Schlagwort: NIS2

Über das Thema NIS2 hatten wir im Digest schon oft berichtet. Zur Erinnerung: Es geht um die Aktualisierung der europäischen Verordnung zur Informationssicherheit von Behörden und Unternehmen.

Letzte Woche wurde der Referentenentwurf des Umsetzungsgesetztes der NIS2-Richtlinie mit dem gewagten Namen NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) bekannt. Das BMI folgt damit der europäischen Vorgabe, die Richtlinie bis zum 17. Oktober 2024 in deutsches Gesetz zu überführen. Dem geleakten Papier fehlen allerdings noch wichtige Inhalte. Beispielsweise ist die Schätzung zu einmaligen und kontinuierlichen Kosten noch undurchsichtig. Dafür wird die Rolle „CISO Bund“ etabliert, welche sich zentral mit der Sicherheit des Bundes auseinandersetzen soll.

Klar ist außerdem, dass der Begriff UBI (Unternehmen im besonderen öffentlichen Interesse) der Vergangenheit angehören soll. Die Bestimmungen dazu werden jedoch inhaltlich im Umsetzungsgesetz weiter existieren. Klarer werden außerdem die von den Unternehmen und Einrichtungen zu erfüllenden Anforderungen, welche in einem dezidierten Katalog gesammelt werden. Ein Handlungsdruck wird vorerst auf Seiten des BMI-liegen, das mit der deutschen Überführung zum Stichtag wahrscheinlich alle Hände voll zu tun haben wird. Die betroffenen Unternehmen und Einrichtungen müssen die Umsetzungsnachweise anschließend bis 2026 erbringen.

Haben Sie durchgeatmet, weil Ihre Organisation nicht unter die Definition von KRITIS nach dem BSI-Gesetz fiel? Dann atmen sie nochmal tief ein, denn Ihre Puste könnten Sie bald für die Umsetzung der Anforderungen und Maßnahmen aus der europäischen Richtlinie NIS2 brauchen. Ende 2022 beschlossen, wird sie bis Herbst 2024 in allen EU-Mitgliedsstaaten in nationales Gesetz überführt werden müssen. Das bedeutet für rund 40.000 Unternehmen und vergleichbare Einrichtungen in Deutschland die Umsetzung ambitionierter Anforderungen und Pflichten.

Es kommen neue Sektoren hinzu, mit Anforderungen an mittelgroße Unternehmen (50-250 Mitarbeiter) und große (alles darüber) sowie für Ausnahmefälle, die sich durch eine hohe Kritikalität auszeichnen. Zusätzlich kommen auf die Organisationen Meldepflichten bei signifikanten Sicherheitsvorfällen zu und Vorgaben zu technischen, organisatorischen und operativen Sicherheitsmaßnahmen. Diese könnten sich über das geforderte Lieferkettenmanagement auch indirekt auf Zulieferer auswirken.

Einige Details ergeben sich noch aus den nationalen Verfeinerungen. Trotzdem sollten alle potenziell Betroffenen bereits jetzt überlegen, welche Auswirkungen sie bewältigen müssen, und wie ein Vorbereitungsplan aussehen könnte. „Herbst 2024“ klingt weit weg. Aber eineinhalb Jahre sind in IT-Projektzeit doch ziemlich wenig. 

Zusammenfassung und FAQ der EU: https://digital-strategy.ec.europa.eu/de/policies/nis2-directive Die Richtlinie im Detail: https://eur-lex.europa.eu/eli/dir/2022/2555/oj