Mit der Umsetzung der NIS‑2‑Richtlinie (EU) 2022/2555 verfolgt der Gesetzgeber das Ziel, in Deutschland und in der gesamten EU ein hohes gemeinsames Cybersicherheitsniveau zu erreichen. Für zahlreiche Unternehmen werden die Anforderungen an die Cybersicherheit in Deutschland deutlich verschärft. Das Gesetz verankert Cybersicherheit in der Verantwortung der Geschäftsleitung. Verstöße werden mit erheblichen Bußgeldern geahndet. Was ist zu tun?

I. Betroffenheit prüfen

Der betroffene Adressatenkreis wurde erheblich ausgeweitet. Die Neuregelung unterscheidet:

1. „Besonders wichtige Einrichtungen“ (bwE):

Große Unternehmen mit mehr als 250 Beschäftigten, über 50 Mio. Euro Jahresumsatz oder über 43 Mio. Euro Bilanzsumme sowie Tätigkeit in einem der betroffenen Sektoren, darunter:

• Energie (Netze, Anlagen, Lieferanten; inkl. Wasserstoff‑Erzeugung/Speicherung/Transport).
• Verkehr (u. a. Luftfahrt, See-/Binnenschifffahrt, Straßenverkehrsinfrastrukturen).
• Digitale Infrastruktur (Internet Exchange Points, DNS‑Dienste, Cloud, Rechenzentren, Content Delivery, öffentliche TK‑Dienste).
• Wasser/Abwasser, Abfall,
• Gesundheit,
• Finanzmarkt‑Infrastrukturen (unter Beachtung von Spezialgesetzen wie DORA).
• Post/Kurier, Raumfahrt‑Bodeninfrastruktur, Forschung u. a. (je nach Tätigkeit).
• Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) werden ausdrücklich erfasst, sofern sie einen tatsächlichen Zugriff und bestimmenden Einfluss auf die IT von Kunden ausüben.

2. „Wichtige Einrichtungen“ (wE):

• Mittlere Unternehmen mit mindestens 50 und weniger als 250 Beschäftigten und einem Umsatz zwischen 10 und 50 Mio. Euro oder einer Bilanzsumme zwischen 10 und 43 Mio. Euro – wiederum abhängig von der Sektorzugehörigkeit.

Die Prüfung erfolgt in der Regel auf Gruppenebene, also unter Einbeziehung verbundener Unternehmen. Einzelne Nebentätigkeiten können ausgenommen sein. Für Branchen mit spezialgesetzlicher Regelung (z. B. Finanzwesen, Telekommunikation) bleiben Ausnahmen und spezielle Bestimmungen bestehen.

II. Verpflichtungen erfüllen

Sind Sie betroffen, müssen Sie insbesondere folgende Anforderungen erfüllen:

1. Risikomanagement:

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) ergreifen, um Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT‑Systeme, ‑Komponenten und ‑Prozesse zu schützen, die sie zur Erbringung ihrer Dienste nutzen. Die Maßnahmen müssen dem Stand der Technik entsprechen und einschlägige Standards (BSI-IT-Grundschutz oder ISO 27001) berücksichtigen. Sie umfassen mindestens:

• Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
• Maßnahmen zur Bewältigung von Sicherheitsvorfällen, zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
• Sicherheit der Lieferkette (inkl. vertraglicher Regelungen)
• Security by Design und bei der Wartung informationstechnischer Systeme, Komponenten und Prozessen (inkl. Schwachstellen‑Management)
• Wirksamkeitsbewertungen
• Schulungen und Sensibilisierungsmaßnahmen
• Kryptokonzeptionen
• Personal‑ und Zugriffsmanagementkonzepte
• starke Authentifizierungslösungen sowie eine gesicherte Notfallkommunikation.

2. Melde- und Registrierungspflichten:

• Einführung eines dreistufigen Meldesystems bei erheblichen Sicherheitsvorfällen (Frühwarnmeldung binnen 24 Stunden, Detailmeldung binnen 72 Stunden, Abschlussmeldung spätestens nach einem Monat).
• Verpflichtende elektronische Registrierung betroffener Unternehmen innerhalb von drei Monaten ab Feststellung der Betroffenheit und regelmäßige Aktualisierung.

3. Nachweise, Audits und Aufsicht:

Sie müssen Nachweise über die Einhaltung der Anforderungen bereithalten, mit stichprobenhaften oder anlassbezogenen Prüfungen durch das BSI rechnen und bei besonders wichtigen Einrichtungen auch regelmäßige externe Audits ermöglichen.

4. Governance und Verantwortlichkeit:

Die Geschäftsleitung ist verpflichtet, die Umsetzung der Anforderungen zu veranlassen und zu überwachen und in regelmäßigen Abständen an Schulungen teilzunehmen, um ausreichende Kenntnisse zu Risiken, Maßnahmen und Auswirkungen auf die erbrachten Dienste zu erlangen. Sie haftet im Falle von Pflichtverletzungen u.U. persönlich.

III. Was droht?

Das neue Gesetz sieht deutliche Verschärfungen bei Bußgeldern und Sanktionen vor, u.a.: Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes (je nachdem, was höher ist). Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Vorjahresumsatzes.

IV. Fazit

Mit einer Ausfertigung und Verkündung des Gesetzes ist noch in diesem Jahr zu rechnen. Mit Inkrafttreten der NIS-2-Vorgaben wird Cybersicherheit zum strategischen Pflichtprogramm. Übergangsfristen gibt es nicht. Es gilt nun zu prüfen, ob Sie unter die Neuregelung fallen und ggf. geeignete Compliance-Prozesse zu implementieren.

Bitte kommen Sie auf uns zu. Wir unterstützen Sie gern bei der Prüfung und Umsetzung. nis2@haver-mailaender.de