NIS-2: EU-Richtlinie zur Verbesserung der Cyber-Sicherheit
Mit dem Ziel, den Schutz der kritischen Infrastruktur wegen möglicher IT-Vorfälle und Cyberangriffe in Europa auszubauen, wurde 2023 auf europäischer Ebene die NIS-2-Richtlinie verabschiedet. „NIS“ steht dabei für „Network and Information Security“. Ziel ist es, die Resilienz und die Reaktionsfähigkeit auf Cyberbedrohungen in der gesamten EU zu verbessern.
Aktuell läuft das Gesetzgebungsvorhaben zur Umsetzung der NIS-2-Richtlinie. Ein Entwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (kurz: NIS2UmsuCG) liegt vor.
Was ist NIS-2?
Besonders relevant ist die IT-Sicherheit für Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
- nachhaltig wirkende Versorgungsengpässe,
- erhebliche Störungen der öffentlichen Sicherheit
- oder andere dramatische Folgen eintreten würden.
Durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) werden betroffene Einrichtungen in die Pflicht genommen und mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Stelle dafür definiert.
IHK-Tipp: Prüfen Sie, ob Ihr Unternehmen von der NIS-2-Umsetzung betroffen ist!
Bin ich betroffen?
Ob Unternehmen gemäß § 28 betroffen sind, müssen diese eigenständig prüfen. Sie werden nicht automatisch dazu informiert.
Dazu stellt das BSI eine "NIS-2 Betroffenheitsprüfung" bereit. Kriterien sind:
- die Zugehörigkeit zu Branchensektoren (siehe Seite 72 mit Anlage 1 und 2 im Gesetzentwurf),
- die Anzahl der Mitarbeitenden,
- der Jahresumsatz
- und die Jahresbilanzsumme.
Hinzu kommen spezielle IT-Einrichtungen wie beispielsweise qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registrierer oder DNS-Diensteanbieter. Gegebenenfalls kann das BSI auch eine Betroffenheit anordnen.
Bisher wurden ca. 2.000 Unternehmen als „KRITIS-Betreiber“ eingestuft, was sich aus der Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten ergab. Durch die Umsetzung der EU wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet (inkl. der ca. 2.000 KRITIS-Unternehmen).
+49 3681 362-203