NIS-2
NIS 2

Was ist das NIS2UmsuCG?

Das NIS2UmsuCG wird ab 2024 für die deutsche Wirtschaft wichtig sein. Es setzt die EU-weite NIS2-Richtlinie um und stärkt die Cybersicherheit. Ein Referentenentwurf zeigt: Rund 30.000 Unternehmen in Deutschland werden davon betroffen sein. Das beweist, wie weitreichend dieses Gesetz ist.

Es überführt Mindeststandards für Cybersicherheit in deutsches Recht. Bis Oktober 2024 muss es alle rechtlichen Schritte durchlaufen. Gleichzeitig tritt das KRITIS-Dachgesetz in Kraft. Es reguliert kritische Betreiber und Finanzunternehmen bezüglich Resilienz und EU-DORA.

Wichtige Erkenntnisse:

  • Das NIS2UmsuCG wird ab 2024 in Kraft treten und die EU-weiten Cybersicherheitsstandards der NIS2-Richtlinie in Deutschland umsetzen.
  • Knapp 30.000 Unternehmen in Deutschland werden direkt von diesem neuen Gesetz betroffen sein.
  • Neben der NIS2-Umsetzung werden mit dem KRITIS-Dachgesetz auch kritische Betreiber und Finanzunternehmen reguliert.
  • Die Umsetzung des NIS2UmsuCG stellt insbesondere für kleine und mittlere Unternehmen eine große Herausforderung dar.
  • Bis Oktober 2024 muss das NIS2UmsuCG die gesamte Gesetzgebung auf Bundesebene durchlaufen.

Einführung in das NIS2UmsuCG

Das NIS2UmsuCG ist ein Gesetz für bessere Cybersicherheit in Europa. Es will Deutschland und andere EU-Staaten sicherer machen. Kritische Infrastrukturen und wichtige Wirtschaftsbereiche sollen besser geschützt werden.

Es gibt mehrere Hauptpunkte in diesem Gesetz:

  • Mittlere Unternehmen werden in einigen Bereichen ab 50 Mitarbeitern oder 10 Millionen Umsatz betroffen sein.
  • Viele Firmen müssen sich strengere Regeln zur IT-Sicherheit und Meldungen bei Sicherheitsproblemen halten.
  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kontrolliert und überwacht mehr.

Nach Schätzungen müssen Tausende deutscher Firmen mehr für ihre IT-Sicherheit tun. Sie müssen Risiken managen und Vorfälle melden. Dies sieht die NIS2-Richtlinie vor, um Europa sicherer zu machen.

Der Entwurf für das NIS2UmsuCG ist seit dem 07.05.2024 bekannt. Derzeit wird es noch überarbeitet. Das Gesetz muss in Deutschland bis zum 17.10.2024 umgesetzt sein.

Ziele des NIS2UmsuCG

Die EU hat ab Januar 2023 die NIS-2-Richtlinie eingeführt. Sie will die Cybersicherheit in Europa vereinheitlichen und stärken. So sollen Unternehmen kritische Infrastrukturen besser schützen.

Die NIS-2-Richtlinie macht Firmen mehr Pflichten bei der IT-Sicherheit. Es betrifft jetzt viel mehr Unternehmen als zuvor. In Deutschland zum Beispiel sind etwa 30.000 Firmen, inklusive 2.000 KRITIS-Betreiber, von den neuen Regeln betroffen.

Harmonisierung der Cybersicherheit in Europa

Die NIS-2-Richtlinie will die Sicherheit in Mitgliedstaaten vereinheitlichen und heben. Bis zum 17. Oktober 2024 müssen die Regeln in nationales Recht umgesetzt sein. In Deutschland kümmert sich das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ darum.

Erhöhung der Anforderungen an Cybersicherheit

Die NIS-2-Richtlinie setzt höhere Standards für Cybersicherheit. Firmen müssen jetzt Risiken analysieren, Lieferketten sicherer machen und Sicherheitsvorfälle schnell melden. Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.

