NIS-2-Verzögerung: Warum sich frühe
Vorbereitung lohnt

icon arrow down white

Ende 2022 hat die EU die NIS-2-Richtlinie zur Stärkung der Cybersicherheit in Europa verabschiedet. Nun müssen die EU-Mitgliedsstaaten diese Richtlinie in nationales Recht umsetzen. Aktuell stagniert diese Überführung – was zu einer unübersichtlichen Lage und Verwirrung bei den Unternehmen führt. Wir geben Ihnen mit diesem Beitrag einen aktuellen Überblick und einige klare Handlungsempfehlungen.

Kurzer Rückblick: Was ist eigentlich NIS-2?

NIS-2 ist eine Regulierung im Bereich der Informationssicherheit, die viele Firmen in Kürze erfüllen müssen. Betroffen sind potenziell über 30.000 Firmen aus 18 sogenannten „Sektoren“. Welche Unternehmen genau betroffen sind, erfahren Sie in unserem Überblicksbeitrag zu NIS-2.

Es ist wichtig zu verstehen, dass NIS-2 nicht nur die sogenannte kritische Infrastruktur („KRITIS“) betrifft. Es wurden ganz bewusst diverse davon unabhängige Branchen gewählt, um ein hohes allgemeines Niveau der Cybersicherheit in Europa zu erzielen. Wenn Sie weitere Fragen zu NIS-2 haben oder wissen möchten, ob Sie betroffen sind, sprechen Sie uns gerne an.

Die aktuelle Lage: NIS-2 in Deutschland vermutlich erst ab 2025

Die EU hat die NIS-2-Richtlinie zur Stärkung der Cybersicherheit in Europa am 14. Dezember 2022 verabschiedet. Jetzt sind die EU-Mitgliedsstaaten verpflichtet, diese bis zum 17. Oktober 2024 in nationale Gesetze umzusetzen.

In Deutschland entsteht dafür ein Gesetz mit dem sperrigen Namen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, dessen Abkürzung „NIS2UmsuCG“ leider auch nicht direkt zum besseren Verständnis führt. Von diesem „NIS2UmsuCG“ gibt es inzwischen mehrere Referentenentwürfe, der jüngste wurde am 7. Mai veröffentlicht. Langsam wird offensichtlich: Deutschland wird es aller Voraussicht nach nicht bis zum 17. Oktober schaffen, das neue Gesetz zu verabschieden. In der Presse wird mit Verweis auf gut unterrichtete Kreise in den Ministerien spekuliert, dass die NIS-2-Umsetzung wohl mindestens zwei Monate länger brauchen wird.

Ein Blick über die Grenzen hinaus verrät uns, dass Deutschland mit diesem Problem nicht allein ist: Dänemark und die Niederlande haben die EU bereits informiert, dass sie das Gesetz nicht zum obligatorischen Termin umsetzen können. Und auch bei anderen Ländern in der EU wird es eng werden. Lediglich Ungarn und Kroatien haben bereits die Umsetzung der NIS-2-Vorgaben in ihre nationalen Gesetze gemeldet.

Umsetzung von NIS-2 in den Unternehmen

Bevor das Gesetz in Deutschland nicht verabschiedet ist, sind die NIS-2 Vorgaben für deutsche Unternehmen noch nicht bindend. Diese Tatsache – in Verbindung mit den zu erwartenden Verzögerungen – sollte aber in keinem Fall zu einer Laissez-faire-Haltung in den Unternehmen führen, à la: „Wir kümmern uns darum, wenn das Gesetz da ist“. Dies würde erhebliche Risiken mit sich bringen: Denn mit der Verabschiedung des Gesetzes in Deutschland müssen die Maßnahmen bereits umgesetzt sein. Damit einhergehend ist zu beachten, dass die Umsetzung der NIS-2-Vorgaben nicht von heute auf morgen zu schaffen ist. Die NIS-2-Compliance ist ein Projekt, das in dauerhafte Prozesse und Veränderungen in den Unternehmen münden muss – und das braucht Zeit.

Wir empfehlen Ihnen ausdrücklich, die vorhergesagten Verzögerungen  als Chance zu  nutzen und – sofern noch nicht geschehen – mit der NIS-2 Implementierung zu starten.

Das Regelwerk steht, die Ausnahmen sind überschaubar

Es gibt ohnehin keinen Grund, nicht schon jetzt mit der Umsetzung oder wenigstens der Planung zur Umsetzung der NIS-2-Vorgaben zu beginnen. Die grundsätzlichen Vorgaben der EU stehen längst fest und sind abrufbar auf EUR-Lex. Hier ist Artikel 21 entscheidend, denn dieser beschreibt die zu ergreifenden Risikomanagementmaßnahmen in Bezug auf die Cybersicherheit.

Den jüngsten Referentenentwurf aus Deutschland finden Sie auf der Seite des BMI. In diesem Werk sind die Maßnahmen in Bezug auf die Cybersicherheit unter § 30 zu finden. Diese Regelungen unterscheiden sich nur in Nuancen von der eigentlichen Vorgabe. Diesbezügliche Änderungen sind natürlich noch partiell möglich, aber sehr unwahrscheinlich – schließlich muss auch der deutsche Gesetzgeber der EU-Vorgabe folgen.

