Gesetze unter der Lupe: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Problem und Ziel des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Die in der EU beschlossene NIS-2 Richtlinie (NIS steht für Netzwerk- und Informationssicherheit) wird aktuell in deutsches Recht überführt. Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sollen die Anforderungen an die Cybersicherheit in Europa harmonisiert und erhöht werden. Um den Schutz kritischer Infrastrukturen und einiger weiterer Wirtschaftssektoren zu gewährleisten werden hier bestehende Anforderungen erheblich verschärft. Außerdem sind künftig auch mittlere Unternehmen (ab 50 Beschäftigte oder 10 Millionen Euro Umsatz) in bestimmten Sektoren direkt betroffen. Indirekt werden allerdings auch Anforderungen an Unternehmen in der Lieferkette, wie z. B. IT-Dienstleister formuliert.

Welche Punkte des Gesetzes sind für den Mittelstand besonders relevant?

Einige vorgegebene und zu erfüllende Maßnahmen

Risikomanagementmaßnahmen
Betroffene Einrichtungen und Unternehmen müssen verhältnismäßige technische und organisatorische Maßnahmen zum Schutz ergreifen. Diese Maßnahmen sollen auf einem gefahrenübergreifenden Ansatz beruhen. Dabei müssen Maßnahmen mindestens folgende Bereiche betreffen:

Risikoanalyse
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebes
Sicherheit der Lieferkette
Sicherheit bei Entwicklung und Wartung
Bewertung von Risikomanagementmaßnahmen
Schulungen im Bereich der Cybersicherheit
Kryptografie und Verschlüsselung
Sicherheit des Personals und Konzepte für die Zugriffskontrolle
Sichere (Notfall-)kommunikation

Meldepflichten und Registrierung
Bei Vorfällen in betroffenen Einrichtungen muss innerhalb von 24 Stunden eine Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Spätestens nach 72 Stunden muss die Erstmeldung aktualisiert und eine erste Bewertung des Sicherheitsvorfalls vorgenommen werden. Spätestens nach einem Monat muss eine Abschlussmeldung erfolgen, die eine Beschreibung des Vorfalls, Angaben zur Ursache sowie zu den Abhilfemaßnahmen und ggf. zu den grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls enthält.

Darüber hinaus sind besonders wichtige Einrichtungen und wichtige Einrichtungen sowie Domain-Name-Registry-Diensteanbieter verpflichtet, sich spätestens nach 3 Monaten beim BSI selbst zu registrieren und ihre Daten zu übermitteln.

Governance
Mit der NIS-2 Richtlinie wird Cybersicherheit Aufgabe der Geschäftsführung, denn Geschäftsführer haften für die Umsetzung der Maßnahmen. Das bedeutet, dass leitende Angestellte Maßnahmen ergreifen und diese im Unternehmen überwachen müssen. Zur Sensibilisierung für das Thema Cybersicherheit ist die Geschäftsführung verpflichtet, an Schulungen teilzunehmen. Gleiches gilt für die Beschäftigten. Auch für sie müssen zur Cybersicherheit geschult werden.

Sicherheit in der Lieferkette
Als Teil der Risikomanagementmaßnahmen sind direkt betroffene Unternehmen verpflichtet, auf die Sicherheit ihrer Lieferketten zu achten. Daraus ergeben sich auch Pflichten für indirekt betroffene Unternehmen wie z. B. IT-Dienstleister. Genauere Details sind derzeit noch nicht veröffentlicht.

Einschätzung des BVMW zum NIS2UmsuCG

Mit dem NIS2UmsuCG werden die Anforderungen an die Cybersicherheit gestärkt. Dies ist aus Sicht des Mittelstands zu begrüßen. Die Umsetzung auf Unternehmensebene ist allerdings mit hohem Aufwand verbunden. Aufgrund des latenten und wahrscheinlich weiter zunehmenden Mangels an Fachkräften in diesem Bereich sowie zum Teil fehlenden Ressourcen innerhalb von Unternehmen sollte KMU mehr Zeit für die Umsetzung eingeräumt werden. Ferner sollte beachtet werden, dass die Anforderungen an die Lieferketten nicht unangemessen hoch sind, denn damit wären gerade sehr kleine Unternehmen aufgrund geringerer Ressourcen und zum Teil größerer Abhängigkeiten von Lieferanten gegenüber ihren Wettbewerbern erheblich benachteiligt.