Harmonisierung Cybersicherheit

„Mit der NIS-2-Richtlinie verfolgt die Europäische Union das Ziel, die Cybersicherheit in Europa zu harmonisieren und die Anforderungen an Unternehmen deutlich zu erhöhen, um kritische Infrastrukturen besser zu schützen.“

Betroffene Unternehmen

Mehrere Unternehmen in Deutschland stehen vor neuen Cybersicherheitsregeln. Diese Regeln betreffen Betreiber kritischer Infrastrukturen, besonders und wichtige Einrichtungen. All dies durch das neue Gesetz, das EU-Richtlinien in Deutschland umsetzt.

Betreiber kritischer Infrastrukturen (KRITIS)

Unternehmen in den Bereichen Energie, Verkehr, Banken, Gesundheitswesen und Lebensmittelversorgung fallen darunter. Sie sind wichtig für die Gesellschaft und deshalb gelten für sie hohe Cybersicherheitsstandards.

Besonders wichtige Einrichtungen

Großunternehmen aus spezifischen Sektoren und manchmal auch kleinere Unternehmen werden als besonders wichtig eingestuft. Auch sie müssen strenge Sicherheitsregeln befolgen.

Wichtige Einrichtungen

Große und mittelständische Unternehmen aus verschiedenen Branchen gehören dazu. Sie sollen die Anforderungen des neuen Gesetzes erfüllen. Obwohl ihre Cyberverfahren nicht so kritisch sind, ist ihre Sicherheit dennoch sehr wichtig.

Unternehmensgröße Umsatz Mitarbeiter Einordnung
Unabhängig Unabhängig Unabhängig Betreiber kritischer Infrastrukturen (KRITIS)
Großunternehmen bestimmter Sektoren Unabhängig Unabhängig Besonders wichtige Einrichtungen
Großunternehmen Über 10 Mio. Euro Über 250 Wichtige Einrichtungen
Mittelständische Unternehmen Über 10 Mio. Euro 50-250 Wichtige Einrichtungen

Alle betroffenen Firmen müssen bis zum 1. Oktober 2024 handeln. Bis dahin soll ihre Cybersicherheit verbessert sein, gemäß den neu gefassten Regeln. Wer dies nicht tut, muss mit hohen Strafen rechnen.

Einrichtungsgröße und Schwellenwerte

Die NIS-2-Richtlinie teilt Unternehmen in „wesentliche“ und „wichtige“ Gruppen ein. Dies hängt von ihrer Größe ab. Größe wird durch verschiedene Kriterien wie Mitarbeiterzahl, Umsatz und Bilanzsumme bestimmt.

Einrichtungen gelten als wesentlich, wenn es sich um Großunternehmen mit über 250 Mitarbeitern handelt. Sie müssen zudem ein hohes Einkommen oder eine große Bilanz vorweisen. Wichtige Einrichtungen sind oft mittelgroße Unternehmen mit mehr als 50 Mitarbeitern. Ihr Umsatz oder ihre Bilanz muss über bestimmte Werte liegen.

Mitarbeiterzahl und finanzielle Daten sind nicht allein entscheidend. Auch die Branche des Unternehmens ist wichtig. Sektoren wie Energie, Verkehr oder Gesundheit spielen eine Rolle. Ein Unternehmen kann auch durch seine Verbindung zu größeren Firmen in diese Kategorien fallen.

Einrichtungsgröße

Für die NIS-2-Richtlinie müssen Unternehmen mehr in ihre IT-Sicherheit investieren. Sie brauchen bessere Regelungen und müssen Vorfälle melden. Andernfalls könnten sie hohe Strafen zahlen müssen, bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes.

Betreiber kritischer Anlagen

Mit dem NIS2UmsuCG-Gesetz bekommen bisherige Betreiber kritischer Infrastrukturen eine neue Bezeichnung. Sie heißen nun Betreiber kritischer Anlagen. Dabei ändert sich die Logik der Sektoren, Dienstleistungen und Schwellenwerte nicht. Vor allem gelten sie jetzt als besonders wichtige Orte.

