In unserer Beratungspraxis erreichen uns im Hinblick auf die NIS-2 Richtlinie bzw. das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vermehrt Anfragen von Unternehmen, die sich bereits damit auseinandergesetzt haben. Sie haben festgestellt, dass sie eine wichtige oder besonders wichtige Einrichtung gemäß NIS-2 Richtlinie sind, und fragen sich, was sie jetzt konkret tun sollen?
Die Verunsicherung von Unternehmen im Hinblick auf die NIS-2 Richtlinie wird dadurch verstärkt, dass aufgrund von Neuwahlen das laufende Gesetzgebungsverfahren zum NIS2UmsuCG gescheitert und in der neuen Legislaturperiode von vorne beginnen muss. Aus heutiger Sicht ist daher mit einem Inkrafttreten des NIS2UmsuCG (und damit der Umsetzung der NIS-2 Richtlinie in Deutschland) nicht vor Ende 2025 zu rechnen.
Grundsätzlich ist natürlich festzustellen, dass es derzeit noch keine Verpflichtung gibt, Anforderungen der NIS-2 Richtlinie umzusetzen. Allerdings gibt es eine Reihe von Gründen, die ein jetziges Handeln für Unternehmen empfehlenswert machen:
- Sobald ein NIS2UmsuCG in Deutschland in Kraft tritt, gilt dieses Gesetz unmittelbar. Weder die bisherigen Entwürfe zum NIS2UmsuCG noch die NIS-2 Richtlinie sehen eine Umsetzungsfrist vor, und nach Aussage des Bundesministeriums des Innern und für Heimat (BMI) ist auch keine Umsetzungsfrist möglich oder geplant.
- Die grundsätzlichen, wirtschaftsbezogenen Anforderungen der NIS-2 Richtlinie sind bekannt und sind auch in den Entwürfen des NIS2UmsuCG seit einiger Zeit recht stabil. Es ist also eine gute Basis vorhanden, auf die aufgesetzt werden kann.
- Das NIS2UmsuCG wird zeitnah kommen. Auch eine neue Bundesregierung wird sich zeitnah mit dem NIS2UmsuCG befassen müssen, schließlich ist von der EU dazu bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet worden.
Damit stellt sich die Frage, was betroffene Einrichtungen nun tun sollten? Wenn man die Anforderungen in der NIS-2 Richtlinie betrachtet, so werden dort die 10 sogenannten Mindestmaßnahmen zum Informationssicherheits-Risikomanagement aufgeführt. Diese Maßnahmen sind von allen Einrichtungen, die unter die NIS-2 Richtlinie fallen, umzusetzen. Und da die NIS-2 Richtlinie Mindestanforderungen festlegt, muss auch der deutsche Gesetzgeber dies so in einem NIS2UmsuCG vorgeben, wie das bereits in allen Referentenentwürfen vorgesehen war.
Bei diesen 10 Mindestmaßnahmen zum IS-Risikomanagement gibt es große Überschneidungen zu einem Informationssicherheitsmanagementsystem (ISMS). Und auch offizielle Stellen äußern – wie auch bei den IT-Sicherheitsgesetzen – dass diese Anforderungen nur konsequent durch den Aufbau eine ISMS umgesetzt werden können. Also ist es naheliegend, ein solches ISMS aufzubauen.
Und diese Empfehlung geben wir auch allen Kunden, die eine wichtige oder besonders wichtige Einrichtung gemäß NIS-2 sind. Es sollte zeitnah begonnen werden, ein ISMS einzuführen. Ein solches Projekt kann – je nach Unternehmensgröße – 12 bis 18 Monate dauern. In Ausnahmefällen kann dies auch schneller erfolgen (wie wir das bereits bei einigen Kunden erfolgreich umgesetzt haben).
Auch wenn die NIS-2 Richtlinie keine Einschränkungen beim Geltungsbereich vorsieht, so ist es sicherlich empfehlenswert, mit Unternehmensbereichen zu beginnen, die einem hohen Risiko im Hinblick auf Cyberbedrohungen ausgesetzt sind. Das könnte beispielsweise die IT oder auch eine Produktionsstätte mit ggf. alter OT sein.
Abschließend muss darauf hingewiesen werden, dass in Deutschland nach Berechnungen des Gesetzgebers fast 30.000 Unternehmen als wichtige oder besonders wichtige Einrichtung von der NIS-2 Richtlinie betroffen sind. Über die Absicherung der Lieferkette sind ggf. nochmal so viele Unternehmen indirekt betroffen. Andererseits sind Beratungskapazitäten beschränkt und werden für diese Vielzahl von Unternehmen nicht ausreichen. Auch daher ist es empfehlenswert, dass betroffene Unternehmen zeitnah mit der Umsetzung der Anforderungen der NIS-2 Richtlinie beginnen und sich – bei Bedarf – entsprechende Unterstützung suchen.
Werden Sie also frühzeitig aktiv, um sich gezielt auf die Umsetzung der NIS-2 Anforderungen vorzubereiten. Wir stehen Unternehmen in allen Fragestellungen rund um die NIS-2 Richtlinie zur Seite – von der Betroffenheitsanalyse über die Einführung eines ISMS bis hin zur Umsetzung der geforderten Sicherheitsmaßnahmen. Mit unserer Erfahrung und praxisnahen Lösungen sorgen wir dafür, dass Sie optimal vorbereitet sind.
04.02.2025, Axel Amelung, TÜV TRUST IT GmbH