NIS-2
NIS 2

Wann tritt nis2umscg in Kraft?

Das NIS2UmsuCG-Gesetz, das die Cybersicherheit stärken soll, beginnt 2024 zu wirken. Es wird fast 30.000 Firmen in Deutschland betreffen. Diese Unternehmen müssen sich an neue Sicherheitsrichtlinien halten.

Die NIS2-Richtlinie der EU erhöht die Sicherheitsstandards in wichtigen Bereichen. Deutschland muss diese Vorgaben bis Ende 2024 übernehmen. So soll jeder besser vor Angriffen geschützt werden.

Wichtige Eckpunkte des NIS2-Umsetzungsgesetzes:

  • Über 30.000 Unternehmen in Deutschland müssen neue Sicherheitspflichten erfüllen.
  • Bußgelder zwischen 100.000 und 20 Millionen Euro drohen bei Verstößen.
  • Betreiber kritischer Anlagen müssen regelmäßig Nachweise erbringen und unterliegen Behördenprüfungen.
  • Die Regulierung wird durch verschiedene Behörden wie BSI, BBK und BNetzA umgesetzt.
  • Es gibt Sonderregeln und Ausnahmen für bestimmte Unternehmen.

NIS 2: Die EU-Richtlinie für Cybersicherheit

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie (EU 2022/2555) verabschiedet. Sie trat am 16. Januar 2023 in Kraft. Diese neue Richtlinie ist ein großer Schritt für mehr Cybersicherheit in Europa. Sie ersetzt die NIS-Direktive von 2016. Ihr Ziel ist es, in der gesamten EU Mindeststandards für Cybersicherheit festzulegen.

Was ist NIS 2?

NIS 2 steht für „Network and Information Security“. Es handelt sich um eine EU-Richtlinie, die alle Mitgliedsstaaten bis Oktober 2024 umsetzen müssen. Sie gibt verbindliche Regeln vor. Diese Regeln sollen Unternehmen und Organisationen dabei helfen, sich gegen Cyberangriffe zu schützen.

Ziele der NIS-2-Richtlinie

Die NIS-2-Richtlinie will die Cybersicherheit in der EU stark verbessern. Sie hat mehrere wichtige Ziele:

  • Eine Stärkung der Cyberabwehr und IT-Sicherheit in der EU
  • Ein besserer Schutz für kritische Infrastrukturen und Lieferketten
  • Mehr Transparenz und Nachvollziehbarkeit durch verpflichtende Meldungen und Berichtserstattung
  • Verbesserung der Cybersicherheitskompetenzen durch Schulungen für Mitarbeiter und Geschäftsführung
  • Harmonisierung der Sicherheitsanforderungen in der gesamten Europäischen Union

„Die NIS-2-Richtlinie ist ein wichtiger Schritt, um die Cybersicherheit in Europa zu stärken und unsere kritischen Infrastrukturen besser zu schützen.“

Das NIS2-Umsetzungsgesetz in Deutschland

Ab Oktober 2024 wird das NIS2-Umsetzungsgesetz in Deutschland wirksam. Es holt die EU-Standards für Cybersicherheit durch die NIS2-Richtlinie ins Land. Damit das Land sicherer wird, gelten für kritische Bereiche wie Infrastrukturen und Finanzen neue Regeln.

Mit diesem Gesetz werden etwa 29.000 zusätzliche Unternehmen Regeln befolgen müssen. Bei einem Verstoß drohen hohe Strafen von 100.000 bis zu 20 Millionen Euro. Auch einzelne Geschäftsführer könnten persönlich belangt werden.

Der Startschuss für das NIS2UmsuCG fiel schon, mit mehr als 62 Rückmeldungen von Verbänden. Aber die offizielle Genehmigung kann sich hinziehen. Es könnte also bis Anfang 2025 dauern, bevor es voll in Kraft ist.