Etwa 30.000 deutsche Unternehmen sind vom NIS2-Gesetz berührt. Doch haben nur etwa 40 Prozent angemessen reagiert. Für diese Maßnahmen wird mit Kosten von 1,65 Milliarden Euro in Deutschland gerechnet.

Es existieren 8.100 besonders wichtige Einrichtungen. Das schließt 4.693 digitale Dienste und KRITIS-Betreiber ein. Dazu kommen etwa 3.400 neu anerkannte wichtige Orte. Es gibt zudem 20.900 weitere, die ebenfalls wichtig sind.

Kennzahl Wert
Betroffene Unternehmen in Deutschland Rund 30.000
Anteil mit ergriffenen Maßnahmen Etwa 40%
Geschätzte Umsetzungskosten Circa 1,65 Milliarden Euro
Besonders wichtige Einrichtungen insgesamt 8.100
Darunter KRITIS-Betreiber und digitale Dienste 4.693
Zusätzlich neue besonders wichtige Einrichtungen Etwa 3.400
Weitere wichtige Einrichtungen 20.900

Jedes Jahr wird die Einhaltung des Gesetzes etwa 1,65 Milliarden Euro kosten. Die einmaligen Kosten betragen dabei 1,37 Milliarden Euro. Hinzu kommen Verwaltungskosten von etwa 121 Millionen Euro. Diese entstehen vor allem durch neue digitale Prozesse in den Unternehmen.

Das OpenKRITIS-Mapping soll Betreibern kritischer Anlagen helfen, das NIS2-Gesetz besser anzuwenden. Mit der neuen Regelung ändern sich ihre Pflichten in Bezug auf Cybersicherheit stark. Von den Vorschriften des BSI-Gesetzes sind sie nun anders betroffen.

NIS2-Sektoren

Die NIS2-Richtlinie in Deutschland teilt kritische Sektoren in zwei Gruppen ein. Diese Sektoren müssen sich an neue Cybersicherheitsanforderungen halten.

Sektoren hoher Kritikalität

  • Energie
  • Verkehr
  • Banken und Finanzinfrastrukturen
  • Gesundheitswesen
  • Trink- und Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung

Sonstige kritische Sektoren

  1. Weltraum
  2. Post- und Kurierdienste
  3. Abfallwirtschaft
  4. Chemische Industrie
  5. Lebensmittelproduktion
  6. Verarbeitendes Gewerbe
  7. Digitale Dienste

18 kritische Sektoren sind in der NIS2-Richtlinie genannt. Sie sind sehr wichtig für unsere Gesellschaft und Wirtschaft. Diese Sektoren müssen sich besser gegen Cyber-Bedrohungen schützen.

„Die Sicherheit und Integrität dieser kritischen Sektoren sind von entscheidender Bedeutung für die Funktionsweise unserer modernen Gesellschaft und Wirtschaft.“

NIS2 Sektoren

Firmen in diesen Sektoren arbeiten jetzt an mehr Sicherheit. Sie müssen Risiken managen und ihre Lieferketten absichern. Sonst drohen ihnen hohe Strafen.

NIS 2 und Cybersicherheit

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie im EU-Amtsblatt veröffentlicht. Sie startete am 16. Januar 2023. Diese Regelung ist ein Schlüssel, um die Cybersicherheit in Europa zu verbessern.

Alle EU-Länder müssen bis Oktober 2024 die NIS-2-Richtlinie als Gesetz übernehmen. Bereits seit Juli 2023 arbeitet Deutschland an einem Entwurf dafür. Dieser Entwurf wird als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) bezeichnet.

Risikomanagementmaßnahmen

Gemäß der NIS-2-Richtlinie müssen betroffene Stellen angemessene technische und organisatorische Schutzmaßnahmen ergreifen. Dazu gehören eine Risikoanalyse, das Management von Sicherheitsvorfällen und die Sicherheit der Lieferkette. Auch Cybersicherheitsschulungen sind Pflicht.

