Das NIS-2-Umsetzungsgesetz ist auf dem Weg! du auch?

Am 24. Juli 2024 hat das Bundeskabinett den aktuellen Regierungsentwurf des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) beschlossen. Damit rückt das Inkrafttreten der NIS-2-Richtlinie auch in Deutschland immer näher. Unser Jurist und ISMS-Experte Gökhan Kesici beantwortet im Interview die drängendsten Fragen.

1. Das Bundeskabinett hat das NIS-2-Umsetzungsgesetz auf den Weg gebracht. Wann und wie wird die EU-Richtlinie in deutsches Recht umgesetzt?

Darüber hinaus wurden die Zuständigkeiten für KRITIS-Anlagen angepasst. Der Geltungsbereich für Telekommunikation und Energie wurde konkretisiert und der Gesetzgeber hat die Haftungsregelungen präzisiert. Diese Anpassungen sollen in erster Linie die Übersichtlichkeit und Anwendbarkeit des Gesetzes weiter verbessern.

3. Werden betroffene Unternehmen informiert?

Gökhan Kesici: Nein, das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die betroffenen Einrichtungen nicht. Es liegt in der Verantwortung der Einrichtung, selbst zu klären, ob sie von der NIS-2-Richtlinie betroffen ist, und entsprechend zu handeln. Sie müssen selbst aktiv werden und sich registrieren lassen.

Dies muss spätestens drei Monate nach dem Zeitpunkt geschehen, ab dem sie erstmals oder erneut als eine der betroffenen Einrichtungen gelten.

4. Was empfiehlst Du zum jetzigen Zeitpunkt Unternehmen, die von NIS-2 betroffen sind?

Gökhan Kesici: Unternehmen, die von der NIS-2-Richtlinie betroffen sind, sollten nicht darauf warten, bis die Richtlinie in nationales Recht umgesetzt ist. Da keine Übergangsfrist existiert, drohen Strafen bereits ab dem Tag der Verabschiedung.

Auch wenn ein Unternehmen überzeugt ist, über ein robustes Informationssicherheits-Managementsystem (ISMS) zu verfügen, kann eine Gap-Analyse Sicherheit Gewissheit verschaffen. Dabei wird der aktuelle Stand bewertet und der Aufwand ermittelt, der notwendig ist, um der NIS-2-Richtlinie zu entsprechen.

5. Was droht Unternehmen, wenn sie die NIS-2-Richtlinie ignorieren?

Gökhan Kesici: Unternehmen, die die NIS-2-Richtlinie ignorieren, müssen mit Bußgeldern rechnen. Die Höhe der Bußgelder variiert je nach Branche und Größe des Unternehmens:

• Für Wesentliche Einrichtungen kann die Höhe der Bußgelder bis zu mindestens 10.000.000 Euro oder bis zu 2 % des gesamten weltweiten Umsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen.
• Für Wichtige Einrichtungen kann die Höhe der Bußgelder bis zu mindestens 7.000.000 Euro oder bis zu 1,4% des gesamten weltweiten Umsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen.

6. Wo siehst du die größte Herausforderung in der Richtlinie?

Gökhan Kesici: Die größte Herausforderung in der NIS-2-Richtlinie sind die eher allgemein formulierten Anforderungen. Die Richtlinie enthält weit gefasste Begriffe, ohne genau zu erläutern, wie diese Maßnahmen umgesetzt werden müssen. Unternehmen benötigen daher umfangreiches Wissen über Best Practices im Bereich Cybersicherheit sowie Expertise über Anforderungen anderer anerkannter Normen und Frameworks.

Unternehmen müssen zudem beurteilen können ob eine bereits implementierte Maßnahme die Anforderungen von NIS-2 erfüllt. Ist dies nicht der Fall, müssen sie in der Lage sein, die am besten geeignete Maßnahme zu identifizieren und umzusetzen. Diese Expertise ist entscheidend, um sicherzustellen, dass alle Anforderungen der Richtlinie erfüllt werden und ein hohes Cybersicherheits-Niveau gewährleistet ist.

Wir danken Dir für dieses Interview!

Hast du Fragen an unsere Expert:innen für Informationssicherheit?
Wir helfen dir gerne weiter.
Schreib uns jetzt eine Nachricht.