Erfahren Sie in diesem Steckbrief, welche Änderungen durch die EU-Verordnung auf Sie zukommen.
NicoElNino
Erfahren Sie in diesem Gesetzessteckbrief, welche strengen Anforderungen das neue NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) mitbringt.
Die in der EU beschlossene NIS-2 Richtlinie (NIS steht für Netzwerk- und Informationssicherheit) wird aktuell in deutsches Recht überführt. Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sollen die Anforderungen an die Cybersicherheit in Europa harmonisiert und erhöht werden. Um den Schutz kritischer Infrastrukturen und einiger weiterer Wirtschaftssektoren zu gewährleisten werden hier bestehende Anforderungen erheblich verschärft. Außerdem sind künftig auch mittlere Unternehmen (ab 50 Beschäftigte oder 10 Millionen Euro Umsatz) in bestimmten Sektoren direkt betroffen. Indirekt werden allerdings auch Anforderungen an Unternehmen in der Lieferkette, wie z. B. IT-Dienstleister formuliert.
Risikomanagementmaßnahmen
Betroffene Einrichtungen und Unternehmen müssen verhältnismäßige technische und organisatorische Maßnahmen zum Schutz ergreifen. Diese Maßnahmen sollen auf einem gefahrenübergreifenden Ansatz beruhen. Dabei müssen Maßnahmen mindestens folgende Bereiche betreffen:
Registrierungspflicht
Besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter sind verpflichtet, spätestens drei Monate nachdem sie erstmals oder erneut als eine der vorgenannten Einrichtungen gelten oder Domain-Name-Registry-Dienste anbieten, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren
Meldepflichten
Bei Vorfällen in betroffenen Einrichtungen muss innerhalb von 24 Stunden eine Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Spätestens nach 72 Stunden muss die Erstmeldung aktualisiert und eine erste Bewertung des Sicherheitsvorfalls vorgenommen werden. Spätestens nach einem Monat muss eine Abschlussmeldung erfolgen, die eine Beschreibung des Vorfalls, Angaben zur Ursache sowie zu den Abhilfemaßnahmen und ggf. zu den grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls enthält.
Governance
Mit der NIS-2 Richtlinie wird Cybersicherheit Aufgabe der Geschäftsführung, denn Geschäftsführer haften für die Umsetzung der Maßnahmen. Das bedeutet, dass leitende Angestellte Maßnahmen ergreifen und diese im Unternehmen überwachen müssen. Zur Sensibilisierung für das Thema Cybersicherheit ist die Geschäftsführung verpflichtet, an Schulungen teilzunehmen. Gleiches gilt für die Beschäftigten. Auch für sie müssen zur Cybersicherheit geschult werden.
Sicherheit in der Lieferkette
Als Teil der Risikomanagementmaßnahmen sind direkt betroffene Unternehmen verpflichtet, auf die Sicherheit ihrer Lieferketten zu achten. Daraus ergeben sich auch Pflichten für indirekt betroffene Unternehmen wie z. B. IT-Dienstleister.
Mit dem NIS2UmsuCG werden die Anforderungen an die Cybersicherheit gestärkt. Dies ist aus Sicht des Mittelstands zu begrüßen. Die Umsetzung auf Unternehmensebene ist allerdings mit hohem Aufwand verbunden. Aufgrund des latenten und wahrscheinlich weiter zunehmenden Mangels an Fachkräften in diesem Bereich sowie zum Teil fehlenden Ressourcen innerhalb von Unternehmen sollte KMU mehr Zeit für die Umsetzung eingeräumt werden. Ferner sollte beachtet werden, dass die Anforderungen an die Lieferketten nicht unangemessen hoch sind, denn damit wären gerade sehr kleine Unternehmen aufgrund geringerer Ressourcen und zum Teil größerer Abhängigkeiten von Lieferanten gegenüber ihren Wettbewerbern erheblich benachteiligt.
Unternehmen sollten frühzeitig prüfen, ob Sie von dem Gesetz betroffen sind. Daraufhin sollte geklärt werden, wie sie die geforderten Maßnahmen umsetzen. Bei der Umsetzung ist darauf zu achten, sämtliche Umsetzungsschritte detailliert zu dokumentieren. So wird sichergestellt, dass alle ergriffenen Maßnahmen auch gegenüber offiziellen Stellen nachweisbar sind.