Was bedeuten NIS-2 und NIS2UmsuCG für Unternehmen
NIS-2 Check-up für Unternehmen
Worum geht es bei NIS-2 und NIS2UmsuCG?
In Europa sollen kritische Infrastrukturen besser geschützt werden. Mit der NIS-2-Richtlinie strebt die EU ein einheitliches, hohes Cybersicherheitsniveau an und will den Binnenmarkt stärken. Die Weiterentwicklung der 2016 verabschiedeten NIS-Richtlinie soll Unternehmen und kritische Einrichtungen nicht nur besser vor Cyberangriffen schützen, sondern ihnen auch verpflichtende Leitlinien für die Reaktion auf Angriffe an die Hand geben.
Seit dem 27. Dezember 2022 ist NIS-2 in Kraft, und die EU-Staaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt mit NIS2UmsuCG bereits ein Gesetzesentwurf vor, welcher Unternehmen und Betreiber kritischer Anlagen zur Umsetzung der neuen Sicherheitsstandards verpflichtet.
Datenleaks, Ransomware-Angriffe, Systemausfälle: Die Betreiber kritischer Infrastrukturen in Europa sehen sich einer steigenden Zahl von Gefahren gegenüber. Diese führen nicht nur zu hohen wirtschaftlichen Schäden bei Unternehmen und Kunden, sondern bedrohen auch die gesellschaftliche Stabilität.
Um dieser Herausforderung besser begegnen zu können, soll durch NIS-2 ein einheitliches, hohes Cybersicherheitsniveau auf EU-Ebene etabliert werden. Die EU-Mitgliedsstaaten übersetzen die Richtlinie dafür in nationales Recht.
Mit NIS-2 fordert die EU von allen Mitgliedsstaaten, die gleichen IT-Sicherheitsstandards einzuhalten, damit ein gemeinsames Cybersicherheitsniveau und stabile Infrastrukturen in Europa gewährleistet werden können. Die Richtlinie verpflichtet die Mitgliedsstaaten zur Durchsetzung bestimmter Maßnahmen. Nationale Gesetzgebungen sollen verpflichtet Unternehmen dazu verpflichten, höhere Standards in den Bereichen Risikoanalyse und -management, Ereignis- und Krisenmanagement und Verschlüsselung zu erfüllen. Dabei betrifft sie NIS-2 nicht nur eine höhere Anzahl an Unternehmen und Organisationen als NIS-1, sondern stärkt auch die Befugnisse bestimmter nationaler Institutionen wie des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Mit der NIS-2-Richtlinie verstärkt und erweitert die EU die Anforderungen von 2016. Sie umfasst nun mehr Sektoren und Anwendungsbereiche, wobei Unternehmen kategorisch in “Besonders wichtig” und “Wichtig” eingeteilt werden. Nach aktuellen Schätzungen erweitert sich der Kreis der betroffenen Unternehmen in Deutschland auf rund 30.000.
Nationale Behörden erhalten erweiterte Befugnisse, beispielsweise bei Vor-Ort-Kontrollen sowie bei der Anforderung von Daten und Dokumenten. Gleichzeitig wird die Zusammenarbeit zwischen den Mitgliedsstaaten in Fragen der Cybersicherheit verstärkt.
Ab Oktober 2024 soll NIS-2 in Deutschland durch ein entsprechendes Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht übergehen. Die ersten Nachweisprüfungen für Unternehmen erfolgen voraussichtliche drei Jahre nach Inkrafttreten des Gesetzes. Unternehmen, die entsprechende Maßnahmen nicht umsetzen, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.
NIS-2-Studie 2024
Was müssen Unternehmen jetzt tun?
In dem NIS-2-Umsetzungsgesetz sind verschiedene Anforderungen enthalten, die betroffene Einrichtungen umzusetzen haben. Aktuell existiert keine Übergangsfrist, sodass die Anforderungen direkt gelten. Jedoch hat die Vergangenheit gezeigt, dass die umfangreichen Maßnahmen auch entsprechend Zeit für eine vollständige Umsetzung bedürfen. Hierbei ist entscheidend einen konkreten Plan vorlegen zu können. Zusätzlich kann das BSI erst nach maximal drei Jahren einen Nachweis über die Erfüllung der Anforderungen anfordern.
Je nach Ausgangspunkt hat es sich bewährt gemäß nachfolgenden Phasen vorzugehen: Betroffenheitsanalyse, GAP-Analyse NIS-2 Anforderungen, Erstellung einer Maßnahmenplanung sowie die Umsetzung.
Die Betroffenheitsanalyse stellt insbesondere Unternehmen mit komplexen Strukturen vor Herausforderungen. „Mutterkonzerne“ mit verschiedenen „Töchterunternehmen“ z. B. auch in anderen europäischen Ländern, müssen jeweils in dem ansässigen Land das nationalen Umsetzungsgesetz erfüllen.
secunet unterstützt bei der Durchführung der Betroffenheitsanalyse und kann dabei auf mehrfach erprobte Werkzeuge zurückgreifen.
