der Europäischen Kommission die Schwellenwerte für mittlere Unternehmen erfüllt oder überschreitet. Dies ist der Fall, wenn die Einrichtung mindestens 50 Beschäftigte hat oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mehr als EUR 10 Mio. erzielt. Alle Einrichtungen, die diese Schwellenwerte nicht erreichen (und folglich als kleine oder Kleinstunternehmen im Sinne der europäischen Definition gelten), können jedoch mittelbar über die Lieferkette von Vorschriften des BSIG n.F. betroffen sein (hierzu unten IV.).
Daneben unterwirft das BSIG n.F. bestimmte Einrichtungen unabhängig von ihrer Größe explizit dem Anwendungsbereich des Gesetzes. Dazu gehören unter anderem Anbieter öffentlich zugänglicher Telekommunikationsdienste sowie Betreiber öffentlicher Telekommunikationsnetze, außerdem bestimmte Einrichtungen der Bundesverwaltung. Die Zahl der Beschäftigten sowie der Umsatz und die Bilanzsumme spielen insofern keine Rolle.