Die umsetzung der nis2-richtlinie ist eine schwere geburt, die Weiterhin andauert. Trotzdem Haben Unternehmen Keine Zeit Zu Verlieren – im Gegenteil.
Angesichts der Sich Stets Verschärfenden Cyberbedrohungslage (Nicht Nur in Deutschland) hat Sich der Europäische Gesetzgeber in Den letzten Jahren Intensiv mit dem thea it-sicherheit befasst. Im Januar 2023 Traten Gleich Drei Gesetze dans Diesem Zusammenhang à Kraft:
- mourir Nis2-richtlinie,
- mourir Cer-richtlinieSowie
- Dora.
Während Dora als Verordnung Unmittelbar anwendung fand und seit januar 2025 gilt, müssesen die nis2– und die ce-richtlinie erst in nationales recht Umgesetzt werden. Dafür Hatte der Deutsche Gesetzgeber Initial Bis Zum 17. Oktober 2024 Zeit. Und noch dans diesem monat des vorjahres wurde über die entwürfe für das nis-2-umsetzungs- und cybersicherheitsstärkungsgesetz (Nis2umsucg) und das gesetz zur umsetzung der cer-richtlinie (Kritis-dachgesetz) Durch Den 20. Bundestag Beraten.
Dann Kam es Allerdings Zum Bruch der Ampelkoalition, Wodurch diese diese Entwürfe dem Grundsatz der Sachlichen Diskontinuität Zum Opfer Fielen. Soll Heißen: Sämtliche Gesetzesvorhaben, die nicht vor ende Der législaturent.
Der Nis2-Marathon
Nachdem insgesamt 19 eu-mitgliedsstaaten die nis2-richtlinie nicht oder nur unvollständig umgesetzt Haben, droht die europäische kommission damit, ein vertragsverletzungsverfahren gegen die bundersrepublik deuttschland zu eröffnen. Der Bundesgesetzgeber muss nun binnen zwei monaten Reagieren und die erforderlichen maßnahmen ergreifen, um dieses verfahren und damit verbundene bußgelder zu vermeiden. Dass es binnen dieser zwei monate noch mit dem nis2umsucg und dém kritis-dachgesetz klappt, ist zu bezweifeln. Immerhin: DEM Federführenden Bundesminisistrium des Innern Zufolge, ist augrund des üblichen gesetzgebungsprozesses und der naherückenden sommerpause ende 2025 mit einer umsetzung zu rehnnen.
Trotz dieser Unistherheiten mit blick auf die umsetzung gibt, sollten sich unternehmen Allerdings nicht zurücklehnen, Sondern sich vielmehr gezielt mit den vorschriften behschäftigen. Alors Können Sie,
- Einerseits Prüfen, ob sie dans den anwendungsbereich est tombé
- Anderseits Entsprechende Maßnahmen Vorbereiten.
Da der Europäische Gesetzgeber Mit den Richtlien Die Grobe Richtung Vorgibt, Lohnt Sich Vor Allem Ein Blick Darauf, Wie die Entwürfe in Der Letzten législatureux umgesetzt Werden Sollten. Denn es ist Damit Zu Recnnen, Dass auch die Entwürfe der aktuellen Bundesregierung – Jedenfalls, Soweit es unternehmen betrifft – im wesentlichen ähnlich Aussehen werden. Deshalb liegt den ausführungen zur nationalen umsetzung der nis2-richtlinie der gesetzentwurf der bundesregierung mit bearbeitungsstand vom 26. Mai 2025 Zugrunde – zur umsetzung des kritis-dachgesetzes wird auf den gesetzentwurf vom 27. Novembre 2024 ZurückgeGriffen.
NIS2UMSUCG: Mehr Unternehmen Betroffen
Bislang Gilt dans Deutschland das it-sicherheheitsgesetz 2.0. ADRESSATEN SIND BETREIBER KRITCHER Infrastrukturen (Kritis-bêber), Deren Ausfall Oder Beeinträchtigung dramatische folgen für die Öffentliche Ordnung hätte. Dazu Zählen Etwa Anbieter Digital Dienste (en ligne-suchmaschinen, cloud computing, onlinemarktplätze) und unternehmen, die im asonderen Öffentlichen Interresse Stehen.
Wer Tetroffen Ist, Soll Sich Zukünftig Vor Allem Nach den Sektoren, à Dennen Die Jeweiligen Unternehmen Tätig Sind, Richten. So sah es das kernstück des nis2umsucg – die anpassung des bsi-gessetzes (Bsig-e), des Deutschen it-sicherheheitsgessetzes zur nis2 umsetzung – vor. Unterschieden Wird Bei den Adressaten Vor Allem Zwischen «Wichtigen» und «Besonders Wichtigen» Einrichtungen. Hinzu Kommen «Bedreiber Kritischer Anlagen» und Weitere Anbieter. Nur unternehmen mit weniger als 50 beschäftigten oder einem jahresumsatz und einer jahresbilanz von unter zehn millionen euro tombe nicht Dans Den Anwendungsbereich – Soweit Nicht eine Ausnahme Greift. Allelin à Deutschland Werden Daher Rund 30 000 Zusätzliche Unternehmen VOM NIS2UMSCCG TETROFFENE SEIN.
