Home   >   News   >   Sechs Jahre Umsetzung der europäischen NIS-Richtlinie in Deutschland
Sechs Jahre Umsetzung der europäischen NIS-Richtlinie in Deutschland

Heute vor sechs Jahren hat der Bundestag das Umsetzungsgesetz für die europäische Richtlinie für Network and Information Security, kurz NIS, beschlossen. Anhand dieser Richtlinie sollte europaweit ein einheitliches IT-Sicherheitsniveau für Betreiber kritischer Infrastrukturen (KRITIS) etabliert werden, Das entsprechende Umsetzungsgesetz fiel in Deutschland relativ schlank aus, da der Gesetzgeber bereits zwei Jahre zuvor mit dem IT-Sicherheitsgesetz (IT-SiG) weitreichende Anforderungen für KRITIS-Unternehmen festgelegt hatte. So brachte die NIS-Richtlinie im Vergleich zum IT-SiG aus 2015 nur wenige Anpassungen für betroffene Unternehmen mit sich. Inzwischen wurden sowohl die NIS-Richtlinie als auch das IT-Sicherheitsgesetz in wesentlichen Punkten überarbeitet und erweitert.

IT-SiG 2.0 und NIS-2 bringen umfassende Erweiterungen mit sich

Am 28.05.2021 trat das IT-SiG 2.0 in Kraft und brachte nicht nur deutlich erhöhte Bußgelder mit sich, sondern beinhaltete unter anderem auch den obligatorischen Einsatz von Systemen zur Angriffserkennung (SzA) in KRITIS-Unternehmen.

Die NIS-2-Richtlinie der EU trat am 16.01.2023 in Kraft und muss von allen EU-Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden. Ab dem darauffolgenden Tag gilt europaweit die NIS-2-Richtlinie. Unternehmen werden dann je nach Größe respektive Jahresumsatz/ Bilanzsumme in „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ eingeteilt. Auch der Kreis der betroffenen Wirtschaftssektoren wird wesentlich ausgeweitet. Damit wird die Anzahl der regulierten Unternehmen enorm vergrößert. Derzeit rechnen Experten mit 30.000 – 40.000 deutschen Unternehmen, die künftig zusätzlich unter diese Regulierung fallen.

Diese Unternehmen müssen dann weitreichende Anforderungen an die Maßnahmen zur Erhöhung ihre IT-Sicherheit nach dem Stand der Technik umsetzen. In diesem Rahmen werden mit NIS-2 unter anderem Pflichten und Haftungsfragen von Leitungsorganen festgelegt, außerdem weitgehende Berichtspflichten nicht nur für betroffene Unternehmen und Einrichtungen, sondern auch für die Mitgliedstaaten der EU. Denn Cyberangriffe machen vor Landesgrenzen keinen Halt. Und schließlich stehen auch sichere Lieferketten im Fokus der neuen Anforderungen.

Ausblick: Umsetzungsgesetz zur NIS-2

In Deutschland wird bereits ein Umsetzungsgesetz zur NIS-2 vorbereitet. Derzeit erwarten wir, dass im Laufe des 2. Halbjahrs 2023 ein entsprechender Referentenentwurf in die öffentliche Verbändeanhörung gehen wird, welcher im Frühjahr 2024 in Kraft treten könnte. Da die Umsetzung sich voraussichtlich eng an der NIS-2 orientieren wird, sind betroffene Unternehmen gut beraten, sich schon in diesem Jahr mit den neuen Pflichten, die NIS-2 mit sich bringt, zu beschäftigen.

Gerne stehen wir Ihnen hierbei mit unserem fachspezifischen Know-how beratend zur Seite und unterstützen Sie bei allen Fragen rund um die nötigen Anpassungen im Rahmen von NIS-2.

 

Zur Newsübersicht