Am 17. Oktober soll das NIS-2-Umsetzungs- und Cybersicherheitsst\u00e4rkungsgesetz (NIS2UmsuCG) in Kraft treten und die von der EU beschlossenen Ma\u00dfnahmen zur St\u00e4rkung der Cybersicherheit im deutschen Recht verankern. Der Controlware Quick Check f\u00fcr die NIS-2-Readiness verr\u00e4t Unternehmen, welchen Vorgaben sie bereits gerecht werden und wo noch Handlungsbedarf besteht.<\/p>\n
Um Unternehmen in der EU k\u00fcnftig besser vor Cyberangriffen zu sch\u00fctzen, brachte die europ\u00e4ische Kommission Anfang 2023 mit der NIS-2-Direktive den Nachfolger der seit 2016 geltenden NIS 1 auf den Weg. Jetzt obliegt es den Regierungen der Mitgliedstaaten, die neue Richtlinie bis 17. Oktober 2024 in ihre jeweilige Gesetzgebung zu \u00fcbernehmen. Wie die Umsetzung in Deutschland aussehen wird, galt lange als ungewiss \u2013 doch sp\u00e4testens seit der Ver\u00f6ffentlichung einiger Referentenentw\u00fcrfe und des offiziellen Regierungsentwurfs f\u00fcr das NIS2UmsuCG im Juli 2024 wurden viele wichtige Fragen beantwortet:<\/p>\n
Wer ist von der NIS 2 betroffen? Die Vorgaben werden in Deutschland nach Expertensch\u00e4tzungen rund 30.000 mittlere und gro\u00dfe Unternehmen aus 18 Sektoren der Wirtschaft betreffen (etwa Versorgung, Verkehr, Finanzen, Gesundheitswesen und ITK). Faktisch wird sich NIS 2 aber auf wesentlich mehr Firmen auswirken, da viele unmittelbar regulierte Unternehmen auch ihre Lieferanten und Dienstleister in die Pflicht nehmen werden, die Ma\u00dfnahmen und Vorgaben umzusetzen.<\/p>\n
Wie werden die betroffenen Unternehmen klassifiziert? Der Gesetzgeber unterscheidet zwischen besonders wichtigen Einrichtungen (\u00fcber 250 MA oder \u00fcber 50 Mio. Euro Umsatz und \u00fcber 43 Mio. Euro Bilanz) und wichtigen Einrichtungen (\u00fcber 50 MA oder \u00fcber 10 Mio. Euro Umsatz und \u00fcber 10 Mio. Euro Bilanz). Was m\u00fcssen diese Unternehmen leisten? Der Regierungsentwurf verpflichtet sie zu einem systematischen Cyberrisikomanagement, das sich an den relevanten europ\u00e4ischen und internationalen Normen orientiert. Hierf\u00fcr m\u00fcssen die Unternehmen eine Reihe von Mindestanforderungen an die Cybersicherheit erf\u00fcllen und geeignete und verh\u00e4ltnism\u00e4\u00dfige technische, operative und organisatorische Ma\u00dfnahmen nach dem Allgefahrenansatz ergreifen.<\/p>\n
Was geschieht bei Verst\u00f6\u00dfen gegen die NIS-2-Vorgaben? Bei Verst\u00f6\u00dfen sind abgestufte Bu\u00dfgelder vorgesehen. Die Obergrenzen sollen zwischen 100.000 Euro und 10 Millionen Euro liegen, f\u00fcr gro\u00dfe Einrichtungen k\u00f6nnen alternativ Bu\u00dfgelder von bis zu 2 Prozent des weltweiten Jahresumsatzes verh\u00e4ngt werden. Was m\u00fcssen Betroffene als erstes tun? Alle Unternehmen, die unter die Regulierung fallen, m\u00fcssen sich innerhalb von drei Monaten nach Inkrafttreten des neuen Gesetzes im Online-Portal des BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) registrieren. Diese Deadline zu verpassen, kann teuer werden: Bei ausbleibender oder fehlerhafter Registrierung droht ein Bu\u00dfgeld von bis zu 500.000 Euro.<\/p>\n
\u201eAngesichts des engen Zeitfensters, der h\u00f6heren H\u00fcrden und der versch\u00e4rften Strafen d\u00fcrfen die betroffenen Unternehmen NIS 2 keinesfalls auf die leichte Schulter nehmen\u201c, warnt Daniel Kammerbauer, Team Lead Governance, Risk & Compliance bei Controlware GmbH. \u201eUnsere Experten stehen internen Security-Teams in allen Phasen der NIS-2-Umsetzung zur Seite. Dabei wird zun\u00e4chst im Rahmen des Compliance-Checks ermittelt, wo die Unternehmen bei der Umsetzung stehen und welche Herausforderungen sie adressieren m\u00fcssen. Dann entwickeln wir gemeinsam einen Ma\u00dfnahmenkatalog und beraten bei der Einf\u00fchrung eines systematischen Informationssicherheits-Managements. Selbstverst\u00e4ndlich unterst\u00fctzen wir als IT-Dienstleister und MSP dar\u00fcber hinaus auch bei der Implementierung und Umsetzung der technischen Konzepte \u2013 und stellen so die Weichen f\u00fcr einen nachhaltig sicheren IT-Betrieb.\u201c<\/p>\n