Startseite » NIS-2-Pflicht ab Oktober: Tausende Unternehmen von neuem NIS-2-Gesetz betroffen

NIS-2-Pflicht ab Oktober: Tausende Unternehmen von neuem NIS-2-Gesetz betroffen

Seit der Einführung der NIS-2-Richtlinie durch die EU stehen viele Unternehmen vor neuen Herausforderungen im Bereich der Cybersicherheit. Die NIS-2-Richtlinie zielt darauf ab, die Widerstandsfähigkeit von Netz- und Informationssystemen zu stärken, um den wachsenden Bedrohungen durch Digitalisierung und Vernetzung besser begegnen zu können. Doch welche Unternehmen sind konkret betroffen, und was bedeutet das für sie? Bis Oktober 2024 sollen die EU-Länder die Richtlinie in Landesgesetze gegossen haben.

Sind Sie unsicher, ob Ihr Unternehmen betroffen ist?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine NIS-2-Betroffenheitsprüfung an, die Ihnen in wenigen Schritten eine erste Orientierung bietet. Diese Prüfung stellt konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf ausführlicher erläutert. Auf der Plattform nis2-conform.eu kann man dies ebenfalls testen und eine 12-Monate-gültige Konformitätsbescheinigung erwerben.

Wie funktioniert die NIS-2-Betroffenheitsprüfung?

Nachdem Sie den Fragenkatalog der NIS-2-Betroffenheitsprüfung durchlaufen haben, erhalten Sie eine automatisierte Ersteinschätzung. Diese gibt Aufschluss darüber, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist und erläutert Ihnen, was dieser Status bedeutet und welche Pflichten durch den EU-Gesetzgeber vorgezeichnet sind. Wichtig zu wissen: Die Nutzung der NIS-2-Betroffenheitsprüfung erfolgt anonym. Das BSI erfasst keine personenbezogenen Daten oder Informationen, die Rückschlüsse zur Identifizierung Ihres Unternehmens zulassen.

Rechtliche Bindung und Aktualisierungen

Beachten Sie, dass die NIS-2-Betroffenheitsprüfung lediglich als Orientierungshilfe dient und Ihr Ergebnis rechtlich nicht bindend ist. Ihre Antworten werden automatisiert erstellt und nicht vom BSI oder anderen unabhängigen Stellen geprüft. Es besteht kein Anspruch auf Vollständigkeit und Richtigkeit der Inhalte. Sobald die nationale Umsetzung der NIS-2-Richtlinie erfolgt ist und das entsprechende Gesetz im Deutschen Bundestag beschlossen wurde, wird das BSI die Betroffenheitsprüfung entsprechend anpassen und aktualisieren.

Betreiber kritischer Infrastrukturen

Zu den von der NIS-2-Richtlinie besonders betroffenen Unternehmen gehören Betreiber kritischer Infrastrukturen (KRITIS). Gemäß § 2 Absatz 10 des BSIG zählen dazu Einrichtungen aus den Sektoren:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Siedlungsabfallentsorgung

Diese Einrichtungen sind von hoher Bedeutung für das Funktionieren des Gemeinwesens. Durch ihren Ausfall oder ihre Beeinträchtigung könnten erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit entstehen.

Pflichten für KRITIS-Betreiber

Betreiber kritischer Infrastrukturen müssen gemäß dem BSI-Gesetz (BSIG) und der BSI-Kritisverordnung verschiedene Pflichten erfüllen:

  • Benennung einer Kontaktstelle für die betriebene kritische Infrastruktur
  • Meldung von IT-Störungen oder erheblichen Beeinträchtigungen
  • Umsetzung der IT-Sicherheit auf dem „Stand der Technik“
  • Nachweis dieser Maßnahmen alle zwei Jahre gegenüber dem BSI

Meldepflicht und freiwillige Meldungen

Seit dem Inkrafttreten der BSI-Kritisverordnung am 3. Mai 2016 gilt die Meldepflicht für Betreiber aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung. Seit einer Änderung der Verordnung gilt diese Pflicht auch für Betreiber aus den Sektoren Gesundheit, Transport und Verkehr sowie dem Finanz- und Versicherungswesen. Betreiber kritischer Infrastrukturen, die nicht unter die BSI-Kritisverordnung fallen, können freiwillige Meldungen über außergewöhnliche IT-Störungen bei der Allianz für Cyber-Sicherheit abgeben.

Unterstützung und Kontakt

Wenn Sie Fragen zur Umsetzung der NIS-2-Richtlinie haben oder Unterstützung benötigen, steht Ihnen das BSI zur Verfügung. Für weitergehende Fragen nutzen Sie bitte die E-Mail-Adresse Kritische.Infrastrukturen@bsi.bund.de. Verwenden Sie diese Adresse jedoch nicht für Ihre Meldungen, da über diese Adresse keine jederzeitige Erreichbarkeit gewährleistet ist.

Fazit

Die NIS-2-Richtlinie betrifft tausende Unternehmen und stellt sie vor neue Herausforderungen in der Cybersicherheit. Nutzen Sie die NIS-2-Betroffenheitsprüfung des BSI, um eine erste Einschätzung zu erhalten und sich auf die neuen Anforderungen vorzubereiten. So können Sie sicherstellen, dass Ihr Unternehmen den gesetzlichen Vorgaben entspricht und gut gegen Cyberbedrohungen gewappnet ist.