Im Oktober tritt die NIS-2-Richtlinie in Kraft, die weitreichende Auswirkungen auf Unternehmen und Organisationen in Deutschland haben wird. Sie stellt eine erhebliche Erweiterung der bisherigen Regelungen dar. Die Richtlinie betrifft nicht nur die IT-Sicherheitsbranche, sondern auch eine Vielzahl von Sektoren, die als „kritisch“ eingestuft werden. Doch was bedeutet das konkret? Und was müssen betroffene Unternehmen jetzt tun, um den neuen Anforderungen gerecht zu werden?
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security Directive) ist eine EU-weite Regelung, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu verbessern. Sie löst die bisherige NIS-Richtlinie ab und erweitert deren Anwendungsbereich erheblich. Betroffen sind nun neben Betreibern kritischer Infrastrukturen auch viele weitere Unternehmen und Organisationen, die als „wesentliche Dienste“ gelten. Dazu gehören zum Beispiel Einrichtungen aus den Bereichen Gesundheit, Energie, Verkehr und Finanzen.
Wesentliche Neuerungen sind unter anderem:
- Erweiterung des Anwendungsbereichs: Mehr Unternehmen und Sektoren werden erfasst.
- Erhöhte Anforderungen an das Risikomanagement: Unternehmen müssen robuste Sicherheitsmaßnahmen implementieren, um Bedrohungen effektiv zu begegnen.
- Strengere Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
- Stärkere Aufsicht und Durchsetzung: Die nationalen Aufsichtsbehörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), erhalten erweiterte Befugnisse zur Kontrolle und Durchsetzung.
Welche Rolle spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI)?
Das BSI wird durch die NIS-2-Richtlinie eine zentrale Rolle bei der Umsetzung und Überwachung der neuen Vorgaben spielen. Es ist nicht nur für die Aufsicht über die Einhaltung der Richtlinie zuständig, sondern auch für die Unterstützung der betroffenen Unternehmen. Das BSI erhält erweiterte Befugnisse, um Unternehmen zu prüfen und bei Bedarf Sanktionen zu verhängen, sollte es zu Verstößen kommen.
Aktuelle Entwicklungen: Status der NIS-2-Richtlinie
Die NIS-2-Richtlinie befindet sich derzeit in der finalen Umsetzungsphase in nationales Recht. Der Entwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie wurde bereits vom Bundesministerium des Innern und für Heimat (BMI) vorgelegt und befindet sich nun im Gesetzgebungsverfahren. Im Mai dieses Jahres wurde der Referentenentwurf veröffentlicht und im Juli wurde der Regierungsentwurf verabschiedet. Nun steht noch die Gesetzesveröffentlichung aus. Nach der Stellungnahme im Bundesrat und den Lesungen im Bundestag wird das Gesetz final verabschiedet und im Oktober in Kraft treten.
Weitere Details finden Sie auf dieser Seite des BMI.
Einen Überblick über die bisherige Entwicklung der NIS-2-Richtlinie bis April 2024 finden Sie in diesem Blogbeitrag von uns.
Was bedeutet das für Unternehmen?
Unternehmen stehen vor der dringenden Aufgabe, bis zur Umsetzungsdeadline im Oktober 2024 die Anforderungen der NIS-2-Richtlinie zu erfüllen. Die Zeit drängt, da erhebliche Anpassungen in den Bereichen IT-Sicherheit und Risikomanagement erforderlich sind. Unternehmen müssen jetzt ihre Systeme überprüfen, eine detaillierte Risikoanalyse durchführen und Sicherheitsmaßnahmen implementieren. Zudem ist die Einrichtung eines Incident-Management-Systems unerlässlich, um auf potenzielle Sicherheitsvorfälle schnell und gesetzeskonform reagieren zu können.
Die Umsetzung der NIS-2-Richtlinie ist keine optionale Maßnahme, sondern eine gesetzliche Verpflichtung, die ab Oktober 2024 verbindlich wird. Unternehmen, die jetzt nicht handeln, riskieren nicht nur Strafen, sondern auch erhebliche Reputationsverluste im Falle eines Sicherheitsvorfalls. Während einige Organisationen bereits gut aufgestellt sind, müssen andere jetzt handeln, um die neuen Vorgaben zu erfüllen.
Unser Seminarangebot: Fit für die NIS-2-Richtlinie
Um Sie auf die Anforderungen der NIS-2-Richtlinie vorzubereiten, bieten wir ein 4-stündiges Seminar an. Unser Referent vermittelt Ihnen praxisnah und verständlich, welche Auswirkungen die Richtlinie hat. Sie erfahren alles Wichtige zu den Sicherheitsanforderungen, den Meldepflichten und den organisatorischen Aspekten der Informationssicherheit. Zudem erhalten Sie konkrete Empfehlungen für die Umsetzung.
Nutzen Sie die Gelegenheit und melden Sie sich noch heute für unser Seminar an – denn die Uhr tickt und es ist an der Zeit, die notwendigen Maßnahmen zu ergreifen. Lassen Sie sich von uns auf den neuesten Stand der IT-Sicherheit bringen und sichern Sie Ihr Unternehmen gegen die Herausforderungen von morgen ab.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security