Mit der steigenden Zahl von Cyberbedrohungen und Angriffen wird es immer dringlicher, geeignete Schutzmaßnahmen zu ergreifen. In diesem Zusammenhang hat die Europäische Union die NIS-2-Richtlinie ins Leben gerufen, die ein hohes gemeinsames Cybersicherheitsniveau in der Union anstrebt. Nun wird Deutschland mit dem NIS-2-Umsetzungsgesetz seine nationalen Vorschriften zur Cybersicherheit verschärfen. In diesem Kurzbeitrag werden die wichtigsten Punkte des Gesetzes und seine Auswirkungen auf Unternehmen zusammengefasst.
- Hintergrund und Ziele der NIS-2-Richtlinie: Die NIS-2-Richtlinie zielt darauf ab, die Cyberresilienz der europäischen Wirtschaft zu stärken und wettbewerbsverzerrende Unterschiede zwischen den Mitgliedsstaaten zu beseitigen. Sie verpflichtet die Mitgliedstaaten dazu, ihre nationalen Vorschriften zur Cybersicherheit in kritischen Einrichtungen zu verschärfen. Das übergeordnete Ziel ist die Verhinderung von Störungen der informationstechnischen Systeme und Prozesse, die für die Erbringung wichtiger Dienste genutzt werden.
- Adressaten: Das NIS-2-Umsetzungsgesetz richtet sich an Betreiber kritischer Anlagen, wichtiger Einrichtungen und Unternehmen im besonderen öffentlichen Interesse. Die Kategorisierung erfolgt entsprechend der Größe und Kritikalität der Unternehmen. Zu den kritischen Anlagen gehören beispielsweise Einrichtungen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen und Digitale Infrastruktur. Die Regelungen gelten auch für Großunternehmen und Online-Dienstleister mit bestimmten Umsatz- und Mitarbeiterkriterien.
- Neue Anforderungen an das Risikomanagement: Das Gesetz legt neue Risikomanagement-Vorschriften fest, die über die bisherigen Pflichten hinausgehen. Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ihre Systeme zu schützen. Es werden zehn Elemente eines angemessenen Risikomanagementansatzes definiert, die Unternehmen umsetzen müssen. Dazu gehören Risikoanalysen, Lieferkettensicherheit, Kryptografie, Verschlüsselung und Personalsicherheit.
- Transparenzpflichten und Meldepflichten: Das Gesetz fordert eine erhöhte Transparenz gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Kunden. Unternehmen müssen erhebliche Sicherheitsvorfälle dem BSI melden und Zwischenmeldungen abgeben. Zudem werden bußgeldbewehrte Registrierungspflichten eingeführt. Das BSI kann Unternehmen anweisen, ihre Dienstempfänger über Sicherheitsvorfälle zu informieren.
- Verantwortung der Geschäftsleitung: Eine bedeutende Neuerung des Gesetzes ist die direkte Verpflichtung der Geschäftsleitung wichtiger und besonders wichtiger Einrichtungen zur Überwachung der Cybersicherheitsmaßnahmen. Die Geschäftsleiter müssen die Risikomanagementmaßnahmen billigen und regelmäßige Schulungen absolvieren. Bei Verstößen können sie persönlich haftbar gemacht werden.
- Sanktionen: Das NIS-2-Umsetzungsgesetz sieht strenge Sanktionen für Verstöße gegen die IT-Sicherheitsvorschriften vor. Bußgelder können bis zu 20 Millionen Euro oder einen Prozentsatz des weltweiten Umsatzes des Unternehmens betragen.
Fazit: Das NIS-2-Umsetzungsgesetz markiert einen bedeutenden Schritt in Richtung einer verbesserten Cybersicherheit in Unternehmen. Es legt strengere Vorschriften für Risikomanagement, Transparenz und Verantwortung der Geschäftsleitung fest. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen, um sicherzustellen, dass sie den gesetzlichen Bestimmungen entsprechen und effektive Maßnahmen zum Schutz vor Cyberbedrohungen umsetzen. Die drastischen Sanktionen verdeutlichen, dass Cybersicherheit als essentieller Bestandteil des wirtschaftlichen und sozialen Lebens betrachtet wird und entsprechend behandelt werden muss.