Die NIS2-Richtlinie und das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland sind beide auf die Verbesserung der Cybersicherheit ausgerichtet. Allerdings haben sie unterschiedliche Funktionen und Anwendungsbereiche.

Die NIS2-Richtlinie ist eine EU-weite Vorschrift, die darauf abzielt, das Sicherheitsniveau der Cybersicherheit durch einheitliche Standards zu verbessern. Sie legt strengere Sicherheitsmaßnahmen fest und erweitert den Anwendungsbereich auf mehr Organisationen. Dies schließt ausführliche Anforderungen an das Risikomanagement, Meldepflichten bei Sicherheitsvorfällen und eine stärkere Haftung der Geschäftsleitung ein.

Das NIS2-Umsetzungs und Cyberresilienz-Stärkungsgesetz (NIS2UmsuCG) setzt diese Richtlinie in deutsches Recht um. Es definiert, welche Organisationen als kritische Infrastrukturen gelten und spezifiziert die notwendigen Schutzmaßnahmen für deren Netzwerke und Informationssysteme. Das Gesetz umfasst sowohl technische als auch organisatorische Maßnahmen, legt Standards zur Sicherheit der Lieferketten fest, betont die Verantwortlichkeit der Geschäftsleitung und fordert eine effektive Reaktion auf Sicherheitsvorfälle.

Das NIS2UmsuCG tut dies durch Novellierung des BSI-Gesetzes (BSIG), in dem die einzelnen Anforderungen spezifiziert sind.