Registrierungspflicht

Wichtige Einrichtungen und Domain-Name-Registry-Diensteanbieter müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Meldepflichten

Bei einem Sicherheitsvorfall müssen Unternehmen die NIS-2-Vorgaben einhalten. Sie müssen alle relevanten Informationen an das BSI melden. Der Richtlinie zufolge müssen sie sicherheitsbezogene Vorfälle melden, die die Erbringung ihrer Dienste beeinträchtigen.

Die NIS-2-Richtlinie hebt die Wichtigkeit von Zertifizierungen und EU-weit anerkannten Standards zur Cybersicherheit hervor. Sie fördert die Zusammenarbeit und betont die Rolle der EU-Agentur für Cybersicherheit.

Risikomanagement

Ziel der NIS-2-Richtlinie ist es, das Niveau der Cybersicherheit in Europa zu heben. Kritische Infrastrukturen sollen dadurch widerstandsfähiger gemacht werden. In diesem Zusammenhang müssen betroffene Unternehmen bis Oktober 2024 ihre IT-Sicherheit verbessern.

Sicherheit in der Lieferkette

Die NIS2-Richtlinie ist sehr wichtig für die Lieferketten-Sicherheit. Unternehmen müssen bei den Sicherheitsvorkehrungen mitmachen. Das gilt auch für IT-Dienstleister.

Europaweit wollen 61% eine Sicherheitszertifizierung von ihren Lieferanten. 43% nutzen Ratingdienste und 37% prüfen Risiken selbst. Nur 9% ignorieren Lieferketten-Sicherheitsrisiken.

Die NIS2-Richtlinie betrifft viele Unternehmen, auch wenn sie nur als Lieferanten oder Dienstleister agieren. Diese müssen ihre Cyber-Sicherheit nachweisen.

  1. ISO/IEC 27001, IEC 62443 2-1, CIS CSC v8.0 Standards nutzen
  2. Lieferketten-Sicherheitsrisiken regelmäßig prüfen
  3. Sicherheitszertifizierungen einholen und auf Ratingdienste setzen
  4. Eigene Sorgfalt bei Risikobewertungen zeigen
  5. Kunden-Sicherheitsanforderungen voll erfüllen

Weitere Schritte helfen, die Sicherheit in der Lieferkette hoch zu halten. Sie erfüllen nicht nur Gesetze, sondern schützen auch vor Cyber-Angriffen. Die NIS2-Verbindung zum Lieferkettengesetz wird immer wichtiger.

Lieferkettensicherheit

„Wirtschaftsexperten und Cybersicherheitsexperten arbeiten in der Zukunft eng zusammen. So wird die Weltwirtschaft nachhaltiger und sicherer.“

Governance und Verantwortlichkeiten

Mit der NIS2-Richtlinie ist Cybersicherheit jetzt Pflicht für Manager. Sie müssen handeln und sich weiterbilden. Auch Mitarbeiter lernen, wie wichtig Sicherheit im Netz ist.

Die NIS2-Richtlinie führt einheitliche Regeln für Europa ein. Firmen mit 50 Mitarbeitern ab einem Umsatz von 10 Millionen Euro müssen mitmachen. Bei großen Sicherheitsproblemen muss man Behörden schnell informieren. Verstößt man gegen die Regeln, gibt es hohe Strafen.

Unternehmen müssen einiges tun, um Sicherheit zu gewährleisten. Sie sollten einen Spezialisten anstellen und für Sicherheit sorgen. Innerhalb von zwei Jahren muss man beweisen können, dass man die Regeln einhält. Auch auf Vorfälle muss man vorbereitet sein.