Ausnahmen von der Betroffenheit zu NIS-2, auf welche wohl noch einige Unternehmen hoffen, gibt es in den letzten Referentenentwürfen nur wenige. Eine der jüngsten Entwicklungen ist, dass die –aufgrund der kommenden DORA-Regulierung bereits komplett ausgeklammerte – Finanzbranche nun doch wieder NIS-2-pflichtig wird, allerdings mit wesentlichen Ausnahmen, insbesondere in Bezug auf den bereits erwähnten § 30. Ein anderes Beispiel sind die Energieversorger, welche bereits über den „IT-Sicherheitskatalog“ in Bezug auf die Informationssicherheit reguliert werden. Diese waren in den ersten Entwürfen des „NIS2UmsuCG“ von der Umsetzung der Maßnahmen nach § 30 befreit, müssen sie inzwischen aber doch wieder umsetzen.

Zusammenfassend muss festgestellt werden, dass Unternehmen, welche potenziell von NIS-2 betroffen sind, sich wenig Hoffnung auf eine späte Ausnahmeregelung machen sollten – die Tendenz geht klar in eine andere Richtung. Auch die Zuordnung der Unternehmen in die betroffenen sogenannten „Sektoren“ ist für die meisten Firmen eindeutig, wobei es jedoch auch beratungsintensive Ausnahmen gibt. Die neuen Entwürfe liefern in diesem Bereich vor allem Klarstellungen, so gerade geschehen im Sektor Chemie. Signifikante Veränderungen sind aber auch in diesem Bereich nicht mehr zu erwarten.

Die Identifikation der relevanten Unternehmensgröße kann herausfordernd sein

Die Faustregel zur Feststellung der NIS-2-Pflichtigkeit ist zunächst simpel: Wenn das Unternehmen in einem der in NIS-2 genannten Sektoren tätig ist und mehr als 50 Beschäftigte oder einen Jahresumsatz und eine Bilanzsumme von >10 Mio. EUR hat, ist es NIS-2-pflichtig. Doch der Teufel liegt im Detail, insbesondere für Unternehmensgruppen: Für so genannte „verbundene Unternehmen“ gelten unter Umständen andere Regeln. Dabei kommt es auf die IT-Anbindung und IT-Zusammenarbeit der einzelnen Unternehmensteile an. Hier empfiehlt es sich, frühestmöglich Beratung in Anspruch zu nehmen, um teure Fehlentscheidungen zu vermeiden und keine Zeit zu verlieren.

Unterschiedliche Aufwände zum Umsetzen der Risikomanagementmaßnahmen

Die Erfordernisse zum IT-Riskmanagement variieren von recht allgemeinen („Aufrechterhaltung des Betriebs…“) bis hin zu überraschend konkreten („Verwendung von Lösungen zur Multi-Faktor-Authentifizierung…“) Anforderungen. Daher müssen auch bereits bestehende Informations-Sicherheitsmanagementsysteme (ISMS) in der Regel angepasst werden. Trotzdem ist die strukturelle Umsetzung der NIS-2-Risikomanagementmaßnahmen für Unternehmen, welche heute bereits IT-Auflagen unterliegen (z.B. KRITIS, XAIT, etc.), wesentlich einfacher, da man auf bereits bestehenden Prozessen aufbauen kann. Für bisher komplett unregulierte Unternehmen ist der Aufwand entsprechend deutlich höher anzusetzen. Diese unterschiedlichen Zeitaufwände sollten für die Planung eines NIS-2 Compliance Projektes unbedingt berücksichtigt werden.

Praktische Hinweise zur Umsetzung der NIS-2-Anforderungen

Wir raten potenziell betroffenen Unternehmen sich mindestens in der Anfangsphase beraten zu lassen, um die Weichen in die richtige Richtung zu stellen und unnötige Fehler zu vermeiden. Hierbei geht es auch darum, den Gesamtaufwand für die NIS-2 Compliance so niedrig wie möglich zu gestalten, und bestehende Prozesse und Richtlinien in den Firmen lediglich anzupassen und nicht unbedingt neu zu entwerfen. Die folgenden acht Schritte sind dabei unser Weg, Unternehmen compliant zu machen.

  1. Erstellen von IST- und GAP-Analysen
    (Stand der Informationssicherheit, Abgleich mit den Risikomanagementmaßnahmen)

  2. Projektplanung
    (Stakeholder, Ressourcen, Dienstleister etc.)

  3. Organisatorische Maßnahmen
    (Festlegung der Verantwortungen für InfoSec)

  4. Aufbau eines Informationssicherheitsmanagementsystems
    (IT-Risikomanagement)

  5. Überprüfung der Informationssicherheit in der Lieferkette
    (in der Regel mit den Einkaufsabteilungen, festlegen Kritikalität der Lieferanten)

  6. Einrichtung des Meldewesens
    (Prozess)

  7. Datenmanagement für Berichterstattung
    (speziell für KRITIS, sonst via ISMS)

  8. Registrierung beim BSI
    (Sobald verfügbar)

Mit NIS-2 zukunftssicher gegen Cyberangriffe aufgestellt

NIS-2 wird kommen und die Strafen für die Nichteinhaltung sind hoch ­– wir empfehlen, mit der Umsetzung zu beginnen.

Dabei raten wir Ihnen, den Fokus auf die tatsächliche Resilienz Ihres Unternehmens gegen Cyberangriffe zu legen: Mit nachhaltigen Sicherheitsmaßnahmen schützen Sie ihr Unternehmen langfristig – die NIS-2-Compliance ist dann ein angenehmer Nebeneffekt. 

Sprechen Sie uns gern an, wenn Sie Fragen haben oder konkrete Hilfe bei der Umsetzung der NIS-2-Anforderungen benötigen!

Über das Symbol diesen Artikel weiterempfehlen

Dazu passende Artikel