Wann tritt die NIS-2-Richtlinie in Deutschland in Kraft? – In den vergangenen Wochen wurden die Anfälligkeit und die weitreichenden Folgen von IT-Ausfällen weltweit deutlich spürbar. In Deutschland führte ein fehlerhaftes Update einer IT-Security-Lösung zu massiven Störungen in verschiedenen Branchen, darunter auch bei Betreibern kritischer Infrastrukturen. Passagiere an Flughäfen steckten fest, Krankenhäuser verschoben Operationen, und Fernsehsender konnten keine Bilder mehr ausstrahlen. Dieser Vorfall verdeutlicht erneut, dass bereits kleine technische Probleme erhebliche Auswirkungen auf die gesamte Wirtschaft haben können. Die Bedeutung von Cybersicherheit rückt daher für Unternehmen aller Branchen immer stärker in den Vordergrund.
Die NIS-2-Richtlinie: Ein neuer Maßstab für Cybersicherheit
Vor diesem Hintergrund gewinnt die 2023 in Kraft getretene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) zunehmend an Bedeutung. Am 24. Juli hat das Bundeskabinett den Gesetzentwurf zur Umsetzung in deutsches Recht verabschiedet, und die DIHK (Deutsche Industrie- und Handelskammer) hat bereits im Mai in einem Positionspapier auf die Implikationen für die Wirtschaft hingewiesen.
Die NIS-2-Richtlinie wird die Anzahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfüllen müssen, deutlich erhöhen. Besonders im Fokus stehen dabei Betreiber kritischer Infrastrukturen, die in „wichtige“ und „besonders wichtige“ Einrichtungen kategorisiert werden. Zu diesen zählen unter anderem Unternehmen aus den Sektoren Energie, Telekommunikation, Wasser, Ernährung und Transport. Bundesweit sollen nach den im Gesetzentwurf festgelegten Kriterien rund 29.500 Unternehmen unter die NIS-2-Richtlinie fallen.
Erhöhte Pflichten und Haftung für Unternehmen
Die Umsetzung der EU-Richtlinie in deutsches Recht bringt für die betroffenen Unternehmen zahlreiche neue Verpflichtungen mit sich. Dazu gehört unter anderem die Einrichtung eines Risikomanagements sowie Nachweispflichten zur internen IT-Sicherheit. Unternehmen müssen zudem künftig „erhebliche Sicherheitsvorfälle“ innerhalb von 24 Stunden an das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe melden. Eine wesentliche Neuerung ist die Haftung der Geschäftsleitung für Cybersicherheitsvorfälle sowie die Verpflichtung zu entsprechenden Schulungen. Das BSI wird die Aufsicht über die Einhaltung der Vorschriften übernehmen und bei Nichtbeachtung hohe Strafen verhängen können.
Obwohl die EU eine Umsetzung der Richtlinie bis zum 18. Oktober 2024 vorgesehen hat, erscheint dieses Ziel nach Angaben des Bundesinnenministeriums aufgrund der notwendigen Beratungen und Anpassungen im Bundestag sehr unwahrscheinlich.
Planungssicherheit und Zusammenarbeit entscheidend
Für die Wirtschaft ist es entscheidend, schnell Klarheit über das nationale Umsetzungsgesetz zu erhalten. Dabei sollten eine möglichst bürokratiearme Umsetzung und umfassende Unterstützungsangebote für die betroffenen Unternehmen im Vordergrund stehen. Aus Sicht der Unternehmen ist es zudem wichtig, dass die neuen Sicherheitsstandards auch für die öffentliche Verwaltung auf allen Ebenen gelten. Die Funktionsfähigkeit der Verwaltung ist für die Wirtschaft essenziell und darf nicht durch Cybersicherheitsvorfälle gefährdet werden.
Dennoch wird die Umsetzung der NIS-2-Richtlinie allein nicht ausreichen, um die Unternehmen in Deutschland vor den zunehmenden Cyberbedrohungen zu schützen. Ein ganzheitlicher Ansatz, der die Zusammenarbeit von Sicherheitsbehörden, europäischen und nationalen Institutionen sowie den Betrieben fördert, ist erforderlich, um ein robustes Sicherheitsniveau für die deutsche Wirtschaft zu gewährleisten.
Die Herausforderungen sind groß, doch mit der richtigen Balance zwischen Sicherheit und Praktikabilität kann die NIS-2-Richtlinie einen wesentlichen Beitrag zum Schutz der deutschen Wirtschaft leisten. Jetzt liegt es an der Politik und den Unternehmen, die notwendigen Schritte schnell und effektiv umzusetzen.