  • Bestellung eines Informationssicherheitsbeauftragten
  • Schaffung der Voraussetzungen zur Gewährleistung der Informationssicherheit
  • Nachweis der Erfüllung der Cybersicherheitsanforderungen innerhalb von 2 Jahren
  • Implementierung von Mechanismen zur Bewältigung von Sicherheitsvorfällen
  • Regelmäßige Überprüfung und Anpassung der Risikomanagementmaßnahmen

Durch die NIS2-Richtlinie erhöhen Firmen ihr Engagement für Cybersicherheit. Das Gesetz macht Europa sicherer und gilt für viele Organisationen in Deutschland.

„Die NIS2-Richtlinie stellt sicher, dass Cybersicherheit nicht mehr nur Sache der IT-Abteilung ist, sondern zur Chefsache wird.“

Nachweispflichten und Audits

Die EU-Richtlinie NIS2 hat strengere Regeln für Nachweise und Audits. Dabei gibt es im Vergleich zur alten NIS-Richtlinie wichtige Neuerungen. Jetzt müssen nur Betreiber kritischer Anlagen Nachweise erbringen, nicht mehr alle großen Firmen. Dies müssen sie alle 3 Jahre tun, was vielen Firmen hilft, weniger Aufwand zu haben.

Die Regelungen der NIS2 gelten für Organisationen mit über 50 Angestellten und mehr als 10 Millionen Euro Umsatz pro Jahr. Zudem können Geldstrafen hoch ausfallen, bis zu 10 Millionen Euro oder 2% vom Umsatz. Das zeigt, wie wichtig die Erfüllung der Auflagen ist, besonders bei den Themen Nachweise und Audits.

Nach der NIS2 müssen Unternehmen wichtige Maßnahmen treffen. Dazu zählen: sauberes Computerverhalten, Risikoanalysen und Notfallpläne. Hier kann Kiteworks sehr nützlich sein, da es bei der Erfüllung der NIS2-Regeln hilft. Es hat spezielle Funktionen dafür.

  • AES-256-Verschlüsselung im Ruhezustand und bei Übertragungen
  • Zugriffssteuerung und Sicherheitsprüfungen durch mehrere Faktoren
  • Belohnungen für gute Sicherheitspraxis und regelmäßige Tests gegen Hacker
  • Rechte für externe Nutzer je nach ihrer Rolle

Nachweise und Audits sind anspruchsvoll, aber wichtig. Sie zwingen Unternehmen, ihre Cybersecurity zu überdenken und besser zu machen. Mit der passenden Hilfe können Firmen die Vorschriften einhalten. So werden ihre Daten sicherer.

Ausnahmen und Sonderregeln

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gibt Ausnahmen für bestimmte Unternehmen. Diese umfassen DNS-Betreiber, Top-Level-Domain-Registrare und mehr. Auch Cloud-Computing-Anbieter und Anbieter von Vertrauensdiensten zählen dazu.

Zum Beispiel sind Betreiber von Sicherheitsdiensten und Online-Marktplätzen ausgenommen. Sie folgen speziellen Regeln, nicht der NIS2-Richtlinie. Aber auch sie müssen Gesetze wie das TKG oder das DORA beachten.

Seit dem NIS2UmsuCG müssen Betreiber kritischer Anlagen neue Regeln befolgen. Dazu gehören Risikomanagement und das Melden von Sicherheitsvorfällen. Diese Regeln sind jetzt verpflichtend für sie.

Viele Firmen stehen vor neuen Herausforderungen durch verschiedene Gesetze. NIS2, KRITIS und weitere bringen jeweils eigene Vorschriften. Sie alle umzusetzen verlangt ein durchdachtes Vorgehen.

„Die NIS2-Richtlinie stärkt die Sicherheit von wichtigen Systemen in Europa. Doch die vielen Ausnahmen machen einiges kompliziert für Unternehmen.“

Obwohl es Ausnahmen gibt, bleibt die Umsetzung schwierig für viele. Ein umfassender Ansatz, der alle Aspekte beachtet, ist dringend nötig. So können Firmen den neuen Vorschriften gerecht werden.

Stand der Gesetzgebung

Das NIS2UmsuCG ist ein neues Gesetz in Deutschland. Es setzt die EU-Richtlinie NIS2 um. Momentan wird es entwickelt.

