Im neoQM bekommen Sie die Lösung mit unserem Modul zur IT-Sicherheit.

Etwa 30.000 Unternehmen, so schätzt der Gesetzgeber, sind in Deutschland vom bald in Kraft tretenden NIS 2 betroffen – und ein Großteil von ihnen erfüllt nicht im Grundsatz die IT Sicherheitsvorgaben, wie sie die NIS 2 Richtlinie fordert.

Grund genug, einen ausführlichen Blick auf das Thema zu werfen: Wie gelingt die Umsetzung der NIS 2, was müssen Betreiber kritischer Infrastrukturen jetzt wissen, wann tritt der Gesetzesentwurf überhaupt in Kraft?

Erfahren Sie mehr über das NIS2 Umsetzungsgesetz und welche Folgen es für wichtige Einrichtungen mit sich bringt.

Optimieren Sie Ihr Qualitätsmanagement

Einführung in die NIS 2-Richtlinie

Was ist die NIS 2-Richtlinie?

Die NIS 2-Richtlinie ist eine EU-Richtlinie zur Netzwerk- und Informationssicherheit, die wesentliche Änderungen und Verschärfungen im Bereich der Cybersicherheit mit sich bringt. Sie zielt darauf ab, das Niveau der Cybersicherheit in der EU auf ein hohes gemeinsames Level zu heben.

Die NIS 2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie und beinhaltet strengere Anforderungen an die IT-Sicherheit.

Da die Bedrohungen im digitalen Raum stetig wachsen, sollen sowohl Unternehmen als auch Betreiber kritischer und wichtiger Einrichtungen mit der Umsetzung der NIS 2 ihre Schutzmaßnahmen verbessern.

Die Richtlinie gibt der Bundesregierung und anderen Mitgliedstaaten klare Vorgaben für die Anpassung ihrer nationalen Gesetze. Dabei liegt der Fokus auf der Regelung wesentlicher Grundzüge der Cybersicherheit, insbesondere für Infrastrukturen, die für die Wirtschaft und Gesellschaft von zentraler Bedeutung sind. Die Umsetzung der NIS 2 erfordert, dass wichtige Einrichtungen Maßnahmen zur Stärkung ihrer Sicherheitsvorkehrungen treffen und regelmäßig Risiken bewerten.

Ein wesentlicher Bestandteil der Umsetzung der NIS 2 ist die Schaffung eines einheitlichen Rahmens für Meldepflichten, Sicherheitsmaßnahmen und Informationsaustausch. Mit dieser Richtlinie werden die Vorgaben zur IT-Sicherheit präzisiert und die Verantwortung auf Seiten der Betreiber kritischer Einrichtungen deutlich erweitert.

Ziel ist es, die Wirtschaft und das öffentliche Leben besser vor Cyberangriffen zu schützen. Die Regelung zum verbesserten Cybersicherheitsniveau stärkt zudem das Recht der Bürgerinnen und Bürger auf Sicherheit in der digitalen Welt.

Externes Audit stets intern vorbereiten

Umsetzung der NIS 2-Richtlinie in Deutschland

Gesetzgebungsprozess

Die Umsetzung der NIS 2-Richtlinie in Deutschland erfolgt durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG bzw NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz). Dieses Gesetz soll die Anforderungen der Richtlinie auf nationaler Ebene verankern und damit Cybersicherheitsmaßnahmen für wichtige Einrichtungen und Unternehmen stärken.

Der Gesetzentwurf dazu wurde im Juli 2024 im Kabinett beschlossen, woraufhin die Bundesregierung den weiteren Gesetzgebungsprozess eingeleitet hat.

Im Oktober und November 2024 fanden im Bundestag zwei Anhörungen zum NIS2UmsuCG statt, bei denen Vertreter aus dem Bereich der Cybersicherheit, der Wirtschaft und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu Wort kamen. Hier konnte auch Kritik an den Vorgaben der EU und dem aktuellen Gesetzesentwurf vorgebracht werden.

Diese Diskussionen dienten dazu, den Entwurf zu präzisieren und notwendige Änderungen zu berücksichtigen.

Nach der Verabschiedung im Bundestag wird das Umsetzungsgesetz voraussichtlich im März 2025 in Kraft treten. Die Einführung des Gesetzes ist ein bedeutender Schritt zur Umsetzung der NIS2-Richtlinie und zur Stärkung des Rechts auf Cybersicherheit in Deutschland.

