Direkt zum Hauptinhalt

NIS-2-Richtlinie “Network and Information Security 2”

NIS2-Umsetzungs- und Cybersi­cher­heits­s­tär­kungs­gesetz

NIS2: EU-Richtlinie für Netzwerk- und Informa­ti­ons­si­cherheit

NIS-2-Richtlinie: Umsetzung für Unternehmen in Bochum und NRW

Da die NIS2-Richtlinie von der Europä­ischen Union veröffentlicht wurde, handelt es sich dabei um eine EU-Richtlinie. Die Adressaten bzgl. der NIS2-Richtlinie sind demnach zunächst einmal die europä­ischen Mitglied­s­taaten und noch nicht die Unternehmen an sich. Denn die europä­ischen Mitglied­s­taaten müssen die NIS2-Richtlinie erst in nationales Recht umsetzen.

Richtlinie (EU) 2022/2555 des Europä­ischen Parlaments und des Rates: Die NIS2-Richtlinie wurde am 27.12.2022 von der Europä­ischen Union veröffentlicht. Sie enthält Maßnahmen für ein hohes gemeinsames Cybersi­cher­heits­niveau in der Union.

Als Frist für die Umsetzung der europä­ischen NIS2-Richtlinie in national­staat­liches Recht wurde der 17. Oktober 2024 festgesetzt.

In Deutschland wurde das NIS2-Umsetzungs- und Cybersi­cher­heits­s­tär­kungs­gesetz (NIS2UmsuCG) bereits im Juli 2024 im Kabinett beschlossen. Das heißt, es wird nun bald den weiteren Weg der Gesetz­gebung nehmen.

Zertifikat NIS-2-Experte (TÜV®)

NIS-2 Zertifikat auf Grundlage des Zertifi­zie­rungs­pro­gramms NIS-2-Experte (TÜV®)

NIS-2-Experte NRW

Die Prüfung (am 11.10.2024) umfasste u.a. folgende Themen:

  • Einführung (u.a. in europäische Richtlinien, Rahmen­be­din­gungen und Gesetze)
  • Grundlegende Begriffe und Defini­tionen
  • Relevante interna­tionale Standards als Basis der NIS-2-Anforde­rungen
  • Übersicht NIS-2/NIS-2UmsuCG
  • Registrierung
  • Meldewesen
  • Cyberse­curity-Maßnahmen

Mit NIS2 werden für mehr als 30.000 Unternehmen in Deutschland die Anforde­rungen an die Sicher­heits­vor­keh­rungen verschärft!

Die deutsche Wirtschaft ist stark auf eine funktio­nierende und widerstands­fähige Infras­truktur angewiesen – sowohl physisch als auch digital. Diese Infras­truktur ist entscheidend für Wohlstand, Wachstum und die Fähigkeit, sich an neue Bedingungen anzupassen. In den letzten Jahren hat ihre Bedeutung deutlich zugenommen.

Ziel der NIS2-Richtlinie:
NIS2 zielt darauf ab, verpflichtende Maßnahmen für Behörden und Unternehmen einzuführen, um ein einheitlich hohes Niveau der Cybersi­cherheit in der gesamten Europä­ischen Union zu gewähr­leisten.
Dadurch sollen wichtige und besonders kritische Einrich­tungen vor Cyberan­griffen geschützt und das reibungslose Funktio­nieren des europä­ischen Binnen­marktes gesichert werden.

Die zunehmende Vernetzung in Europa und weltweit sowie die Digita­li­sierung machen die Wirtschaft anfälliger für äußere Einflüsse. Besonders wichtig ist dabei die Sicherheit der Informa­ti­ons­technik in kritischen Anlagen und bestimmten Unternehmen. Diese ist entscheidend für die Versor­gungs­si­cherheit, z.B. bei Strom, Wasser und Abfall­ent­sorgung, und für das Funktio­nieren der Marktwirt­schaft in Deutschland und der EU. Durch die enge Vernetzung innerhalb Deutschlands und der EU entstehen gegenseitige Abhängig­keiten, auch im Bereich der Cybersi­cherheit.

Die NIS2-Richtlinie soll dafür sorgen, dass Unternehmen ihre Sicher­heits­s­tandards verbessern und Infras­trukturen besser geschützt werden, um Ausfälle zu verhindern und die Stabilität der Wirtschaft in der EU so gut wie möglich zu sichern. Auf diese Weise sollen wichtige Bereiche wie zum Beispiel die Stromver­sorgung, Wasser­ver­sorgung und Abfall­ent­sorgung auch in Zukunft zuverlässig funktio­nieren und die Sicherheit im digitalen Raum insgesamt erhöht werden.

Warum sind viele Unternehmen von NIS2 betroffen, obwohl sie nicht direkt in den Anwendungs­bereich der Richtlinie fallen?

Ein offener Laptop mit einer großgliedrigen Kette verriegelt

Dritte Dienst­leister stellen für auftrag­gebende Unternehmen ein potentiell hohes Risiko dar, weil sich über sie Schwach­stellen hinsichtlich der IT- und Informa­ti­ons­si­cherheit in der (digitalen) Lieferkette auftun können. So könnte sich z.B. ein ungewollter Datenabfluss ereignen, was folglich für den Auftraggeber ein großes Problem darstellen würde.

Das heißt: Sollte man als Dienst­leister (oder Zulieferer) einem NIS2-verplichteten Unternehmen seine Leistungen anbieten (wollen), dann wird der Auftraggeber zukünftig gewisse Bedingungen an den Dienst­leister stellen müssen, um den Vorgaben der NIS2-Richtlinie zu entsprechen.

Unter Maßnahmen zur Sicherheit der Lieferkette sind beispielsweise vertragliche Verein­ba­rungen mit dem Dienst­leister (oder Zulieferer) zu Risiko­ma­na­ge­ment­maß­nahmen, Bewältigung von Cybersi­cher­heits­vor­fällen und Patchma­na­gement zu nennen.

Welche Pflichten ergeben sich für von NIS2 betroffene Unternehmen?

NIS-2-Umsetzung-Pflichten-fuer-Unternehmen
  1. Registrie­rungs­pflicht (§ 33)
  2. Meldepflichten (§ 32)
  3. Billigungs-, Überwa­chungs- und Schulungs­pflicht für Geschäfts­lei­tungen (§ 38)
  4. Risiko­ma­na­ge­ment­maß­nahmen (§ 30)