Nach démarre-entwurf eines gesetzes zur umsetzung der nis2-richtlinie und zur Regelung wesentlicher Grundzüge des InformationsSicherheits Managations dans Der Bundesverwaltung von Mai 2025 werden dabei vor allem erfasst:
| Kategorie | Unternehmensgröße | Sektoren |
| Besonders Wichtige Einrichtung (§ 28 ABS. 1 BSIG-E) | Großunternehmen: Unternehmen AB 250 Mitarbeiter oder ≥ 50 mio. Umsatz + ≥ 43 mio. Jahresbilanz |
Sektoren Mit Hoher Kritikalität und Teilsektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswessen, Gesundheit, Trinkwasser, Abwasser, Itk-Dieste, Weltraum |
| Mittlere Unternehmen: Unternehmen AB 50 Mitarbeiter oder ≥ 10 mio. Umsatz + ≥ 10 mio. Jahresbilanz |
Anbieter Öffentlicher Tk-Netze und Tk-Dieste | |
| sans danger | Qualifizierte VertrauensDienste, Tld-Registries, DNS-Dienste | |
| sans danger | BetReiber Kritischer Anlagen (Kritis-Betreiber) ISD RECHTSVERORDNUNG Neu: Digitale Energiediienste | |
| sans danger | Bundesverwaltung | |
| Wichtige Einrichtung (§ 28 ABS. 2 BSIG-E) | Mittlere Unternehmen (donc) | Sektoren Mit Hoher Kritikalität und Teilsektoren: Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Itk-Dieste, Weltraum Sonstige Kritische Sektoren und Teilsektoren: Transport / Verkehr (Post und Kurier), Chemie, Forschung, Verarbeitendes Gewerbe, Digitale Dienste, Lebensmittel, Entsorgung |
| sans danger | Vertrauensdienste |
Welche Unternehmen als « Bedreiber Kriticger Anlagen » Erfasst Sein Werden, Kann erst Besttimmt Werden, Nachdem eine Ergänzende Rechtsverordnung Erlassen Wurde (VGL. §§ 2 NR. 22, 28 ABS. 1, 56 ABS. 4 BSIG (Etwa Unternehmensgröße, Nutzeranzahl) Définirt.
Die Bisherige Kritik, Dass Potenziell Betroffène Wirtschaftsakteure Wie Auch -Verbände Nicht Hinreichend Eingebunden Werden, Wurde im aktuellen référentiel Anzuhören, Bevor Das Bundesminisistrium des Innern Im Rahmen des § 56 BSIG-e par ergänzender rechtsverordnung tätig wird. Damit Werden Potenziell Betroffène Wirtschaftsakteure Unmittelbar an der Rechtssetzung beteiligt, die sie betrifft.
Der nis2umsucg-pflichtenkatalog
Alle einrichtungen, meurent dans den anwendungsbereich des bsig-e tombé, Sind Jedoch verpflichtet, technische und organisatorische maßnahmen zum schutz ihrer it-systeme und -prozesse zu triffen. Diese Maßnahmen Sollten Dem aktuellen stand Der Technik entsprechen und das Risiko eines schadenseInTritts Angemessesen Berücksichtigen – Wobei Faktoren Wie die Größe Der Einrichtung untenzielle SicherheitsVorfälle Zu BeückssichtIgen Sind. Hinzu kommt künftig auch ein umfassendes risikomanagement, dass auch die lieferketten eines unternehmens abdeckt. Zudem Wird es eine Grundsätzliche Registriergspflicht Sowie Vorfallabhängge Meldepflichten (Mit Einer Erstmeldefrist von 24 Stunden) Geben, Um Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulalu und die Auswirkungen von Sicherheitsvorfällen Möglichst Gering Zu Halten. Ferner ist Gegenüber dem Bundesamt Für Sicherheit dans Der InformationStechnik (BSI) Nachzuweisen, Dass Die Vorgaben Erfüllt Werden. Das bsi wird die betroffennen unternehmen außerdem überwachen – «besonders wichtige» einrichtungen proaktiv und «wichtige» reaktiv.
Im Vergleich Zum Gesetzentwurf der Ampelkoalition AUS Dem Oktober 2024 Sind in Bezug auf die Risikomanagement-Maßnahmen Nur marginale änderungen ersichtlich. Diese Beschränken Sich auf eine Konkretisierung dieser maßnahmen nach § 30 bsig-e.