Schon mit der Verabschiedung soll die NIS2-Pflichten abgedeckt werden. Selbst wenn keine direkten Strafen drohen. Alle zwei Jahre muss die Sicherheit nachgewiesen werden.

Mit dem NIS2-Gesetz hofft Deutschland stark, seine IT-Sicherheit zu verbessern. Aber dieses Vorhaben wird sicherlich für viele eine echte Herausforderung.

NIS2-Umsetzungsgesetz

„Schäden durch Cyberangriffe auf deutsche Unternehmen für das Jahr 2022 werden auf über 200 Milliarden Euro geschätzt.“

Betroffene Unternehmen und Einrichtungen

Ab 2024 müssen viele Unternehmen und Einrichtungen in Deutschland neue Cybersicherheitsregeln beachten. Diese Regeln gelten für Betreiber kritischer Anlagen, besonders wichtige und wichtige Einrichtungen.

Betreiber kritischer Anlagen (KRITIS)

Unternehmen in Bereichen wie Energie, Verkehr und Gesundheit werden als KRITIS-Betreiber eingestuft. Ihnen obliegt, bestimmte Kriterien zu erfüllen, um diesen Status zu erhalten.

Besonders wichtige Einrichtungen

Zu den betroffenen Unternehmen gehören auch die „besonders wichtigen Einrichtungen“. Dies betrifft sowohl große als auch kleinere Firmen in ausgewählten Branchen bei NIS2.

Wichtige Einrichtungen

Deutschland weist weitere relevante Organisationen als „wichtige Einrichtungen“. Diese reichen von Großunternehmen bis zum Mittelstand in verschiedenen Schlüsselbranchen.

Entlang der nächsten Jahre werden viele Firmen und Institutionen die NIS2-Richtlinie umsetzen müssen. Es variiert, welche Sicherheitsregeln für sie gelten, basierend auf Größe und Branche.

Unternehmensgrößen und Schwellenwerte

Die NIS2-Richtlinie will die Cybersicherheit europäischer Firmen verbessern. Sie berücksichtigt Unternehmensgröße und andere Grenzen, um zu entscheiden, wer die Regeln befolgen muss. Besonders wichtig sind die Zahl der Mitarbeiter sowie Umsatz und Bilanz.

Etwa 30.000 Firmen in Deutschland sind von NIS2 betroffen. Doch nur 40% von ihnen haben bisher etwas unternommen. Das lässt über 14.500 Firmen mit Klärungsbedarf zurück.

Drei Hauptgruppen von Organisationen fallen unter die Regelung:

  • Besonders wichtige Einrichtungen: Unter diesen sind 8.100 Firmen, zu denen 4.693 digitale Dienstanbieter und KRITIS zählen. Zusätzlich gehören rund 3.400 andere wichtige Einrichtungen dazu.
  • Wichtige Einrichtungen: Hierbei handelt es sich um weitere 20.900 wichtige Einrichtungen.

Die NIS2-Richtlinie kostet die deutsche Wirtschaft schätzungsweise 1,65 Milliarden Euro. Davon machen Einmalkosten 1,37 Milliarden Euro aus. Jährlich werden etwa 1,65 Milliarden Euro für das Einhalten der Regeln fällig. Diese Kosten beinhalten vor allem die Umstellung oder Einführung digitaler Prozesse sowie 121 Millionen Euro für bürokratische Anforderungen.

Unternehmen mit mindestens 250 Mitarbeitern und bestimmten Umsatz– oder Bilanzgrenzen gelten als Großunternehmen nach NIS2. Mittlere Unternehmen haben zwischen 50 und 249 Mitarbeiter und geringere Umsätze oder Bilanzen.

„Ob ein Unternehmen von der Regelung erfasst wird, hängt nicht allein von der Größe ab. Wesentlich ist auch, ob es in einem relevanten Sektor tätig ist.“

NIS2-Sektoren und Branchen

In Deutschland führt die NIS2-Richtlinie zur Unterscheidung von zwei Sektorgruppen. Es gibt kritische Sektoren und sonstige kritische Sektoren. Diese Unterscheidung hilft, die Cybersicherheitsregeln der EU richtig anzuwenden.

