NIS 2 (auch: EU NIS 2 oder NIS 2 Directive) bezeichnet die zweite europäische Netz- und Informationssysteme-Richtlinie, die die EU im Dezember 2022 veröffentlicht hat. Die Direktive ist eine Fortsetzung der Bemühungen um ein in der EU einheitliches und gemeinsames Niveau im Bereich der Cyber- und IT-Sicherheit. In Deutschland wird das Gesetz zur Umsetzung der Richtlinie derzeit erarbeitet und soll dann unter dem Namen NIS2UmsuCG – NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz im deutschen Recht verankert werden. Die ursprüngliche Frist bis zum 18. Oktober 2024 kann jedoch nicht gehalten werden, angepeilt ist nun März 2025.
Was ist neu? Unterschiede zu früheren Regelungen
Beim NIS2UmsuCG handelt es sich um ein Artikelgesetz oder auch Mantelgesetz: Das bedeutet, dass es gleich mehrere Gesetze umfasst bzw. auf diese Auswirkungen hat. Im konkreten Fall u. a. das heutige BSI-Gesetz, das EnWG und das TKG.
Mit der weiterentwickelten Direktive setzt die EU neue Maßstäbe in Sachen IT-Sicherheit. Verglichen mit der vorangegangenen Regelung gibt es deutliche Erweiterungen und Änderungen hinsichtlich des Geltungsbereichs und der zu treffenden Maßnahmen im Risikomanagement. Hier stehen unter anderem das grundlegende Cybersicherheitskonzept sowie die Definition von Rollen, Verantwortlichkeiten und Befugnissen im Fokus. Auch die Frage, wie eine Risikobewertung durchgeführt werden soll, wurde präzisiert.
Zudem sind die Anforderungen an betroffene Unternehmen, Fristen und Strafen in der neuen Richtlinie umfassender behandelt.
Wesentliche Inhalte des dritten Referentenentwurfs umfassen z. B.:
Eine aktuelle Version des NIS2UmsuCG – NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetzes könne Sie hier einsehen und herunterladen.
Für welche Unternehmen gilt die NIS-2-Richtlinie?
Im Vergleich zur ersten NIS-Direktive hat sich in NIS 2 die Zahl der Unternehmen deutlich erhöht, die von der Richtlinie betroffen sind. Adressaten sind grundsätzlich Unternehmen und Organisationen sowie ihre Zulieferer, die im Rahmen ihrer Geschäftstätigkeit eine entscheidende Rolle für die Aufrechterhaltung der europäischen Wirtschaft und Gesellschaft spielen. Das können sein: Unternehmen aus den Branchen Abfallwirtschaft, Chemie, Lebensmittel, Elektronik und Computer, Post/Kurierdienste, Energie, Maschinen, Kfz, Verkehrswesen, Herstellung medizinischer Geräte, Gesundheitswesen, Bankwesen, Versorgung mit Trinkwasser, digitale Infrastrukturen, Online-Marktplätze und -Suchmaschinen, Cloud Computing Services und eine ganze Reihe andere. Zudem gilt als Kriterium die Unternehmensgröße: mehr als 50 Mitarbeitende und mehr als 10 Mio. Euro Jahresumsatz. Allerdings gibt es etliche Ausnahmen und unterschiedliche Einstufungen bezüglich Pflichten und möglichen Strafen bei Nichterfüllung.
Wann geht es für deutsche Unternehmen wirklich los?
Die Anwendung des zweiten europäischen Netz- und Informationssysteme-Richtlinie NIS 2 wird ab dem 18.10.2024 grundsätzlich in allen EU-Mitgliedstaaten möglich sein. Deutsche Unternehmen müssen jedoch erst, wenn das deutsche NIS2UmsuCG tatsächlich in Kraft getreten ist, entsprechende Maßnahmen zum Risikomanagement eingeführt haben.
Ob der deutsche Gesetzgeber die Umsetzungsfrist zum 18. Oktober 2024 halten kann, wurde bislang in Fachkreisen stark bezweifelt – Experten gingen von einer Überschreitung der Frist von mehreren Monaten aus. Diese Einschätzung hat sich nun bestätigt: Das deutsche NIS-2-Umsetzungsgesetz wird sich nun anscheinend ein halbes Jahr verzögern und im März 2025 in Kraft treten. Ab diesem Zeitpunkt beginnen dann auch die Pflichten für die betroffenen Unternehmen.
NIS-2 und DORA: Wo gibt es Gemeinsamkeiten, was sind Unterschiede?
Im Abstand von nur wenigen Monaten hat die EU mit NIS-2 und DORA gleich zwei bedeutende Vorschriften zum Thema Cybersicherheit veröffentlicht. Gemeinsames Ziel ist der Schutz von Unternehmen und Organisationen, die in wichtigen, gesellschaftlich und wirtschaftlich relevanten Bereichen agieren. Aber worin unterscheiden sich die beiden Gesetze?
Ein wesentlicher Unterschied besteht in der Zielgruppe: NIS-2 wurde veröffentlicht, um allgemein europäischen Unternehmen und Organisationen bzw. Lieferketten mit hoher Bedeutung für das Funktionieren der Gesellschaft im Bereich der Cybersecurity zu stärken. Ziel ist ein einheitliches Niveau der digitalen Sicherheit in der EU.
DORA wiederum ist speziell ausgerichtet auf den Finanzsektor. Damit sollen Finanzinstitute in der EU so gestärkt werden, dass die Stabilität und der Betrieb digitaler Systeme in diesem Bereich sichergestellt ist und auch im Falle eines Cyberangriffs die Verfügbarkeit und Integrität von Finanzdienstleistungen gewährleistet bleibt.
Lesen Sie hierzu auch unseren Blogbeitrag zum Thema DORA.
Weitere Informationen finden Sie auch hier:
https://www.usd.de/nis-2-und-dora-warum-zwei-eu-rechtsvorschriften/
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2umsucg.html
NIS 2: So unterstützt Sie Cypurge
Cypurge verfolgt die NIS-Gesetzgebung schon seit Anbeginn. Unser Expertenteam unterstützt Sie branchenspezifisch und individuell bei der praktischen Umsetzung der NIS2-Regularien. Auch wenn Sie Fragen haben, ob Ihr Unternehmen unter die Richtlinie fällt, sind wir gerne für Sie da und können Ihnen mit auf Ihre Situation zugeschnittenen Hinweisen und Tipps zur Umsetzung zur Seite stehen.
Cypurge ist Ihr Partner bei allen Fragen und Aufgaben rund um Cybersecurity, Monitoring und Richtlinien.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen
