NIS2-Umsetzung im Mittelstand – NIS2 Umsetzung bei KMUs – NIS2-Coaching2024-11-24T18:13:02+01:00

Sind Sie bereit für die neuen Cybersecurity-Anforderungen?

Die Frist zur Umsetzung der NIS2-Richtlinie der EU in deutsches Recht ist am 17. Oktober 2024 abgelaufen. Obwohl das NIS2-Umsetzungsgesetz (NIS2UmsuCG) noch im parlamentarischen Prozess und aufgrund der Neuwahl erst gegen Ende 2025 erwartet wird, bleibt keine weitere Verlängerung der Frist. Unternehmen sollten sich jetzt auf die verschärften Cybersicherheitsanforderungen vorbereiten, um den neuen Bestimmungen gerecht zu werden.

gesetzliche Regelungen kennen
(nicht nur Hörensagen)

Anforderungen verstehen –
tatsächliche ToDo’s als Checkliste

Maßnahmen umsetzen –
Know-How und Coaching

Musterdokumente &
Best Practices

Betroffenheit feststellen

Prüfung der Anwendbarkeit der NIS2-Regulierung nach BSIG(neu) –
sind Sie wichtige oder besonders wichtige Einrichtung oder gar Kritische Infrastruktur (KRITIS)?

NIS2-Umsetzung - Betroffenheitsanalyse
NIS2-Umsetzung - Betroffenheitsanalyse
NIS2-Umsetzung - Anforderungen

Umsetzung der NIS2-Anforderungen

Was sind die Anforderungen der NIS2-Regulierung im BSIG(neu)?

Die NIS2-Regulierung novelliert über das NIS2UmsuCG das BSIGesetz und schafft einige Verpflichtungen für Betreiber wichtiger und besonders wichtiger Einrichtungen.

Ihr Weg zur NIS2-Umsetzung – Praxisnahes Coaching für nachhaltige Sicherheit

Wir unterstützen Sie bei der Umsetzung der NIS2-Anforderungen durch:

  • Fach-Know-How aus NIS2-, ISO27001, TISAX und BAIT-Projekten

  • Expertise in kleinen und mittelständischen Unternehmen

  • pragmatische Vorlagen und Templates

  • praxis- und audit-erprobte Verfahrensweisen

  • persönliche Begleitung

Frau vor Ihrem Laptop Symbolbild

* Keine Rechtsberatung

Alles auf einen Blick

Übersicht der zentralen Gesetze und Verordnungen

Logo NIS2 Richtlinie mit schwarzer Schrift

NIS2 Richtlinie

Die NIS2-Richtlinie der EU ist ein Rechtsakt, der in nationales Recht transformiert werden muss. Das geschieht in einem nationalen Umsetzungsgesetz, dem NIS2-Umsetzungs- und Cybersicherheits-Stärkungs-Gesetz (NIS2UmsuCG), das aber im Wesentlichen das BSI-Gesetz (BSIG) neu fasst, das dann die konkreten Anforderungen enthält.

Logo BSI Gesetz

BSI Gesetz

Das BSI-Gesetz (BSIG) wird durch das deutsche Umsetzungsgesetz neu gefasst. Dort sind u.a. die Aufgaben des BSI, die europäische Zusammenarbeit, aber eben auch die Verankerung

Logo NIS2 UmsVO

NIS2UmsVO

Die NIS2UmsVO ist ein Vorhaben der EU zur Harmonisierung der Auslegung der NIS2-Richtlinie insbes. für die Erbringung bestimmter, grenzübergreifender Dienstleistungen.

Kritis Dachgesetz Logo

Kritits Dach Gesetz

Das KRITIS-Dachgesetz zielt darauf ab, erstmals bundesweit einheitliche und sektoren- übergreifende Regelungen für den Schutz Kritischer Infrastrukturen (KRITIS)

Logo DORA Verordnung

DORA Verordnung

Die Digital Operational Resilience Act (DORA) der EU legt umfassende Regeln fest, um die digitale operationale Resilienz im Finanzsektor zu stärken. Sie fordert Finanzunternehmen auf, IKT-Risiken systematisch zu identifizieren, zu verwalten und zu melden, um ihre digitale Widerstandsfähigkeit gegen Cyberbedrohungen und technische Störungen zu erhöhen. DORA zielt darauf ab, Lücken in bestehenden Sicherheitsregelungen zu schließen und für EU-weit harmonisierte Anforderungen zu sorgen.

Alles wichtige zu NIS2

NIS2 Fact Sheet

Was ist die NIS2?

  • Die NIS2 ist die zweite EU-Richtlinie, die darauf abzielt bei Unternehmen der kritischen Infrastruktur sowie bei IT-Dienstleistern
    das Gesamtniveau der Cybersicherheit und die Widerstandsfähigkeit gegenüber Cyberangriffen zu
    erhöhen.

Wer ist von der NIS2 betroffen?

Die NIS2 unterscheidet in wesentliche und wichtige Einrichtungen – bis spätestens 17.04.2025 müssen die Mitgliedsstaaten der EU eine Liste mit den betroffenen Unternehmen erstellen:

Anhang I – Sektoren mit hoher Kritikalität – u.a.:

  • Energieversorger (z.B. Stromerzeuger)
  • Verkehrsunternehmen (z.B. Airlines, Eisenbahn)
  • Bankwesen (geregelt über – DORA)
  • Gesundheitswesen (z.B. Krankenhäuser)
  • Digitale Infrastruktur (z.B. Cloud- Anbieter, RZ-Betreiber)
  • Verwaltung von IKT-Diensten (z.B. Hosting-Anbieter)
  • Öffentliche Verwaltung (z.B. Bundesministerien)

Anhang II – Sonstige kritische Sektoren – u.a.:

  • Post- und Kurierdienste (z.B. Post)
  • Anbieter digitaler Dienste (z.B. Onlinesuchmaschinen)
  • Forschungseinrichtungen

Sanktionen/ Geldbuße

  • Wesentliche Einrichtungen → Höchstbetrag mind. 10 Mio. € oder mind. 2% vom weltweiten Umsatz aus vorherigen Geschäftsjahr

  • Wichtige Einrichtungen Höchstbetrag mind. 7 Mio. € oder mind. 1,4% vom weltweiten Umsatz aus vorherigen Geschäftsjahr 

Zeitplan für betroffene Einrichtungen

NIS2-Zeitstrahl
14.12.2022

Die NIS2-Richtlinie wurde im EU-Parlament verabschiedet.

Bis 17.10.2024

Überführung der Vorgaben der NIS2-Richtlinie in deutsches Recht.

Ab 18.10.2024

Einrichtungen müssen Vorgaben der NIS2 erfüllen.

Bis 17.04.2025

Liste der wesentlichen und wichtigen Einrichtungen.

17.10.2027

Überprüfung der NIS2-Richtlinie auf EU-Ebene.

Auszug relevanter Regelungsinhalte für betroffene Einrichtungen

Kapitel IV – Risikomangement u. Berichtspflichten für wesentliche und wichtige Einrichtungen

  • Governance – Vorgaben zum Rahmen der Unternehmensführung in Bezug auf Cybersicherheit (Art. 20), u.a.:
    • Verantwortung auf Leitungsebene u. regelmäßige Schulung der Leitungsebene zu Cybersicherheitsrisiken
  • Mindestanforderungen an das Risikomanagement im Bereich Cybersicherheit (Art. 21):
    • Implementierung von geeigneten und verhältnismäßigen technischen, operativen und organisatorischen Maßnahmen, u.a.:
      • Verfahren zur Bewältigung von Sicherheitsvorfällen
      • Implementierung von Sicherheitsmaßnahmen für Netz- und Informationssysteme
      • Aufrechterhaltung des Betriebs, wie Backup und Wiederherstellung
      • Grundlegende Verfahren für Cyberhygiene und Schulungen
      • Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
    • Spezifizierung von technischen und methodischen Anforderungen in Durchführungsakten für einzelne Sektoren → Veröffentlichung bis 17.10.2024 vorgesehen
  • Berichtspflichten für erhebliche Sicherheitsvorfälle (Art. 23) → Spezifizierung der Anford. bis zum 17.10.2024

Kapitel V – Spezifische Vorschriften zu Zuständigkeiten und Registrierungspflichten für Einrichtungen digitaler Infrastruktur und digitaler Dienste (Art. 26 – 28)

Kapitel VI – Freiwilliger Informationsaustausch zur Cybersicherheit (Art. 29 – 30) 

NIS2 Richtlinie was ist genau zu beachten?