Geschäftsleitung haftet für risikomanagement
Die Geschäftsleitung Trägt die Hauptverantwortung dafür, dass die Risikomanagement-maßnahmen mettant en œuvre und überwacht werden – Allerdings kann sie nach dem aktuellen enwurf vom mai 2025 für surveillance-zwecke auch dritte hinzuhehen. Das Macht Auch Sinn: InformationsSicherheitsmaßnahmen, Wie Schutzwürdige Daten Zu Verschlüsseln, Sollten Idealerweise von der it-Abteillung implémentant werden.
Nach dém Gesetzentwurf des Bsig-e Gehört Zur Geschäftsleitung Gemäß § 2 nr. 13 BSIG – E «Eine Natürliche Person, Die Nach Gesetz, Satzung Oder Gesellschaftsvertrag Zur Führung der Geschäfte und Zur Vertretung einer Besonders wichtigen Einrichtung oder wichtigen einrichtung Berufen Ist». Wünschenswert Wäre, Dass der Neue Bundestag Hier Eine Klarere Regelung Trifft. Nach dém Gesetzentwurf bleibt nämlich unklar, ob darüber hinaus auch diienst- beziehungsweise arbeitsvertraglich vertretungsbefugte personmen haftbar gemacht werden können.
Festgelegt Ist Jedoch, Dass Die Geschäftsleitung Regelmäßig An Entsprechenden Schulungen Teilnehmen Muss. Wie Genau Diese Schulungen, Sowie die Korrespondierenden dokumentationspflichten Ausgestaltet Werden Sollen, Bleibt das bsig-e Allerdings Schuldig. Wichtig ist vor Allem, dass die geschäftsleitung mit ihrem privatvermögen verschuldensabhängig haften soll (vgl. § 38 abs. 2 bsig-e ivm der Jeweils einschlägigen Haftungsnorm wie § 93 Abs. 2 S. 1 aktg, § 43 ABS. Gmbhg). Wenn Die Gesellschaftsrechtlichen Normen Keine Haftung Vorsehen, Haftet Die Geschäftsleitung Unter Umständen Direkt Nach § 38 ABS. 2 S. 2 Bsige. Diese Haftung Sollen Die Organe der Geschäftsleitung Nicht Vertraglich Ausschließen Können – Entsprechende Verzichts- und Vergleichsvereinbarungen Unwirksam Sein.
Zwar Finden Sich Bereits Im Gesellschafts- und Ordnungswidrigkeitenrecht Regelungen, die Eine Haftung der Geschäftsleitung Vorsehen – donc BeispelSweise Die Verpflichtung «Zur Sorgfalt eines Ordentlichen Geschäftsmannes» (§ 43 abs. 1 GMBG). § 38 ABS. 1 bsig-e bezieht cybersicherheit nun aber ausdrücklich in die pflichten der Geschäftsleitung ein. Zudem Kann Vorübergehend auch die wahrnehmung der Leitungsaufgaben Untersagt Werden.
Nis2-umsetzungsgesetz: hohe bußgelder drohen
Auch den Unternehmen Selbst Drohen Bei Einem Versoß Erhebliche Geldbußen, Nämlich bis zu zehn millionen euro (Vgl. § 65 ABS. 5 BSIG-E) ODER zwei prozent des weltweiten vorjahresumsatzes. Zu Beachten Ist Außerdem, Dass augrund der Unterschiedlichen Schutzzwecke auch eine beltrafung auf grundlage mehrerer gesetze Grundsätzlich möglich ist (Etwa bei einem Gleichzeitigenne DatenschutzverStoß).
Da Sich die Politische mehrheitslage Verändert hat und nun eine CDU-Geführte Bundesregierung für die umsetzung der nis2-richtlinie zuständig ist, Sind änderungen im laufenden gesetzgebungsverfahren möglich. Insbesondere Regelungen Zur Einbindung Staatlicher Stellen Könnten überarbeitet Werden. So Könte Etwa Das Bsi Künftig Befugt Sein, Komponenten Zu Untersagen, und Gegebenenfalls auch als meldestelle für schwachstellen zum einsatz kommen. Die endgültige Ausgestaltung des Nis2umsucg bleibt zunächst politisch wie inhaltlich offen.
Angesichts der Drohedenden Konsequenzen Sollten Unternehmen Drindend Prüfen,
- ob sie dans den anwendungsbereich des nis2umsucg tombé,
- ob Bereits Entsprechende Maßnahmen Implémentation de Wurden, UND
- Un Welchen Stellen Noch Handlungsbedarf Besteht.
Die pflicht, die eigenen systeme zu schützen, sollten sie nicht als einschränkung Sehen. Schließlich Kann das auch eine chance sein, ihr unternehmen besser gegen cybera-hungen zu wappnen. (FM)
SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.