Kritische Sektoren

Die NIS2-Richtlinie nennt kritische Sektoren wie Energie, Verkehr und Banken. Auch Gesundheit, digitale Infrastruktur, Verwaltung von IKT-Diensten und der Weltraumsektor gehören dazu. Diese Sektoren sind besonders wichtig für unser tägliches Leben.

Sonstige kritische Sektoren

Anlage 2 der NIS2-Richtlinie erwähnt „sonstige kritische Sektoren“. Post, Abfallwirtschaft, und die Herstellung von Medizinprodukten zählen dazu. Sie alle tragen viel zur Gesellschaft bei und benötigen sichere Cybersysteme.

Die NIS2-Richtlinie betont die Bedeutung von 18 speziellen Sektoren für die Cybersicherheit. Unternehmen in diese Schlüsselbranchen müssen ab 2024 bestimmte Sicherheitsstandards erfüllen. So wird das Web sicherer.

NIS2-Sektoren

„Laut der PwC-Studie ‚Digital Trust Insights 2023‘ waren 30 % der befragten Unternehmen Opfer von Datenverlusten im Millionenbereich aufgrund von Cyberangriffen.“

Die NIS2-Richtlinie will kritische Sektoren vor Cybergefahren schützen. Auch Firmen mit über 50 Angestellten sind betroffen. Ab 2024 müssen sie die NIS2-Sicherheitsregeln befolgen.

Cybersecurity-Anforderungen nach NIS2

Die NIS2-Richtlinie bringt neue Sicherheitsregeln. Sie verlangt von Betrieben und Einrichtungen mehr Aufmerksamkeit für die Cybersicherheit. Es geht vor allem um das Erkennen von Risiken und den Einsatz von Sicherheitsmaßnahmen.

Sicherheitsmaßnahmen und Risikomanagement

Betreiber wichtiger Anlagen müssen Risiken gut managen. Sie sollten regelmäßige Risikoanalysen durchführen. Dies hilft, Bedrohungen früh zu erkennen.

Es ist wichtig, Sicherheitspläne zu haben. Dazu gehören Notfallvorkehrungen und Backups. Es gibt auch Standards für den Schutz von Informationen und zur Sicherung des Zugangs. Die Sicherheit von Zulieferern ist ebenfalls bedeutsam und sollte berücksichtigt werden. Alle Schritte müssen regelmäßig überprüft werden, um sicher zu gehen, dass sie funktionieren.

Standards und Zertifizierungen

Zur Einhaltung der NIS2-Regeln werden globale Standards und Zertifikate empfohlen. Zu diesen gehören ISO 27001 und das NIST Cybersecurity Framework. Auch das Common Criteria und Zertifikate aus dem EU Cybersecurity Act sind wichtig.

Mit diesen Zertifikaten wird gezeigt, dass man die NIS2-Vorgaben umsetzt.

Cybersicherheits-Zertifizierungen

„Cybersicherheit ist heute eine Schlüsselaufgabe für jedes Unternehmen. Die NIS2-Richtlinie setzt hier wichtige Impulse, um die IT-Sicherheit in kritischen Sektoren deutlich zu verbessern.“

Meldepflichten und Informationsaustausch

Durch die NIS2-Richtlinie müssen bestimmte Unternehmen mehr über Vorfälle berichten. Das betrifft vor allem Firmen, die wichtige Infrastruktur bereitstellen. Sie sollen schnelle Cyber-Bedrohungen melden.

Auch die Kunden sollen informiert werden, sofern möglich. Die Europäische Union hilft, Informationen zwischen Firmen zu teilen. Ziel ist eine bessere Sicherheit im Internet.

