Die NIS2-Richtlinie der EU enthält eine Reihe von Anforderungen für Unternehmen, die der nationale Gesetzgeber in einem Umsetzungsgesetz den „Einrichtungen“ (Unternehmen, aber auch andere Rechtsformen und Organisationen) auferlegen soll. Dazu zählen folgende Punkte:

  • Artikel 20: Unternehmen müssen umfangreiche Risikomanagementprogramme entwickeln, die eine systematische Identifizierung, Bewertung und Behandlung von Sicherheitsrisiken umfassen, unterstützt durch regelmäßige Sicherheitsaudits und Systemtests.
  • Artikel 21: Unternehmen sind verpflichtet, Cybersicherheitsvorfälle innerhalb von 24 Stunden an die zuständigen nationalen Behörden zu melden. Eine detaillierte Folgemeldung muss innerhalb von 72 Stunden nach dem Erkennen des Vorfalls erfolgen.
  • Artikel 22: Unternehmen sollen präventive Maßnahmen implementieren, die die Fähigkeit der Unternehmen stärken, sich gegen Sicherheitsbedrohungen zu schützen und deren Auswirkungen effektiv zu mindern. Dazu zählen fortgeschrittene Überwachungssysteme und die Implementierung von Frühwarnmechanismen.
  • Artikel 23: Unternehmen müssen ihre Sicherheitsrichtlinien und -systeme regelmäßig überprüfen und aktualisieren, um sie an neue Sicherheitsbedrohungen und technologische Entwicklungen anzupassen. Dies beinhaltet die fortlaufende Schulung des Personals in Cybersicherheitspraktiken.
  • Artikel 24: Die Sicherheitsanforderungen an die Lieferkette sollen erhöht werden, indem von Unternehmen verlangt wird, Sicherheitsbewertungen ihrer Zulieferer durchzuführen und sicherzustellen, dass diese ebenfalls robuste Sicherheitsmaßnahmen ergreifen.
  • Artikel 25: Unternehmen sollen verpflichtet werden, sich bei den nationalen Cybersicherheitsbehörden zu registrieren.
    Diese Registrierung muss innerhalb von 3 Monaten nach dem Inkrafttreten der gesetzlichen Bestimmungen bzw. Erkennens der Anwendbarkeit erfolgen, um eine effektive Überwachung und Compliance-Prüfung der Cybersicherheitsmaßnahmen sicherzustellen.

Es ist zu beachten, dass die NIS2-Richtlinie erst in nationales Recht transformiert werden muss, da sie – anders als eine Verordnung – nicht unmittelbar anwendbar ist. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) novelliert das BSI-Gesetz (BSIG) und schreibt hier verschiedene Maßnahmen vor.