Optimieren Sie Ihr Qualitätsmanagement

Unternehmen und kritische Anlagen

Definition von kritischen Anlagen (KRITIS)

Kritische Anlagen (KRITIS) bezeichnen Unternehmen und Organisationen, die zentrale Funktionen zur Aufrechterhaltung der öffentlichen Sicherheit, Ordnung und Versorgung übernehmen. Dazu zählen Infrastrukturen wie Energieversorgung, Wasserwirtschaft, Gesundheitswesen, IT-Dienstleistungen und Verkehr.

Sie sind besonders schützenswert, da ihr Ausfall oder ihre Beeinträchtigung erhebliche Folgen für die Gesellschaft und Wirtschaft hätte.

Die NIS 2-Richtlinie der EU und deren nationale Umsetzung durch das NIS2UmsuCG verdeutlichen die Bedeutung von KRITIS. Die Regelung wesentlicher Grundzüge erfolgt unter Beibehaltung der bisherigen KRITIS-Logik, die kritische Dienstleistungen und Anlagen anhand spezifischer Schwellenwerte definiert.

Betreiber solcher Anlagen gelten gleichzeitig als wichtige Einrichtungen und unterliegen besonderen Vorgaben, wie der Implementierung strenger Cybersicherheits-Maßnahmen und Meldepflichten im Falle von Vorfällen.

Im deutschen Gesetzesentwurf des Cybersicherheitsstärkungsgesetzes wurden diese Anforderungen präzisiert und in Anhörungen des Bundestags diskutiert. Die Bundesregierung verfolgt damit das Ziel, KRITIS-Betreiber besser vor Cyberangriffen zu schützen und die Resilienz der Infrastrukturen zu erhöhen.

Mit dem Inkrafttreten der Richtlinie NIS 2 werden nicht nur die bisherigen Regelungen gestärkt, sondern auch wichtige Änderungen eingeführt, um den gestiegenen Anforderungen der Richtlinie gerecht zu werden. Dies unterstreicht die zentrale Rolle von KRITIS-Betreibern bei der Umsetzung der NIS 2-Vorgaben in Deutschland.

Audit optimal vorbereiten

Wen betrifft das konkret?

KRITIS-Unternehmen sind Organisationen, die in zentralen Bereichen tätig sind und deren Ausfall schwerwiegende Folgen für die Gesellschaft und Wirtschaft hätte. Die wichtigsten Sektoren sind:

Energieversorgung

Dazu gehören Stromerzeuger und -netzbetreiber (z. B. RWE, E.ON), Gasversorger wie Uniper oder Gasunie, Ölraffinerien und Pipelinebetreiber.

Wasserversorgung und Abwasserentsorgung

Wasserwerke und regionale Versorger sowie Betreiber von Abwassersystemen fallen in diese Sektion.

Gesundheitswesen

Dies betrifft unter anderem Krankenhäuser und medizinische Einrichtungen (z. B. Helios Kliniken, Universitätskliniken) sowie die Branche der Pharma Unternehmen und Hersteller medizinischer Geräte.

Informationstechnik und Telekommunikation

Telekommunikationsanbieter sowie Betreiber von Rechenzentren und Cloud-Diensten fallen in diesen Bereich.

Transport und Verkehr

Neben Flughafenbetreibern und Bahnbetreibern, allen voran die Deutsche Bahn, sind hier auch Reedereien und Hafenbetreiber zusammengefasst.

Finanz- und Versicherungswesen

Banken und Börsenbetreiber sind ebenfalls wichtige Einrichtungen, die sich mit den kommenden NIS 2 Vorgaben befassen müssen.

Lebensmittelversorgung

Lebensmittelproduzenten und Großhändler sowie Betreiber von Logistikzentren zählen zu den betroffenen Unternehmen, für die das NIS 2 Umsetzungs und Cybersicherheitsstärkungsgesetz relevant ist.

Staat und Verwaltung

Nicht zuletzt sind Regierungsbehörden und Institutionen sowie Betreiber von Sicherheitsinfrastrukturen (z. B. Polizei, Feuerwehr) von den Änderungen des Informationssicherheitsmanagements betroffen, das die NIS 2 mitbringen wird.

All diese beispielhaft genannten Unternehmen und Bereiche unterliegen der nationalen KRITIS Gesetzgebung und künftig auch der NIS 2 – um die Cybersicherheit passend zur dynamischen Bedrohungslage auf dem neuesten Stand zu halten.

