NIS2 – und jetzt?
Mit der Umsetzung von NIS2 in deutsches Recht wächst im Oktober die Anzahl der als kritisch eingestuften Unternehmen auf 30 000. Erstmals nimmt das Gesetz auch Unternehmen in der Lieferkette in die Pflicht. iX erklärt, was Unternehmen jetzt wissen müssen.
Die Uhr läuft: Bis zum 17. Oktober 2024 muss der deutsche Gesetzgeber die europäischen Cybersicherheits- und Resilienzrichtlinien NIS2 (Network and Information Security) und CER (Critical Entities Resilience Directive) in den hiesigen Rechtsrahmen eingebunden haben. Seit Januar 2023 sind die beiden Richtlinien in der EU in Kraft, die sicherstellen sollen, dass als kritisch eingestufte Einrichtungen die Bevölkerung in den Mitgliedsstaaten mit lebenswichtigen Gütern und Diensten versorgen können. CER reguliert den physischen Schutz vor Sabotage und anderen Angriffen. Die Sicherheit der Informations- und Kommunikationstechnik ist Gegenstand der Richtlinie NIS2.
Der Anwendungsbereich beider Richtlinien umfasst insgesamt achtzehn Industriesektoren von Wasser bis Weltraum (Abbildung 1), an die sie umfassende Anforderungen an das Risikomanagement und die Cybersicherheit stellen. Will Deutschland kein Vertragsverletzungsverfahren mit der EU riskieren, müssen spätestens am Stichtag im Oktober Gesetze in Kraft treten, die die Richtlinien in nationales Recht umsetzen. Die Entwürfe für das KRITIS-Dachgesetz (KRITIS-DachG, siehe ix.de/z316) zur CER-Umsetzung und das etwas sperrig betitelte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befinden sich in unterschiedlichen Stadien des Gesetzgebungsverfahrens (siehe Kasten „Stand der Gesetzgebung“).