Es gibt schon mehrere Entwürfe, den neusten vom 07. Mai 2024. Ursprünglich sollte das Gesetz am 17. Oktober 2024 starten. Doch es wird wohl bis Anfang 2025 dauern.

Referentenentwürfe

Folgende Entwürfe gibt es bisher:

  • Erster Referentenentwurf vom 15.02.2024
  • Überarbeiteter Referentenentwurf vom 07.05.2024
  • Weitere Änderungen kommen noch

Zeitplan und Verzögerungen

Die EU fordert von Deutschland, die NIS2-Regeln bis zum 17. Oktober 2024 zu übernehmen. Doch der Zeitplan wird wohl nicht eingehalten. Es sieht so aus, als würde das NIS2UmsuCG erst Anfang 2025 starten.

Meilenstein Ursprünglicher Zeitplan Aktueller Zeitplan
Inkrafttreten der EU-Richtlinie NIS2 16.01.2023 16.01.2023
Umsetzung in deutsches Recht 17.10.2024 Anfang 2025
Erste Nachweispflichten für Betreiber 17.10.2027 Anfang 2028

Unternehmen müssen die Gesetzesvorschriften sofort einhalten. Und das ohne Aufschub.

Einschätzungen und Kritik

Die NIS2-Richtlinie wird die Cybersicherheit in Europa verbessern. Das ist gut für mittlere und kleine Unternehmen. Sie werden widerstandsfähiger gegen Angriffe. Doch, den Vorgaben zu folgen, ist für sie schwer.

Ein großer Kritikpunkt ist der Mangel an Experten in vielen Firmen. Sie brauchen mehr Zeit und Hilfe, um alles richtig zu machen. Außerdem sollten die Regeln für Lieferanten fair sein.

In Deutschland wird es wahrscheinlich länger dauern, bis alles umgesetzt ist. Das Land braucht dringend mehr IT-Profis. Bitkom sagt, es fehlen 149.000 Leute. Das macht die Lage schwieriger.

Einschätzung Kritik
  • Stärkung der Cybersicherheit in Europa
  • Erhöhung der Resilienz von Unternehmen
  • Hoher Umsetzungsaufwand für KMU
  • Fachkräftemangel in der IT
  • Zu hohe Anforderungen an Lieferketten
  • Verzögerung bei der Umsetzung in Deutschland

Um Unternehmen zu helfen, braucht es besondere Angebote. Securepoint und ähnliche bieten Hilfe gegen den Fachkräftemangel. Auch die Regierung muss mehr tun. Sie soll Firmen unterstützen, die neuen Regeln einzuhalten.

„Die Umsetzung der NIS2-Richtlinie stellt eine enorme Herausforderung für viele Unternehmen dar. Der Gesetzgeber muss hier den Mittelstand stärker im Blick haben und praxistaugliche Lösungen anbieten.“

Fazit

Im Oktober 2024 tritt die NIS-2-Richtlinie in Deutschland in Kraft. Diese wird die Anforderungen an die Cybersicherheit stark verändern. Rund 30.000 Unternehmen in wichtigen Bereichen wie Energie und Gesundheitswesen sind betroffen.

Auch kleine und mittelgroße Firmen müssen mitmachen. Sie alle müssen mehr für das Risikomanagement und die Sicherheit ihrer Lieferketten tun. Zudem müssen sie stärker verschlüsseln und Kryptografie nutzen.

Die Umsetzung dieser Maßnahmen wird für die Unternehmen nicht einfach sein. Wer die Regeln nicht einhält, riskiert hohe Strafen. Diese könnten in die Millionen gehen.

Da es durch Verzögerungen im Gesetzgebungsverfahren Zeit brauchen wird, ist es wichtig, jetzt anzufangen. So können wir bis 2024 alles Notwendige tun. Mit guter Planung und Hilfe ist es möglich, sich vor Strafen zu schützen. Wir können die Sicherheit unserer Daten stark verbessern.