NIS-2-Umsetzungsgesetz

Deutschlands Weg zu mehr Cybersicherheit

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz markiert einen Meilenstein in Deutschlands Cybersicherheitsstrategie. Es setzt die EU-Richtlinie zur Netz- und Informationssicherheit (NIS 2) in nationales Recht um und erweitert den Kreis der betroffenen Unternehmen erheblich.

Text: Redaktion PRÄVENTION AKTUELL

AUF DEN PUNKT

  • Das NIS-2-Umsetzungsgesetz erweitert den Kreis der betroffenen Unternehmen und verschärft die Anforderungen an Cybersicherheitsmaßnahmen
  • Unternehmen müssen ihre IT-Sicherheit verbessern, Meldepflichten einhalten und mit erhöhten Bußgeldern bei Verstößen rechnen
  • Das Gesetz stärkt die Rolle des BSI und fördert den Informationsaustausch zwischen Unternehmen und Behörden zur Verbesserung der gesamtgesellschaftlichen Cybersicherheit

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die deutsche Antwort auf die wachsenden Bedrohungen im Cyberraum. Es setzt die EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit (NIS 2) in nationales Recht um und soll die Widerstandsfähigkeit kritischer Infrastrukturen und wichtiger Wirtschaftssektoren gegen Cyberangriffe stärken.

Das Gesetz sollte ursprünglich im Oktober 2024 in Kraft treten, seit Sommer 2023 sind Referentenentwürfe zum NIS2UmsuCG publik. Die Einhaltung der EU-Frist zum Oktober 2024 scheint mittlerweile fraglich, nach Presseberichten aus September 2024 wird nun das erste Quartal 2025 angestrebt.

Die Notwendigkeit für dieses Gesetz ergibt sich aus der zunehmenden Digitalisierung aller Lebensbereiche und der damit einhergehenden Verwundbarkeit gegenüber Cyberattacken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt dazu fest: „Von Betrugsmaschen über Diebstahl bis zu Erpressungen beobachtet das BSI tagtäglich neue Angriffskampagnen. Die Erpressung mit Ransomware und Datenleaks stellt dabei nach Einschätzung des BSI gegenwärtig die größte cyberkriminelle Bedrohung für Staat, Wirtschaft und Gesellschaft dar.“

Erweiterter Anwendungsbereich

Das Gesetz erweitert den Kreis der betroffenen Unternehmen erheblich. Schätzungen gehen von insgesamt rund 30.000 Betrieben aus. Primär handelt es sich dabei um Firmen in sicherheitsrelevanten Sektoren mit mindestens 50 Mitarbeitern und einem Jahresumsatz von zehn Millionen Euro. Neben den bisherigen Betreibern kritischer Infrastrukturen fallen nun auch Unternehmen aus Bereichen wie Energieversorgung, Verkehr, Bankwesen, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung oder Raumfahrt unter die Regelungen. Auch kleinere Unternehmen können betroffen sein, wenn sie in diesen Sektoren tätig sind.

Verschärfte Sicherheitsanforderungen

Unternehmen müssen umfassende technische und organisatorische Maßnahmen (TOMs) implementieren, um ihre IT-Systeme zu schützen. Dazu gehören unter anderem:

  • Einführung von Risikomanagement-Systemen
  • Implementierung von Zugangskontrollen und Verschlüsselungstechnologien
  • Regelmäßige Sicherheitsaudits und Penetrationstests
  • Schulung von Mitarbeitern in IT-Sicherheit
  • Erweiterte Meldepflichten: Betroffene Unternehmen müssen Cybervorfälle und potenzielle Bedrohungen unverzüglich an das BSI melden. Die Meldepflicht umfasst nicht nur tatsächliche Angriffe, sondern auch Beinahe-Vorfälle und erkannte Schwachstellen.

Stärkung des BSI

Das BSI erhält erweiterte Befugnisse und Ressourcen. Es kann Sicherheitsüberprüfungen durchführen, verbindliche Anweisungen zur Behebung von Sicherheitsmängeln erteilen und bei Bedarf externe IT-Sicherheitsdienstleister zur Unterstützung heranziehen.

Informationsaustausch und Kooperation

Das Gesetz fördert den Informationsaustausch zwischen Unternehmen und Behörden. Neue Plattformen und Mechanismen sollen geschaffen werden, um Bedrohungsinformationen und Best Practices zu teilen.

Verschärfte Sanktionen

Bei Verstößen gegen die Vorgaben des Gesetzes drohen erhebliche Bußgelder. Diese können bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Supply-Chain-Security

Unternehmen müssen auch die IT-Sicherheit ihrer Lieferketten berücksichtigen und entsprechende Maßnahmen ergreifen, um Risiken durch Zulieferer und Dienstleister zu minimieren.

Vermutliche Auswirkungen des NIS2UmsuCG

  • Erhöhte Investitionen in Cybersicherheit: Viele Unternehmen werden ihre Investitionen in IT-Sicherheit deutlich erhöhen müssen, um den neuen Anforderungen gerecht zu werden. Dies betrifft sowohl technische Lösungen als auch Personal und Schulungen.
  • Steigende Nachfrage nach IT-Sicherheitsexperten: Der ohnehin schon angespannte Arbeitsmarkt für IT-Sicherheitsexperten wird sich weiter verschärfen. Unternehmen werden verstärkt um qualifiziertes Personal konkurrieren.

Kritik

Unternehmen, die die neuen Anforderungen schnell und effektiv umsetzen, können dies als Wettbewerbsvorteil nutzen, insbesondere in sicherheitssensiblen Branchen. Kritiker argumentieren jedoch, dass die Anforderungen insbesondere für kleinere Unternehmen eine übermäßige Belastung darstellen. Der bisherige Entwurf hat nach Expertenmeinung auch eine Reihe weiterer gravierender Schwachpunkte. Unter anderem werden die vielen Ausnahmen bemängelt, beispielsweise für die Strafverfolgungsbehörden und deren Dienstleister oder die Bundesverwaltung.