Dies ist ein Beitrag unseres LinkedIn-Newsletters CyberPulse News.
Abonniere den Newsletter, um kein Update mehr zu verpassen.

Am 24. Juli 2024 hat das Bundeskabinett den aktuellen Regierungsentwurf des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) beschlossen. Damit rückt das Inkrafttreten der NIS-2-Richtlinie auch in Deutschland immer näher. Unser Jurist und ISMS-Experte Gökhan Kesici beantwortet im Interview die drängendsten Fragen.

1. Das Bundeskabinett hat das NIS-2-Umsetzungsgesetz auf den Weg gebracht. Wann und wie wird die EU-Richtlinie in deutsches Recht umgesetzt?

Gökhan Kesici: Die EU-Mitgliedstaaten sind verpflichtet, die NIS-2-Richtlinie zeitnah in nationales Recht umzusetzen. Wir gehen derzeit davon aus, dass das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) bald verabschiedet und in geltendes Recht überführt wird.

2. Ändert das NIS2UmsuCG inhaltlich etwas an der NIS-2-Richtlinie?

Gökhan Kesici: Der vom Kabinett verabschiedete Regierungsentwurf weicht in kleinen Bereichen von der NIS-2-Richtlinie ab. Die Maßnahmen des Risikomanagements und die Pflichten der Leitungsorgane unterscheiden sich jedoch bis auf geringfügige Formulierungsänderungen nicht wesentlich von der Richtlinie.

Darüber hinaus wurden die Zuständigkeiten für KRITIS-Anlagen angepasst. Der Geltungsbereich für Telekommunikation und Energie wurde konkretisiert und der Gesetzgeber hat die Haftungsregelungen präzisiert. Diese Anpassungen sollen in erster Linie die Übersichtlichkeit und Anwendbarkeit des Gesetzes weiter verbessern.

3. Werden betroffene Unternehmen informiert?

Gökhan Kesici: Nein, das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert die betroffenen Einrichtungen nicht. Es liegt in der Verantwortung der Einrichtung, selbst zu klären, ob sie von der NIS-2-Richtlinie betroffen ist, und entsprechend zu handeln. Sie müssen selbst aktiv werden und sich registrieren lassen.

Dies muss spätestens drei Monate nach dem Zeitpunkt geschehen, ab dem sie erstmals oder erneut als eine der betroffenen Einrichtungen gelten.

4. Was empfiehlst Du zum jetzigen Zeitpunkt Unternehmen, die von NIS-2 betroffen sind?

Gökhan Kesici: Unternehmen, die von der NIS-2-Richtlinie betroffen sind, sollten nicht darauf warten, bis die Richtlinie in nationales Recht umgesetzt ist. Da keine Übergangsfrist existiert, drohen Strafen bereits ab dem Tag der Verabschiedung.

Auch wenn ein Unternehmen überzeugt ist, über ein robustes Informationssicherheits-Managementsystem (ISMS) zu verfügen, kann eine Gap-Analyse Sicherheit Gewissheit verschaffen. Dabei wird der aktuelle Stand bewertet und der Aufwand ermittelt, der notwendig ist, um der NIS-2-Richtlinie zu entsprechen.

 

---

 

Infobox:
Was war noch einmal die NIS-2-Richtlinie?

Wenn Du Dich ausführlich mit den Inhalten der NIS 2-Richtlinie beschäftigen möchtest, empfehlen wir Dir unser Whitepaper.

Darin erläutern wir die Inhalte der Richtlinie im Detail. Mit unseren Checklisten kannst Du überprüfen, ob Du von NIS-2 betroffen bist und welche Maßnahmen Du jetzt umsetzen musst. Im Whitepaper findest Du auch wertvolle Tipps unserer Security Expert:innen für die konkrete Implementierung der Maßnahmen.

 

---

 

5. Was droht Unternehmen, wenn sie die NIS-2-Richtlinie ignorieren?

Gökhan Kesici: Unternehmen, die die NIS-2-Richtlinie ignorieren, müssen mit Bußgeldern rechnen. Die Höhe der Bußgelder variiert je nach Branche und Größe des Unternehmens:

• Für Wesentliche Einrichtungen kann die Höhe der Bußgelder bis zu mindestens 10.000.000 Euro oder bis zu 2 % des gesamten weltweiten Umsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen.
• Für Wichtige Einrichtungen kann die Höhe der Bußgelder bis zu mindestens 7.000.000 Euro oder bis zu 1,4% des gesamten weltweiten Umsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen.

6. Wo siehst Du die größte Herausforderung in der Richtlinie?

Gökhan Kesici: Die größte Herausforderung in der NIS-2-Richtlinie sind die eher allgemein formulierten Anforderungen. Die Richtlinie enthält weit gefasste Begriffe, ohne genau zu erläutern, wie diese Maßnahmen umgesetzt werden müssen. Unternehmen benötigen daher umfangreiches Wissen über Best Practices im Bereich Cybersicherheit sowie Expertise über Anforderungen anderer anerkannter Normen und Frameworks.

Unternehmen müssen zudem beurteilen können ob eine bereits implementierte Maßnahme die Anforderungen von NIS-2 erfüllt. Ist dies nicht der Fall, müssen sie in der Lage sein, die am besten geeignete Maßnahme zu identifizieren und umzusetzen. Diese Expertise ist entscheidend, um sicherzustellen, dass alle Anforderungen der Richtlinie erfüllt werden und ein hohes Cybersicherheits-Niveau gewährleistet ist.

Wir danken Dir für dieses Interview!

 

Hast Du Fragen an unsere Expert:innen für Informationssicherheit?
Wir helfen Dir gerne weiter. Schreib uns jetzt eine Nachricht.