Die Anforderungen von NIS2 verstehen, prüfen und umsetzen

NIS2 kommt ab Oktober 2024 als deutsches Gesetz. Immer noch wissen viele Unternehmen nicht, was dieses Gesetz überhaupt regelt, ob sie davon betroffen sind und was zur Erfüllung der gesetzlichen Pflichten zu tun ist.

Was ist NIS2 überhaupt?

NIS2 ist eine EU-Richtlinie zur Verbesserung des Sicherheitsniveaus von Netzwerk- und Informationssystemen in Unternehmen. Als EU-Richtlinie soll sie bis Oktober 2024 in nationales Recht umgesetzt werden. Das deutsche Gesetz wird „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ oder kurz NIS2UmsuCG heißen.

Was regelt NIS2?

Mit NIS2 soll eine höhere Widerstandsfähigkeit von Unternehmen gegen Gefahren aus dem Cyberraum erreicht werden. Dazu sind in Unternehmen angemessene Cybersecurity-Maßnahmen nach aktuellem Stand der Technik sowie ein angemessenes Niveau der IT- und OT-Sicherheit im Unternehmen umzusetzen.

Beinhaltet sind ausdrücklich nicht nur IT-Maßnahmen, sondern auch wirksame organisatorische Mittel zur Risikominderung und Vermeidung von Betriebsunterbrechungen. Das Gesetz regelt auch die Haftung von Geschäftsführungen und Vorständen für Versäumnisse im Bereich der Cybersicherheit. 

Welche Unternehmen sind betroffen?

Ca. 30.000 Unternehmen in Deutschland werden durch das Gesetz in drei verschiedene Kritikalitätsgruppen eingeteilt, die konkreten Anforderungen sind abhängig von der Einordnung. Je höher die Einordnung, desto strenger die Umsetzungsforderungen, vor allem in Hinsicht auf Registrierung und Meldepflichten sowie regelmäßige Nachweise und Überprüfungen.

Deutsche Unternehmen müssen selbständig prüfen, ob das Gesetz für Sie anwendbar ist und entsprechende Maßnahmen ergreifen. Eine Übergangsfrist wird es nicht geben, Unternehmen müssen daher rechtzeitig Maßnahmen beschließen und umsetzen.

Was ist zu tun, wenn ein Unternehmen betroffen ist?

Betroffene Unternehmen müssen ihre Cybersicherheit verstehen und überprüfen, Sicherheitsprozesse einführen oder verbessern, technische und organisatorische Maßnahmen zur Risikominderung und zur Vermeidung von Betriebsausfällen treffen und Notfallpläne erstellen. Der Nachweis ist vor allem durch standardisierte Informationssicherheitsmanagementsysteme (ISMS), ein Business Continuity Mangement (BCM) sowie einem Notfallmanagement zu erbringen. Technische Maßnahmen umfassen vor allem Systeme zur Angriffserkennung (SzA)  durch Einrichtung eines Logmanagements (SIEM), eines Security Monitorings bzw. eines Security Operation Centers (SOC) sowie eines Incident Managements.

Bis wann müssen betroffene Unternehmen Maßnahmen umsetzen? 

Das Gesetz gilt ab Inkrafttreten, alle darin enthaltenen Pflichten müssen ab diesem Zeitpunkt erfüllt werden. ES gibt, anders als z.B. bei der DSGVO 2016/2018, keine Übergangsfristen. Das Gesetz verlangt von den Unternehmen, sich selbst auf Betroffenheit zu prüfen und sich spätestens 3 Monate nach der Identifizierung als betroffenes Unternehmen beim BSI zu registrieren. Ein aktiver Nachweis über die Umsetzung muss lediglich von KRITIS-Betreibern alle 3 Jahre erbracht werden, alle anderen wichtigen und besonders wichtigen Unternehmen werden vom BSI stichprobenartig geprüft. Ob eine solche Prüfung z.B. im Zusammenhang mit der verpflichtenden Meldung nach einem Sicherheitsvorfall stattfindet, kann vorerst nur vermutet werden. 

Was kann die Datiq GmbH für Unternehmen tun?

Wir beraten Unternehmen in unserem NIS2-Kurzworkshop bei der Einordnung in das NIS2-Gefüge:

• Ist das Unternehmen überhaupt betroffen?
• Wie wird es eingestuft?
• Wie kann der aktuelle Stand der Cybersicherheit ermittelt und dokumentiert werden?
• Welche Maßnahmen sind in welcher Dringlichkeit umzusetzen?

Unsere Muttergesellschaft Comp4U GmbH übernimmt als renommierter Cybersecurity-Experte die Beratung und Umsetzung zu allen technischen Maßnahmen.