0
0
News
Neues aus IT-Management und Weiterbildung

Home > News > NIS-2: Was Unternehmen jetzt tun müssen

NIS-2: Was Unternehmen jetzt tun müssen

von Stefan Krause

Die NIS-2-EU-Richtlinie steht vor der Tür und wird für viele Unternehmen erhebliche Auswirkungen haben. In diesem Beitrag fasse ich einige wichtige Punkte zusammen, weise drauf hin wie die Betroffenheit geklärt werden kann und welche Maßnahmen unter anderem notwendig sind.

Warum ist NIS-2 wichtig?

Die NIS-2 EU-Richtlinie verfolgt das Ziel, ein hohes gemeinschaftliches Cybersicherheitsniveau in der EU zu etablieren. Dazu wird sie in nationales Recht überführt. Wie die neue Bundesregierung ab 2025 das Umsetzungsgesetz benennen wird, ist zum Zeitpunkt des Artikels offen. Betroffene Unternehmen müssen sich nicht nur mit gesetzlichen Anforderungen befassen, sondern auch mit zunehmenden Sicherheitsvorgaben innerhalb ihrer Lieferketten.

Konsequenzen bei Nichteinhaltung:

  • Mögliche Strafzahlungen
  • Einschränkungen in der Lieferkette, wenn Sicherheitsanforderungen nicht erfüllt werden

Wer ist von NIS2 betroffen?

Es wird geschätzt, dass etwa 30.000 Unternehmen in Deutschland direkt von NIS-2 betroffen sind. Darüber hinaus sind viele weitere indirekt involviert, da sie als Zulieferer oder Dienstleister für betroffene Unternehmen agieren.

Das BSI bietet eine Betroffenheitsprüfung an, um festzustellen, ob ein Unternehmen unter die NIS2-Regulierung fällt. Dabei werden folgende Kriterien geprüft:

  • Branche (z.B. Energie, Verkehr, Finanzwesen, Gesundheitswesen)
  • Unternehmensgröße (z.B. mehr als 50 Mitarbeitende oder 10 Millionen Euro Umsatz)
  • Kritische Infrastrukturen oder spezialisierte Dienste

Achtung: Auch Unternehmen, die nicht direkt betroffen sind, können wegen Lieferkettenanforderungen durch Absprachen mit dem Lieferanten zu Maßnahmen verpflichtet werden!

Aktueller Stand der Umsetzung

Die Frist zur Umsetzung der EU-Richtlinie in nationales Recht war Oktober 2024, wurde jedoch von der Bundesregierung nicht eingehalten. Im Laufe des Jahres 2025 wir mit einer nationalen Umsetzung gerechnet. Es ist davon auszugehen, dass es keine längeren Umsetzungsfristen geben wird.
Das BSI stellt dazu aktuelle Informationen und FAQ bereit, die den neuesten Stand der Gesetzgebung widerspiegeln.

Was Unternehmen jetzt tun sollten

Das BSI empfiehlt fünf zentrale Schritte, um sich auf NIS-2 vorzubereiten

  • Benennung einer verantwortlichen Person
    • Ein NIS-2-Koordinator sollte ernannt werden.
    • Es wird empfohlen, eine Stellvertretung zu benennen, um bei Abwesenheiten handlungsfähig zu bleiben
  • Verantwortung der Unternehmensleitung
    • Die Geschäftsleitung muss sich aktiv mit der Umsetzung von NIS-2 befassen.
    • Risikomanagement muss als integraler Bestandteil etabliert werden.
    • Die Geschäftsleitung ist für Schulungen zu Informationssicherheit verantwortlich
  • Bestandsaufnahme der aktuellen Sicherheitslage
    • Welche Sicherheitsmaßnahmen sind bereits vorhanden?
    • Welche Prozesse und Systeme existieren bereits?
    • Wo gibt es Lücken (GAP-Analyse)
  • Kontinuierliche Verbesserung und Umsetzung von Maßnahmen
    • Aufbau eines Incident-Management-Systems
    • Entwicklung eines Business Continuity Managements (BCM)
    • Einbindung der Lieferkette in die Sicherheitsstrategie
  • Registrierung und Kommunikationskanal mit dem BSI
    • Unternehmen müssen sich beim BSI registrieren, sobald sie betroffen sind.
    • Ein Meldesystem für Sicherheitsvorfälle muss eingerichtet werden.
    • Das Unternehmen muss in der Lage sein, Warnmeldungen des BSI zu empfangen und darauf zu reagieren.

Herausforderungen und offene Fragen

Einige offene Punkte zur Umsetzung von NIS-2:

  • Mehrere Niederlassungen in verschiedenen Ländern: Müssen alle Niederlassungen separat registriert werden? Die Antwort ist noch unklar, es wird jedoch empfohlen, eine Registrierung für jede betroffene Niederlassung zu prüfen.
  • Unternehmen mit ISO 27001-Zertifizierung: Diese Unternehmen haben bereits eine gute Basis, jedoch müssen weitere Anforderungen erfüllt werden.
  • Umsetzungsfristen: Sobald die nationale Umsetzung verabschiedet wurde, gelten die Anforderungen mit sofortiger Wirkung. Vor allem eine schnelle Betroffenheits-Registrierung bei der zuständigen Behörde ist im Auge zu behalten.

Fazit

Die Umsetzung von NIS2 ist eine Herausforderung, aber auch eine Chance, die Cybersicherheit im Unternehmen zu verbessern. Unternehmen sollten sich frühzeitig mit den Anforderungen befassen, um Bußgelder und Einschränkungen in der Lieferkette zu vermeiden.

Das BSI und Beratungsunternehmen wie mITSM bieten Unterstützung in Form von Schulungen, GAP-Analysen und Umsetzungsberatung. Unternehmen sollten sich jetzt informieren und erste Maßnahmen einleiten, um gut vorbereitet zu sein.

Über den Autor: Stefan Krause

Stefan ist Trainer, Berater und Auditor im Bereich der Informationssicherheit.

Er sammelte als Software Developer umfassende IT-Expertise und war dabei sowohl im Konzern-, als auch im KMU-Umfeld tätig. Während dieser Zeit erlangte er tiefgehendes Wissen zu Informationssicherheitsmanagementsystemen, mit Fokus auf der Prozess-Ebene. Nun gibt er sein Wissen aus Theorie und Praxis in unseren Trainings weiter und berät Unternehmen ganzheitlich zur ISO/IEC 27001 und zum BSI IT-Grundschutz.

27.02.2025

+49 89 - 44 44 31 88 0 Chat starten
4.9
Basierend auf 109 Rezensionen
powered by Google