Unternehmen sollten frühzeitig prüfen, ob Sie von dem Gesetz betroffen sind. Daraufhin sollte geklärt werden, welche Maßnahmen umzusetzen sind. Bei der Umsetzung ist darauf zu achten, sämtliche Umsetzungsschritte detailliert zu dokumentieren. So wird sichergestellt, dass alle ergriffenen Maßnahmen auch gegenüber offiziellen Stellen nachweisbar sind.

Unternehmen aus den folgenden Sektoren sind direkt betroffen:

Die betroffenen Sektoren sind in Anhang 1 und 2 des Diskussionspapieres enthalten und genau definiert. Falls Sie darunterfallen, prüfen Sie, ob Ihr Unternehmen betroffen ist. Generell sind Sektoren in eine hohe Kritikalität und sonstige kritische Sektoren sowie Unternehmen nach Größe in besonders wichtige Einrichtungen und wichtige Einrichtungen unterteilt. Unten finden Sie die betroffenen Sektoren.

Besonders wichtige Einrichtungen (§28 (1)) sind Unternehmen aus Anlage 1 (hohe Kritikalität) mit >250 Beschäftigten oder >50 Mio € Umsatz.

Wichtige Einrichtungen (§28 (2)) sind Unternehmen aus Anlage 1 (hohe Kritikalität) und 2 (sonstige kritische Sektoren) mit >50 Beschäftigten oder >10 Mio € Umsatz.

Darüber hinaus gibt es einzelne Sonderfälle, die in §28 des Diskussionspapiers geregelt werden.

Betroffene Sektoren

Anlage 1: Sektoren mit hoher Kritikalität

Energie:
- Stromversorgung
- Fernwärme und -kälteversorgung
- Kraftstoff- und Heizölversorgung
- Gasversorgung
Transport und Verkehr:
- Luftverkehr
- Schienenverkehr
- Schiffahrt
- Straßenverkehr
Finanz- und Versicherungswesen:
- Bankwesen
- Finanzmarktinfrastrukturen
Gesundheit
Wasser und Abwasser:
- Trinkwasserversorgung
- Abwasserbeseitigung
Informationstechnik und Telekommunikation
Weltraum

Anlage 2: Sonstige kritische Sektoren

Transport und Verkehr
Siedlungsabfallentsorgung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren:
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
- Maschinenbau
- Herstellung von Kraftwagen und Kraftwagenteilen
- Sonstiger Fahrzeugbau
Anbieter digitaler Dienste
Forschung

Entwicklungsprozess NIS 2 Umsetzungs und Cybersicherheitsstaerkungsgesetz NIS2 Umsu CG

Aktuell wird ein Referentenentwurf im Bundesministerium des Innern und für Heimat erarbeitet. Ein Diskussionspapier durch das BMI wurde veröffentlicht. Eine offizielle Verbändeanhörung steht allerdings weiterhin aus.

EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-EU-Richtlinie) (Stand: 27.12.2022)
Diskussionspapier des Bundesministeriums des Innern und für Heimat: Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland (Stand: 27.09.2023)
Stellungnahme NIS2UmsuCG (Stand: 11/2023)

Weitere Gesetze unter der Lupe

Bürokratieentlastungsgesetz IV (BEG IV)

Erfahren Sie hier mehr über die Inhalte der geplanten Änderung des Bürokratieentlastungsgesetzes.

Gesetz zur Änderung des Gebäudeenergiegesetzes (GEG)

Erfahren Sie in diesem Gesetzessteckbrief, welche Änderungen in der Aktualisierung des Gebäudeenergiegesetzes geplant sind.