EU-Richtlinie NIS-2

Paradigmenwechsel bei Kritischen Infrastrukturen

Von Christin Hohmeier · 2024

Das mit NIS-2 von der Politik vorgegebene Ziel ist es, die Cyber-Resilienz innerhalb der EU zu stärken indem in den Mitgliedstaaten ein einheitliches und sehr hohes Niveau der Sicherheit verwirklicht wird. Die betroffenen Unternehmen sollen sicher sein, dass die Anforderungen EU-weit einheitlich gelten und dass die von einem Unternehmen in einem Wirtschaftsraum umgesetzten Maßnahmen auch in jeder anderen Region Europas gleichermaßen gelten.

Der gesamte Globus ist vernetzt, daher ist immer mehr IT-Sicherheit geboten.
Heute geht es um den Schutz weltweiter Netzwerke. Foto: iStock / NicoElNino

Die aktuellen und sehr hitzig geführten Sicherheitsdiskussionen in Politik und Wirtschaft drehen sich um die Network and Information Systems 2.0 Directive – oder kurz NIS-2-Richtlinie. In Deutschland werden diese Richtlinien innerhalb des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes –NIS-2UmsuCG – in nationales Recht überführt. Der für die Umsetzung relevante Stichtag ist der 17. Oktober 2024. Bis dahin wird es im Bundestag noch Anhörungen geben, der endgültige Gesetzestext soll dann verabschiedet werden.

Das von der Politik vorgegebene Ziel ist es, die Cyberresilienz innerhalb der EU zu stärken, indem in den Mitgliedsstaaten ein einheitliches und sehr hohes Sicherheitsniveau verwirklicht wird. Die betroffenen Unternehmen sollen sicher sein, dass die Anforderungen EU-weit einheitlich gelten, dass es zu keiner Verzerrung des Wettbewerbs kommt – und dass die von einem Unternehmen in einem Wirtschaftsraum umgesetzten Maßnahmen auch in jeder anderen Region Europas gleichermaßen gelten.

EU-Richtlinie NIS-2: Sofort mit der Planung beginnen 

Die Vorschriften für die Unternehmen sind umfassend und betreffen die unterschiedlichsten Bereiche – häufig geht in der Debatte unter, dass es am Ende nicht nur um Computer und Netzwerke, digitale Prozesse und das neu zu installierende Informationssicherheits-Management-System geht. Auch viele Maßnahmen zum physischen Schutz von Betriebsgelände, Anlagen und Büros stehen auf der Umsetzungsliste.

Diese Liste scheint für die Unternehmensführungen unendlich lang – immerhin gehen Expertinnen und Experten gleichermaßen davon aus, dass viele Einrichtungen und Unternehmen bis zu zwei Jahre für die vollständige Umsetzung benötigen könnten. Deshalb ist sofortiges Handeln wichtig: Die Unternehmen unterliegen einer Melde- und Registrierungspflicht gegenüber den EU-Behörden, sie sollten also sofort mit den Planungen und Umsetzungen beginnen.

Viele Betroffene sehen ihre Pflichten nicht

Dies wird auch deshalb eine Herausforderung, da nach Einschätzungen aus der Politik der größte Teil der von der NIS-2-Gesetzgebung zum Handeln gezwungenen Unternehmen bislang keine Ahnung haben, dass sie überhaupt von den Richtlinien betroffen sind. Selbst bei den Recherchen zum Thema ist ein erheblicher Unterschied bei den Schätzungen zu der Zahl der betroffenen Unternehmen erkennbar.

Manche Beobachtenden sprechen von insgesamt 90.000 Unternehmen in Deutschland. Zur Umsetzung der Richtlinien seien alle die verpflichtet, die mehr als 50 Mitarbeitende beschäftigen und in 18 relevanten Branchen tätig sind. Sie rechnen, dass 40 bis 50 Prozent aller Unternehmen in Deutschland von NIS-2 betroffen sind – kommen im Ergebnis also auf 40.000 bis 45.000. 

Andere Quellen gehen von rund 30.000 Organisationen aus, die zu der Umsetzung von NIS-2
verpflichtet sind. Und verschiedene Kritiker weisen darauf hin, dass die EU die Richtlinien mittelfristig für weitere Branchen als verbindliche Sicherheitsstandards festlegen könnte.

Quellen:
BSI: Was sind Kritische Infrastrukturen?
OpenKRITIS: DORA im Finanzsektor
BBC: Coincheck: World's biggest ever digital currency 'theft'

Schon gewusst?

Im Umsetzungsgesetz (Art. 1 § 59 (5) NIS-2UmsuCG) sind mit Verweis auf das Gesetz über Ordnungswidrigkeiten (§ 30 (2) Satz 3 OWiG) Bußgelder von bis zu 20 Millionen Euro vorgesehen. Hier bezieht sich der Gesetzgeber allerdings auf Ausnahmefälle, bei denen einer Anordnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) zuwidergehandelt wird.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)