NIS-2 und die deutsche Umsetzung - Teil 4

UPDATE
Aktueller Stand der NIS-2-Gesetzgebung in Deutschland: Verzögerungen und Ausblick

Die Umsetzung der EU-NIS-2-Richtlinie in deutsches Recht – vorgesehen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – hat sich erheblich verzögert. Ursprünglich sollte die nationale Umsetzung bis zum 17. Oktober 2024 abgeschlossen sein. Aufgrund politischer Umstände, insbesondere der vorgezogenen Bundestagswahl im Februar 2025 und der anschließenden Regierungsbildung, konnte dieser Zeitplan nicht eingehalten werden. Derzeit wird mit einem Inkrafttreten des Gesetzes noch in 2025 gerechnet.

Die Verzögerung hat zur Folge, dass Unternehmen vorerst nicht zur Umsetzung der NIS-2-Vorgaben verpflichtet sind. Allerdings empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), bereits jetzt mit der Vorbereitung zu beginnen, um bei Inkrafttreten des Gesetzes umgehend handeln zu können.

Haltung der CDU zur NIS-2-Umsetzung

Die CDU/CSU-Fraktion hat sich kontinuierlich für eine schnelle und vollständige Umsetzung der NIS-2-Richtlinie ausgesprochen. Insofern ist davon auszugehen, dass die CDU auch in der neuen Legislaturperiode auf eine zügige Umsetzung der NIS-2-Richtlinie drängen wird. Dabei wird sie voraussichtlich eine direkte 1:1-Umsetzung der EU-Vorgaben ohne zusätzliche nationale Verschärfungen anstreben, um Unternehmen vor übermäßigen Belastungen zu bewahren.

Was Geschäftsleitungen, Compliance- und IT-Verantwortliche jetzt tun können
1.    Frühzeitige Betroffenheitsprüfung

Unternehmen müssen ermitteln, ob sie von der NIS-2-Richtlinie betroffen sind. Dazu gehört die Bestimmung ihrer Zugehörigkeit zu einem relevanten Sektor sowie die Größe des Unternehmens. Nach dem Gesetz müssen sich betroffene Unternehmen innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim BSI registrieren. Dies betrifft nicht nur klassische Betreiber kritischer Infrastrukturen (KRITIS), sondern auch zahlreiche weitere Branchen, wie etwa das Gesundheitswesen, die Energieversorgung, digitale Infrastruktur und viele andere.
Handlungsempfehlung: Beginnen Sie jetzt, Ihre Betroffenheit zu prüfen und sicherzustellen, dass Sie Ihr Unternehmen rechtzeitig beim BSI registrieren. Dies kann mit Unterstützung von automatisierten Betroffenheitsprüfungs-Tools erfolgen, wobei die endgültige Entscheidung von den jeweiligen Unternehmensverantwortlichen getroffen werden muss. Wir bieten Ihnen unterstützend maßgeschneiderte Beratungsleistungen zur Betroffenheitsprüfung und die Entwicklung einer klaren Strategie zur Registrierung beim BSI.

2.    Implementierung von Risikomanagementmaßnahmen

Das NIS-2-Gesetz verlangt von Unternehmen eine umfassende Risikomanagementstrategie, die regelmäßig überprüft und angepasst werden muss. Es geht nicht nur um die IT-Infrastruktur selbst, sondern auch um die gesamte Lieferkette. Sicherheitsvorkehrungen müssen entlang der gesamten Lieferkette durchgesetzt werden, und Unternehmen müssen sicherstellen, dass auch ihre Lieferanten angemessene Sicherheitsmaßnahmen getroffen haben.

Handlungsempfehlung: Beginnen Sie, Ihre Lieferketten auf Sicherheitsrisiken zu analysieren und gegebenenfalls bestehende Verträge mit Sicherheitsklauseln zu ergänzen. Wir bieten Ihnen Vorlagen für Vertragsklauseln, die Sicherheitsanforderungen an Lieferanten festlegen, sowie Beratungsdienste zur Implementierung eines effektiven Risikomanagementsystems. Unsere Experten helfen Ihnen, eine langfristige Strategie zu entwickeln, die sowohl die IT- als auch die Lieferkettenrisiken abdeckt.

