Startseite » Was ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG)?

Was ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG)?

Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) markiert einen entscheidenden Schritt zur Stärkung der Cybersicherheit in Deutschland. Es setzt die EU-Richtlinie NIS-2 (Richtlinie (EU) 2022/2555) auf nationaler Ebene um und erweitert die bestehenden Regelungen zur Informationssicherheit. Ziel ist es, ein hohes Maß an Cybersicherheit für eine Vielzahl von Unternehmen und Sektoren zu gewährleisten und die Bundesverwaltung auf neue Bedrohungen vorzubereiten.

Hintergrund der NIS2-Richtlinie

Die NIS-2-Richtlinie (Netzwerk- und Informationssystemrichtlinie) wurde von der Europäischen Union verabschiedet, um die Cybersicherheitsmaßnahmen in der EU zu harmonisieren. Die zunehmende Digitalisierung und Vernetzung von Unternehmen und Infrastrukturen erfordert eine einheitliche Vorgehensweise gegen Cyberangriffe und IT-Sicherheitsvorfälle. Das Gesetz richtet sich insbesondere an Betreiber kritischer Infrastrukturen (KRITIS), aber auch an Unternehmen, die als „besonders wichtige“ oder „wichtige“ Einrichtungen gelten.

Was regelt das NIS2UmsuCG?

Das NIS2UmsuCG erweitert den Anwendungsbereich der bisherigen IT-Sicherheitsgesetze in Deutschland erheblich. Die wichtigsten Änderungen beinhalten:

  1. Erweiterung des Anwendungsbereichs:
  • Betroffen sind nicht nur Betreiber kritischer Infrastrukturen, sondern auch große Unternehmen und Unternehmen mittlerer Größe aus verschiedenen Sektoren wie Energie, Gesundheit, Transport, Finanzen, IT und Telekommunikation.
  • Neu hinzu kommen Unternehmen, die als besonders wichtig oder wichtig eingestuft werden, etwa aufgrund ihrer Größe oder Bedeutung für die Wirtschaft und Gesellschaft.
  1. Erhöhung der Sicherheitsanforderungen:
  • Unternehmen müssen umfangreiche technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme ergreifen.
  • Das Risikomanagement muss aktualisiert werden, um auf neuartige Bedrohungen reagieren zu können.
  1. Meldepflichten:
  • Sicherheitsvorfälle müssen in einem dreistufigen Meldeverfahren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Dies soll die Reaktionsfähigkeit und Koordination bei IT-Sicherheitsvorfällen verbessern.
  1. Verstärkte Aufsicht:
  • Das BSI erhält erweiterte Befugnisse zur Überwachung und Durchsetzung von Cybersicherheitsmaßnahmen. Es kann Audits und Zertifizierungen verlangen sowie Sanktionen verhängen.

Auswirkungen auf Unternehmen

Das NIS2UmsuCG betrifft etwa 30.000 Unternehmen in Deutschland, von denen viele erstmals in den Anwendungsbereich der Cybersicherheitsgesetze fallen. Die zusätzlichen Pflichten betreffen insbesondere die Umsetzung eines umfassenden Informationssicherheitsmanagements, die regelmäßige Berichterstattung und die Einhaltung von Sicherheitsvorgaben.

Unternehmen müssen erhebliche Investitionen in ihre IT-Sicherheit tätigen, um die neuen Standards zu erfüllen. Laut Schätzungen werden die einmaligen Kosten für die Anpassung auf rund 2,1 Milliarden Euro und die jährlichen Folgekosten auf 2,2 Milliarden Euro veranschlagt.

Ausblick

Das Gesetz ist als Reaktion auf die wachsenden Herausforderungen der Cybersicherheit unverzichtbar. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen und ihre Sicherheitsvorkehrungen entsprechend anpassen. Es wird erwartet, dass das Gesetz bis Ende des Jahres 2024/Anfang 2025 in Kraft tritt.

Das NIS-2-Umsetzungsgesetz bringt erhebliche Neuerungen für die Cybersicherheitslandschaft in Deutschland. Unternehmen müssen ihre IT-Sicherheitsstrategien anpassen, um den neuen gesetzlichen Vorgaben gerecht zu werden. Dies stärkt nicht nur die eigene Sicherheit, sondern auch die Resilienz der gesamten digitalen Infrastruktur.