Gemäß der erprobten Clusterung prüft secunet die einzelnen Anforderungen z. B. in Form von Interviews inkl. der Möglichkeit sich auch Nachweise vorlegen zu lassen. Hierbei wird ein Fragenset verwendet, welches durch Experten aus der Informationssicherheitsberatung mit mehr als 20 Jahren Erfahrung, zusammengestellt wurde.
Wenn Unternehmen aus dem europäischen Ausland geprüft werden, wird der Fragenkatalog gemäß den nationalen Spezifika angepasst.
Es gibt Unternehmen, die bereits eine Vielzahl von Maßnahmen zur Informationssicherheit umgesetzt haben oder Unternehmen die nur Einzelmaßnahmen wie z. B. die Verwendung von Passwörtern umgesetzt haben. Je Ausgangssituation sind die zu erwartenden Gaps sehr unterschiedlich ausgeprägt.
Je nach bereits umgesetzten Maßnahmen zur Informationssicherheit ergibt sich anhand der Gap-Analyse ein konkreter Maßnahmenplan, hierbei sortiert secunet die Inhalte gemäß der folgenden Clusterung / Inhalten. Auf dieser Basis kann dann auch ein Tracking erfolgen.
Insbesondere bei der Umsetzung geht es darum den Fortschritt kontinuierlich zu überwachen, Handlungsbedarf zu erkennen und daraufhin Korrekturmaßnahmen einzuleiten.
Hierbei unterstützt secunet mit einem fachbezogenem Projektmanagement, welches eine gute Kombination aus fachlicher Beratung unter Einbeziehung weiterer Security Experten mit einem ausgeprägtem organisatorischen Skillset kombiniert.
Individuelle Beratung
Was gilt es zu beachten bei vorhandenem ISMS?
Unternehmen, die ein Informationssicherheitsmanagementsystem (ISMS) implementiert haben, sind in der Regel schon gut aufgestellt. Dennoch empfehlen wir dringend, eine Gap-Analyse durchzuführen oder diese im Rahmen des internen Audits zu integrieren. So können mögliche Lücken frühzeitig identifiziert und geschlossen werden.
Folgende Maßnahmen sollten zusätzlich in Betracht gezogen werden:
- Verpflichtung der Geschäftsführung: Die Geschäftsführung sollte Maßnahmen umsetzen, um alle gesetzlichen Anforderungen zu erfüllen.
- Überprüfung des Anwendungsbereichs des ISMS: Sicherstellen, dass das ISMS alle relevanten Bereiche abdeckt, die den gesetzlichen Vorgaben unterliegen.
- Durchführung der Registrierung: Die vorgeschriebene Registrierung muss vollständig und ordnungsgemäß durchgeführt werden.
- Einrichtung eines Meldeprozesses: Ein Meldeprozess inklusive der Einhaltung der Fristen muss eingerichtet werden.

Welche Unternehmen müssen jetzt handeln?
Unter den erweiterten Kreis von betroffenen Institutionen fallen auch mittlere Unternehmen. Alle erfassten Organisationen werden in verschiedene Kategorien unterteilt, darunter kritische Anlagen, besonders wichtige und wichtige Einrichtungen. Diese finden sich unter anderem in folgenden Sektoren wieder:
Energie // Verkehr // Finanzwirtschaft // Gesundheitswesen // Trinkwasser // Abwasser // Abfallwirtschaft // Digitale // Infrastrukturen // Raumfahrt // IKT-Management // Logistik // Post- und Kurierdienste // Lebensmittelindustrie und -handel // Verarbeitendes Gewerbe // Digitale Anbieter // Forschung
Besonders wichtige Einrichtungen
Großunternehmen ab 250 Mitarbeitenden oder mit mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme sowie weitere einzelne Unternehmen (größenunabhängig) aus kritischen Sektoren.
Wichtige Einrichtungen
Mittlere Unternehmen ab 50 Mitarbeitenden oder mit 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme sowie spezifische Großunternehmen.
Betreiber kritischer Anlagen
Kritische Anlagen (KRITIS) ab einer Versorgungskapazität von 500.000 Personen.
Bundesverwaltung
Stellen des Bundes, Körperschaften, Anstalten, Stiftungen des öffentlichen Rechts nach NIS2UmsuCG, außerdem Bundesministerien und Bundeskanzleramt.
Secunet steht Ihnen bei allen Fragen rund um die NIS-2-Richtlinie und das NIS2UmsuCG zur Seite. Schicken Sie uns einfach eine Anfrage über das Kontaktformular. Wir beraten Sie gerne.