Umsetzung der NIS-2-Richtlinie

Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sollen die Anforderungen an die Cybersicherheit in Europa harmonisiert und erhöht werden. Um den Schutz kritischer Infrastrukturen und einiger weiterer Wirtschaftssektoren zu gewährleisten, werden die bisher bestehenden Anforderungen erheblich verschärft. Außerdem sind künftig auch mittlere Unternehmen (ab 50 Beschäftigte oder 10 Mio. € Umsatz) in bestimmten Sektoren direkt betroffen. Indirekt werden allerdings auch Anforderungen an Unternehmen in der Lieferkette, wie z. B. IT-Dienstleister, formuliert.

Die NIS-2-Richtlinie adressiert das Risikomanagement in Unternehmen und legt Registrierungs- und Meldepflichten fest. Für die Umsetzung der Maßnahmen gelten keine Übergangsfristen.

Für wesentliche Einrichtungen können Sanktionen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden. Bei wichtigen Einrichtungen belaufen sich die Bußgelder auf bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes. Gemäß dem Entwurf des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften.

Welche Maßnahmen müssen betroffene Unternehmen und Organisationen bis Oktober 2024 umsetzen, um die Vorgaben des geplanten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes zu erfüllen?

Schritt 1: Durchführung einer Betroffenheitsanalyse, um zu prüfen, ob der Anwendungsbereich des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes gegeben ist. Unter wichtige Einrichtungen fallen beispielsweise Unternehmen ab 50 Mitarbeitern oder ab 10 Mio. € Umsatz und einer Bilanzsumme ab 10 Mio. € aus den Sektoren IT, Digitale Dienste, Chemie (Herstellung, Handel, Produktion), Maschinenbau, Kfz/Kfz-Teile, Fahrzeugbau, Lebensmittel (Großhandel, Produktion, Verarbeitung) und Entsorgung.

Schritt 2: Ermittlung der zu erfüllenden Pflichten und deren Umsetzung

• Überprüfung der geforderten Risikomanagementmaßnahmen: Konzepte in Bezug auf Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebes, Sicherheit der Lieferkette, Sicherheit bei Entwicklung und Wartung, Bewertung von Risikomanagementmaßnahmen, Schulungen im Bereich der Cybersicherheit, Verschlüsselung, Personalwesen und Zutrittskontrollen, Notfallkommunikation.
• Bewertung der Lieferketten-Sicherheit: Als Teil der Risikomanagementmaßnahmen sind direkt betroffene Unternehmen verpflichtet, auf die Sicherheit ihrer Lieferketten zu achten. Neben direkten Lieferanten ergeben sich auch Pflichten für indirekt betroffene Unternehmen wie z. B. IT-Dienstleister.
• Meldepflichten und Registrierung: Bei Vorfällen in betroffenen Einrichtungen muss innerhalb von 24 Stunden eine Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik erfolgen. Spätestens nach 72 Stunden muss die Erstmeldung aktualisiert und eine erste Bewertung des Sicherheitsvorfalls vorgenommen werden. Hierzu sind geeignete Meldeverfahren einzurichten bzw. vorhandene zu optimieren.
• Governance: Cybersicherheit als Aufgabe der Geschäftsführung. Leitende Angestellte müssen Maßnahmen ergreifen und diese im Unternehmen überwachen. Darüber hinaus ist die Geschäftsführung verpflichtet, die Sensibilisierung für das Thema Cybersicherheit voranzutreiben und an Schulungen teilzunehmen.
• Dokumentation: Um sicherzustellen, dass alle ergriffenen Maßnahmen auch gegenüber offiziellen Stellen nachweisbar sind, sind sämtliche Umsetzungsschritte zu dokumentieren.