Cybersicherheit: Was Unternehmen über die NIS2-Richtlinie wissen müssen
Mit der Umsetzung von NIS2 wächst die Anzahl der als kritisch eingestuften Unternehmen. Erstmals nimmt das Gesetz auch Firmen in der Lieferkette in die Pflicht.
- Ulrich Plate
Die Uhr läuft: Bis zum 17. Oktober 2024 muss der deutsche Gesetzgeber die europäischen Cybersicherheits- und Resilienzrichtlinien NIS2 (Network and Information Security) und CER (Critical Entities Resilience Directive) in den hiesigen Rechtsrahmen eingebunden haben. Seit Januar 2023 sind die beiden Richtlinien in der EU in Kraft, die sicherstellen sollen, dass als kritisch eingestufte Einrichtungen die Bevölkerung in den Mitgliedsstaaten mit lebenswichtigen Gütern und Diensten versorgen können. CER reguliert den physischen Schutz vor Sabotage und anderen Angriffen. Die Sicherheit der Informations- und Kommunikationstechnik ist Gegenstand der Richtlinie NIS2.
Der Anwendungsbereich beider Richtlinien umfasst insgesamt achtzehn Industriesektoren von Wasser bis Weltraum, an die sie umfassende Anforderungen an das Risikomanagement und die Cybersicherheit stellen. Will Deutschland kein Vertragsverletzungsverfahren mit der EU riskieren, müssen spätestens am Stichtag im Oktober 2024 Gesetze in Kraft treten, die die Richtlinien in nationales Recht umsetzen. Die Entwürfe für das KRITIS-Dachgesetz (KRITIS-DachG) zur CER-Umsetzung und das etwas sperrig betitelte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befinden sich in unterschiedlichen Stadien des Gesetzgebungsverfahrens.
Bei potenziell Betroffenen der Regulierungsreform zur Cybersicherheit und Resilienz kritischer Einrichtungen haben die vorgestellten gesetzlichen Regelungen eine ähnliche Nervosität ausgelöst, wie sie zuletzt 2018 bei der Einführung der Datenschutz-Grundverordnung (DSGVO) zu beobachten war. Dabei ist es nicht ganz einfach, die eigene Betroffenheit überhaupt zu ermitteln. Viele Industrieverbände sind bereits dabei, ihren Mitgliedsunternehmen entsprechende Hilfestellungen beim Identifizieren der Rechtslage zu geben. Einige Beratungsunternehmen bieten interaktive NIS2-Checker, die anhand eines Fragenkatalogs abklopfen, ob Sektorzugehörigkeit und Charakter des Unternehmens den Schluss nahelegen, dass man dazugehören könnte. Schwierig zu beantworten ist die Frage aber auch für die Aufsichtsbehörden, die laut Richtlinie im April 2025 erstmals und dann alle zwei Jahre wieder die Anzahl der regulierten Einrichtungen nach Brüssel melden müssen.