Unternehmen sollen offen über ihre Sicherheitslücken sprechen. Die Übermittlung von Meldungen über Sicherheitsvorfälle soll schnell und effektiv erfolgen. Die Regeln hierzu sind in der NIS2-Richtlinie festgelegt:

  • Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden
  • Aktualisierungen und Bewertungen sind innerhalb von 72 Stunden nachzureichen
  • Ein abschließender Bericht muss innerhalb eines Monats erfolgen

Diese Vorschriften verbessern Europas Cybersicherheit enorm. Behörden und Firmen können zusammen besser auf Gefahren reagieren.

Meldepflichten und Informationsaustausch

Meldepflichten nach NIS2 Zeitrahmen
Erstmeldung von Sicherheitsvorfällen Binnen 24 Stunden
Aktualisierungen und Bewertungen Innerhalb von 72 Stunden
Abschließender Bericht Innerhalb eines Monats

Die neuen Regeln zur Meldepflicht und zum Informationsaustausch sind wichtige Teile der NIS2-Richtlinie. Ihr Ziel ist es, schnell auf Sicherheitsprobleme zu reagieren und sie in Zukunft zu vermeiden.

Aufsicht und Sanktionen

Die NIS2-Richtlinie bringt strengere Regeln für die Überwachung. Sie fördert auch die Zusammenarbeit zwischen EU-Mitgliedstaaten. Falls Unternehmen die neuen Cybersicherheits-Regeln missachten, drohen hohe Strafen.

In Österreich betrifft die NIS2-Richtlinie etwa 3.400 mittelgroße und große Firmen. Besondere und wichtige Firmen werden öfter auf Sicherheit geprüft. Andere nur, wenn es einen Verdacht gibt.

Verstöße können teuer werden. Finanzunternehmen könnten bis zu 10 Millionen Euro Strafe zahlen. Oder 2% ihres globalen Umsatzes, je nachdem, wie bedeutend sie sind. Für andere wichtige Firmen sind es bis zu 7 Millionen Euro oder 1,4% des Umsatzes.

Alle Unternehmen, die unter NIS2 fallen, müssen auch ihre Lieferanten prüfen. Sie sollen Risiken für die Cybersicherheit identifizieren und beheben.

Meldekategorie Meldefrist
Sofortige Meldung Innerhalb von 24 Stunden
Frühwarnung Innerhalb von 72 Stunden
Abschlussbericht Innerhalb eines Monats

NIS2 kontrolliert und bestraft, um die Online-Sicherheit zu erhöhen. Mit hohen Geldstrafen und besserer Zusammenarbeit der EU-Länder sollen die Regeln wirksam durchgesetzt werden.

Cybersicherheitsanforderungen

Stand der NIS2-Umsetzung

Die NIS2-Richtlinie wird in Deutschland umgesetzt. Der Entwurf für das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit Mai 2024 bekannt. Bis Oktober desselben Jahres wird darüber diskutiert und es können noch Änderungen kommen, bevor es gilt.

Etwa 30.000 Firmen im Land müssen ihre Sicherheitsvorkehrungen verbessern. Das Ziel ist, den Anforderungen der NIS2-Richtlinie gerecht zu werden. Wer das nicht tut, riskiert hohe Geldstrafen. Bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes können fällig werden.

Referentenentwürfe und Gesetzgebungsprozess

Nach dem aktuellen Entwurf müssen Firmen ab 2027 Nachweise für ihre Sicherheitsmaßnahmen vorlegen. Diese Abgaben sind dann alle zwei Jahre zu aktualisieren.