3.    Frühzeitige Vorbereitung auf Sicherheitsvorfälle

Das NIS-2-Gesetz fordert Unternehmen auf, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu melden. Die Fristen sind extrem kurz, und es wird erwartet, dass Unternehmen sofort reagieren. Dies bedeutet, dass Unternehmen eine zentrale Anlaufstelle für die Meldung von Sicherheitsvorfällen einrichten sollten, die über alle notwendigen Informationen und Befugnisse verfügt, um schnell reagieren zu können.
Handlungsempfehlung: Als Geschäftsführer sollten Sie sicherstellen, dass eine verantwortliche Stelle für die Meldung von Sicherheitsvorfällen etabliert ist, die alle notwendigen Informationen erhält und schnell auf Vorfälle reagieren kann. Zudem sollten regelmäßige Übungen zur Vorfallmeldung und Reaktionspläne durchgeführt werden, um die Effizienz in Krisensituationen zu gewährleisten.

4.    Cybersecurity-Kultur und Schulung

Ein effektives Risikomanagement hängt nicht nur von technischen Maßnahmen ab, sondern auch von der Sensibilisierung der Mitarbeiter. Schulungen zur Cybersicherheit und eine starke Sicherheitskultur sind entscheidend, um potenzielle Sicherheitslücken zu minimieren.
Handlungsempfehlung: Sie sollten für Ihr Unternehmen Schulungsprogramme entwickeln, die regelmäßig alle relevanten Mitarbeiter in Cybersicherheit und Risikomanagement schulen. Dies sollte sowohl technische als auch organisatorische Aspekte umfassen und speziell auf die Anforderungen der NIS-2-Richtlinie ausgerichtet sein. Wir bieten maßgeschneiderte Schulungsprogramme, die sowohl allgemeine als auch branchenspezifische Anforderungen abdecken und Ihre Mitarbeiter auf die relevanten Sicherheitsstandards vorbereiten.

5.    Sicherstellung von Nachweispflichten

Für Unternehmen, die von NIS-2 betroffen sind, besteht eine Nachweispflicht. Diese verlangt, dass die Einhaltung der Sicherheitsvorgaben regelmäßig überprüft und dokumentiert wird. Insbesondere für Betreiber kritischer Infrastrukturen besteht eine regelmäßige Nachweispflicht innerhalb von drei Jahren nach Inkrafttreten des Gesetzes.

Handlungsempfehlung: Implementieren Sie Systeme zur Dokumentation und regelmäßigen Überprüfung ihrer Cybersicherheitsmaßnahmen im Unternehmen. Dies kann durch Audits, interne Kontrollen oder externe Zertifizierungen wie ISO 27001 unterstützt werden. Wir bieten Ihnen Beratungsdienste zur Erstellung von Compliance-Dokumentationen und unterstützen Sie bei der Implementierung eines umfassenden Audit-Systems, das die Anforderungen von NIS-2 erfüllt.

Fazit

Die Verzögerung bei der Umsetzung der NIS-2-Richtlinie in Deutschland verschafft etwas Luft und gibt Unternehmen zusätzliche Zeit, sich vorzubereiten. Dennoch sollten sie nicht untätig bleiben, sondern die Zeit nutzen, um ihre Betroffenheit zu prüfen, Risikomanagementmaßnahmen zu implementieren und sich auf mögliche Sicherheitsvorfälle vorzubereiten. Auch wenn die endgültige Umsetzung noch aussteht, ist es entscheidend, jetzt zu handeln, um die Anforderungen fristgerecht zu erfüllen und Cyberrisiken wirksam zu minimieren. Am Ende geht es um die Sicherheit Ihres Unternehmens. Wir unterstützen Sie dabei, alle notwendigen Schritte zu gehen und Ihre Organisation auf die Umsetzung von NIS-2 vorzubereiten.