In unserer Beratungspraxis erreichen uns im Hinblick auf die NIS-2 Richtlinie bzw. das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vermehrt Anfragen von Unternehmen, die sich bereits damit auseinandergesetzt haben. Sie haben festgestellt, dass sie eine wichtige oder besonders wichtige Einrichtung gemäß NIS-2 Richtlinie sind, und fragen sich, was sie jetzt konkret tun sollen?
Die Verunsicherung von Unternehmen im Hinblick auf die NIS-2 Richtlinie wird dadurch verstärkt, dass aufgrund von Neuwahlen das laufende Gesetzgebungsverfahren zum NIS2UmsuCG gescheitert und in der neuen Legislaturperiode von vorne beginnen muss. Aus heutiger Sicht ist daher mit einem Inkrafttreten des NIS2UmsuCG (und damit der Umsetzung der NIS-2 Richtlinie in Deutschland) nicht vor Ende 2025 zu rechnen.
Grundsätzlich ist natürlich festzustellen, dass es derzeit noch keine Verpflichtung gibt, Anforderungen der NIS-2 Richtlinie umzusetzen. Allerdings gibt es eine Reihe von Gründen, die ein jetziges Handeln für Unternehmen empfehlenswert machen:
- Sobald ein NIS2UmsuCG in Deutschland in Kraft tritt, gilt dieses Gesetz unmittelbar. Weder die bisherigen Entwürfe zum NIS2UmsuCG noch die NIS-2 Richtlinie sehen eine Umsetzungsfrist vor, und nach Aussage des Bundesministeriums des Innern und für Heimat (BMI) ist auch keine Umsetzungsfrist möglich oder geplant.
- Die grundsätzlichen, wirtschaftsbezogenen Anforderungen der NIS-2 Richtlinie sind bekannt und sind auch in den Entwürfen des NIS2UmsuCG seit einiger Zeit recht stabil. Es ist also eine gute Basis vorhanden, auf die aufgesetzt werden kann.
- Das NIS2UmsuCG wird zeitnah kommen. Auch eine neue Bundesregierung wird sich zeitnah mit dem NIS2UmsuCG befassen müssen, schließlich ist von der EU dazu bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet worden.
Damit stellt sich die Frage, was betroffene Einrichtungen nun tun sollten? Wenn man die Anforderungen in der NIS-2 Richtlinie betrachtet, so werden dort die 10 sogenannten Mindestmaßnahmen zum Informationssicherheits-Risikomanagement aufgeführt. Diese Maßnahmen sind von allen Einrichtungen, die unter die NIS-2 Richtlinie fallen, umzusetzen. Und da die NIS-2 Richtlinie Mindestanforderungen festlegt, muss auch der deutsche Gesetzgeber dies so in einem NIS2UmsuCG vorgeben, wie das bereits in allen Referentenentwürfen vorgesehen war.
Bei diesen 10 Mindestmaßnahmen zum IS-Risikomanagement gibt es große Überschneidungen zu einem Informationssicherheitsmanagementsystem (ISMS). Und auch offizielle Stellen äußern – wie auch bei den IT-Sicherheitsgesetzen – dass diese Anforderungen nur konsequent durch den Aufbau eine ISMS umgesetzt werden können. Also ist es naheliegend, ein solches ISMS aufzubauen.
Und diese Empfehlung geben wir auch allen Kunden, die eine wichtige oder besonders wichtige Einrichtung gemäß NIS-2 sind. Es sollte zeitnah begonnen werden, ein ISMS einzuführen. Ein solches Projekt kann – je nach Unternehmensgröße – 12 bis 18 Monate dauern. In Ausnahmefällen kann dies auch schneller erfolgen (wie wir das bereits bei einigen Kunden erfolgreich umgesetzt haben).
Auch wenn die NIS-2 Richtlinie keine Einschränkungen beim Geltungsbereich vorsieht, so ist es sicherlich empfehlenswert, mit Unternehmensbereichen zu beginnen, die einem hohen Risiko im Hinblick auf Cyberbedrohungen ausgesetzt sind. Das könnte beispielsweise die IT oder auch eine Produktionsstätte mit ggf. alter OT sein.
Abschließend muss darauf hingewiesen werden, dass in Deutschland nach Berechnungen des Gesetzgebers fast 30.000 Unternehmen als wichtige oder besonders wichtige Einrichtung von der NIS-2 Richtlinie betroffen sind. Über die Absicherung der Lieferkette sind ggf. nochmal so viele Unternehmen indirekt betroffen. Andererseits sind Beratungskapazitäten beschränkt und werden für diese Vielzahl von Unternehmen nicht ausreichen. Auch daher ist es empfehlenswert, dass betroffene Unternehmen zeitnah mit der Umsetzung der Anforderungen der NIS-2 Richtlinie beginnen und sich – bei Bedarf – entsprechende Unterstützung suchen.
Sind Sie als Unternehmen betoffen?
Optimale Vorbereitung auf die NIS-2 Richtlinie: Der Status-Check für Ihr Unternehmen!
Nach Feststellung einer Betroffenheit durch die NIS-2-Richtlinie führen wir bei vielen Unternehmen einen umfassenden NIS-2 Status-Check durch. Dieser Prozess beginnt mit einem Start-Workshop, in dem das Projekt-Kernteam in die relevanten Themen der NIS-2 eingeführt wird. Ziel ist es, allen Beteiligten bereits vor den Interviews und der Ist-Aufnahme einen fundierten Überblick über die Anforderungen der NIS-2 zu vermitteln. Im Anschluss an die Wissensvermittlung werden spezifische unternehmensinterne Abläufe und Geschäftsprozesse besprochen, um das Unternehmen optimal kennenzulernen und eine fundierte Grundlage für die folgenden Schritte zu schaffen.
Im der nächsten Stufe folgen strukturierte Interviews, die nach Prüfthemen gegliedert sind. Diese Prüfthemen beinhalten spezifische Fragen zu den Anforderungen der NIS-2. Als Grundlage nutzen wir die ISO 27001 oder den EU-Durchführungsrechtsakt ITK, je nach Art der Einrichtung. Für den Bereich der OT-Systeme greifen wir auf die Anforderungen der IEC 62443 zurück, die als Stand der Technik gelten. In der Regel beginnen die Interviews mit einer Analyse der IT- sowie, wenn vorhanden, der OT-Struktur und werden anschließend um das Thema Assetmanagement ergänzt. Eine Begehung des Unternehmens rundet die Prüfung ab. Alle relevanten Prüfthemen werden in der Regel innerhalb von drei Tagen bearbeitet.
Abschließend erfolgt eine detaillierte Ergebnisdokumentation, die dem Projekt-Kernteam sowie der Unternehmensleitung präsentiert wird. Mit dieser Dokumentation erhält das Unternehmen eine fundierte Einschätzung des aktuellen Reifegrads in Bezug auf die NIS-2-Umsetzung und kann auf dieser Basis die weiteren Schritte zur Erfüllung der Anforderungen gezielt planen.
Werden Sie frühzeitig aktiv, um sich gezielt auf die Umsetzung der NIS-2 Anforderungen vorzubereiten. Wir stehen Unternehmen in allen Fragestellungen rund um die NIS-2 Richtlinie zur Seite – von der Betroffenheitsanalyse über die Einführung eines ISMS bis hin zur Umsetzung der geforderten Sicherheitsmaßnahmen. Mit unserer Erfahrung und praxisnahen Lösungen sorgen wir dafür, dass Sie optimal vorbereitet sind.
04.02.2025, Axel Amelung und Philipp Richter, TÜV TRUST IT GmbH