Häufig gestellte Fragen

Im Prinzip alle, aber nicht jede Einrichtung fällt unter NIS2.

geregelt in:

  • Artikel der NIS2-Rili
  • § des BSIG

gem. Art. 2 NIS2-RiLi :  Empfehlung 2003/361/EG

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32003H0361

Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) werden in der EU-Empfehlung 2003/361 definiert. Danach zählt ein Unternehmen zu den KMU, wenn es nicht mehr als 249 Beschäftigte hat und einen Jahresumsatz von höchstens 50 Millionen € erwirtschaftet oder eine Bilanzsumme von maximal 43 Millionen € aufweist.

https://www.ifm-bonn.org/definitionen/kmu-definition-der-eu-kommission

  • Nur mittelgroße Unternehmen mit mindestens 50 Mitarbeitern sind verpflichtet, die NIS2-Richtlinie umzusetzen, es sei denn, sie werden aufgrund ihrer besonderen Bedeutung in den Ausnahmen zu den Größenkriterien genannt.
  • Dennoch könnte es vorkommen, dass auch kleinere Unternehmen, die eigentlich nicht gesetzlich dazu verpflichtet sind, aufgrund des Drucks ihrer Kunden gezwungen werden, die Richtlinie zu implementieren.

Das richtet sich nach dem Umsetzungsgesetz – geplant ist 3 Jahre nach Wirksamkeit des Umsetzungsgesetzes, d.h. frühestens Ende 2027.

Die NIS2-Richtlinie ist bereits in Kraft getreten – Anwendbarkeit für Unternehmen und andere Einrichtungen besteht aber erst nach Inkrafttreten eines Umsetzungsgesetzes.
Und die Nachweispflicht der Umsetzung beginnt auch erst viel später.

Nein, das ist sie nicht. Wenn Deutschland die Umsetzungsfrist verpasst, besteht auch keine Verpflichtung der Unternehmen.

https://www.linkedin.com/pulse/nis2-richtlinie-verpasst-deutschland-die-frist-zur-umsetzung-hessel/

Und: Die Unternehmen müssen das nicht bis Oktober umgesetzt haben, sondern erst viel später…

Die NIS2-Richtlinie und das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland sind beide auf die Verbesserung der Cybersicherheit ausgerichtet. Allerdings haben sie unterschiedliche Funktionen und Anwendungsbereiche.

Die NIS2-Richtlinie ist eine EU-weite Vorschrift, die darauf abzielt, das Sicherheitsniveau der Cybersicherheit durch einheitliche Standards zu verbessern. Sie legt strengere Sicherheitsmaßnahmen fest und erweitert den Anwendungsbereich auf mehr Organisationen. Dies schließt ausführliche Anforderungen an das Risikomanagement, Meldepflichten bei Sicherheitsvorfällen und eine stärkere Haftung der Geschäftsleitung ein.

Das NIS2-Umsetzungs und Cyberresilienz-Stärkungsgesetz (NIS2UmsuCG) setzt diese Richtlinie in deutsches Recht um. Es definiert, welche Organisationen als kritische Infrastrukturen gelten und spezifiziert die notwendigen Schutzmaßnahmen für deren Netzwerke und Informationssysteme. Das Gesetz umfasst sowohl technische als auch organisatorische Maßnahmen, legt Standards zur Sicherheit der Lieferketten fest, betont die Verantwortlichkeit der Geschäftsleitung und fordert eine effektive Reaktion auf Sicherheitsvorfälle.

Das NIS2UmsuCG tut dies durch Novellierung des BSI-Gesetzes (BSIG), in dem die einzelnen Anforderungen spezifiziert sind.

Nach oben