Es ist unklar, ob künftig neue Entwürfe zur NIS2-Umsetzung entstehen. Das betrifft vor allem die geplante Einbeziehung des KRITIS-Dachgesetzes. Sicher ist jedoch, dass alle bis Oktober 2024 ihre Umsetzung abgeschlossen haben müssen. Quelle

„Die NIS-2-Richtlinie tritt am 16. Januar 2023 in Kraft. Die EU-Mitgliedsstaaten haben 21 Monate Zeit, um sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen.“

Vorbereitungen für Unternehmen

Deutschlands Unternehmen müssen sich auf das NIS2UmsuCG vorbereiten. Das bringt neue Anforderungen für die Cybersicherheit mit sich. Wichtig ist es, früh mit den Vorbereitungen zu starten. Drei Dinge sind dabei besonders wichtig.

Gap-Analyse und Maßnahmenplanung

Zuerst sollten Sie eine Gap-Analyse durchführen. So finden Sie Schwachstellen in Ihren Sicherheitskonzepten. Danach erstellen Sie einen Maßnahmenplan. Dieser hilft Ihnen, die neuen Vorgaben Schritt für Schritt umzusetzen.

Umsetzung und Wirksamkeitsprüfungen

Sie setzen nun die geplanten Maßnahmen um. Wichtig ist es, immer wieder zu überprüfen, ob sie wirken. Dazu gehören Penetrationstests, das Einrichten von Sicherheitssystemen und ständige Überprüfungen.

Es ist wichtig, früh zu beginnen, um die NIS2-Richtlinie einzuhalten. Nur so vermeiden Sie Strafen und bleiben im Wettbewerb stark.

„Die Umsetzung des NIS-2 Gesetzes bedeutet neue Anforderungen und Herausforderungen für Unternehmen in verschiedenen Sektoren, die gründliche Planung erfordern.“

Ob groß oder klein, jedes Unternehmen muss sich mit dem NIS2UmsuCG beschäftigen. Das stärkt die Cybersicherheit und sichert die Geschäftskontinuität.

Unterstützung durch IT-Dienstleister

Sie stehen als Unternehmen vor der Herausforderung, die EU-Richtlinie NIS2 bis zur Frist zu erfüllen. IT-Dienstleister wie WBS IT-Service können Ihnen hierbei helfen.

Wir haben viel Erfahrung mit KRITIS-Projekten und folgen einem ganzheitlichen Sicherheitsansatz. Dies macht uns zum perfekten Partner. Wir helfen Ihnen von der Anfangsanalyse bis zur Umsetzung der Sicherheitsmaßnahmen.

Dank unserer Expertise und Zertifizierungen können Sie sicher sein. Ihre Systeme erfüllen alle Anforderungen der NIS2-Richtlinie. Das schützt Sie vor Strafen und anderen Risiken.

Ihre Vorteile mit WBS IT-Service:

  • Beratung und Konzeptentwicklung zur NIS2-Umsetzung
  • Implementierung von Security-Lösungen
  • Prüfung und Zertifizierung Ihrer Systeme
  • Schulungen für Führungskräfte und Mitarbeiter
  • Unterstützung bei Meldepflichten

Setzen Sie auf unsere Erfahrung. Lassen Sie WBS IT-Service Ihr Partner sein. Gemeinsam machen wir Ihre Firma fit für die neuen Sicherheitsstandards.

Fazit

Das deutsche Umsetzungsgesetz zur NIS-2-Richtlinie wird noch ausgearbeitet. Es soll im März 2024 bekannt gegeben werden. NIS2 verbessert die Cybersicherheit in Deutschland und der EU. Firmen müssen frühzeitig mit der Umsetzung beginnen, um rechtzeitig fertig zu sein.

Über 30.000 Unternehmen in Deutschland müssen die NIS-2 Sicherheitsstandards erfüllen. Sie müssen Maßnahmen für ihre Lieferkette und Risikobewertungen treffen. Diese Pflichten treffen vor allem die Geschäftsführung.

Unternehmen brauchen ein gutes Informationssicherheitsmanagementsystem (ISMS). Sie müssen ihre IT-Systeme und Lieferketten genau prüfen. Danach sind Sicherheitsmaßnahmen wie Verschlüsselung und Notfallpläne wichtig.