Optimieren Sie Ihr Qualitätsmanagement

Pflichten von Betreibern und Einrichtungen

Sicherheit und Risikomanagement

Die NIS 2-Richtlinie verpflichtet wichtige Einrichtungen und besonders wichtige Betreiber, ein hohes Niveau an Sicherheit in der Informationstechnik zu gewährleisten. Sie müssen geeignete, verhältnismäßige und wirksame Maßnahmen implementieren, um die IT-Systeme und Prozesse zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden sowie die Auswirkungen von Sicherheitsvorfällen zu minimieren.

Teil der NIS 2 Umsetzung ist die Einführung eines umfassenden Informationssicherheitsmanagements: Betroffene Unternehmen sind verpflichtet, das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten, die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie deren gesellschaftliche und wirtschaftliche Auswirkungen zu berücksichtigen.

Auf dieser Basis sollen maßgeschneiderte Sicherheitskonzepte entwickelt werden, die den spezifischen Anforderungen der jeweiligen Einrichtung gerecht werden.

Laut Gesetzentwurf des deutschen Cybersicherheitsstärkungsgesetzes, das im März 2025 in Kraft treten soll, werden Betreiber beispielsweise verpflichtet, Mitarbeiter zu schulen und interne Experten für Cybersicherheit einzusetzen.

Der Entwurf sieht außerdem Änderungen vor, die eine engere Zusammenarbeit mit der Bundesverwaltung fördern, um Sicherheitslücken effizient zu schließen.

Die NIS 2 Umsetzung erweitert zudem die Meldepflichten und fordert von Unternehmen detaillierte Berichte zu Sicherheitsvorfällen.

Ziel ist eine nachhaltige Verbesserung der Sicherheit und Widerstandsfähigkeit, die auch die Verwaltung einbindet und dazu beiträgt, kritische Informationen besser zu schützen.

Foreman Builder, Engineer Or Inspector In Green Safety Vest Refl

NIS 2 Umsetzungsmaßnahmen

Wie wird die Konkretisierung der NIS 2 Umsetzung aussehen?

Die NIS 2 Umsetzung sieht vor, dass Betreiber und wichtige Einrichtungen technische und organisatorische Maßnahmen implementieren, die sich an einem gefahrenübergreifenden Ansatz orientieren. Dabei sollen sowohl europäische als auch internationale Normen berücksichtigt werden, um eine einheitliche Sicherheitsebene herzustellen.

Zwar sind die genauen Vorgaben für die Maßnahmen noch nicht vollständig konkretisiert, jedoch wird erwartet, dass das BSI und relevante Verbände etwa Anfang 2025 weitere Leitlinien veröffentlichen. Diese sollen die Umsetzung der NIS 2-Richtlinie für Unternehmen und die Bundesverwaltung greifbarer machen.

Der aktuelle Gesetzentwurf im deutschen Cybersicherheitsstärkungsgesetz sieht vor, dass die Maßnahmen Meldepflichten, Risikoanalysen und die Sicherung von Diensten umfassen.

Behörden, wie das BSI, könnten hier verstärkt Schulungen und Zertifizierungen anbieten, um die NIS2-Vorgaben effizient umzusetzen. Mit dem geplanten Inkrafttreten der nationalen Regelungen zum Cybersicherheitsstärkungsgesetz im Jahr 2025 werden diese Informationen und Anforderungen weiter präzisiert.

Registrierung und Kontaktstelle

Registrierungspflicht

Die NIS2-Richtlinie sieht eine Registrierungspflicht vor, die Einrichtungen und Betreiber dazu verpflichtet, sich eigenständig beim BSI zu identifizieren und zu registrieren.

Diese Verpflichtung gilt insbesondere für Unternehmen aus Bereichen, die als kritisch für die EU-weite Sicherheit und Versorgung gelten. Für bestimmte Betreiber und wichtige Einrichtungen können dabei spezielle Registrierungsregeln Anwendung finden, die auf ihren Tätigkeitsbereich und ihre Bedeutung abgestimmt sind.

Laut aktuellem Gesetzentwurf müssen Änderungen der registrierten Daten, wie Standort-Informationen und Ansprechpartner, jährlich gemeldet werden. Andere Angaben, wie etwa Veränderungen der rechtlichen Struktur, müssen unverzüglich innerhalb von zwei Wochen an das BSI übermittelt werden. Diese Informationen dienen dazu, eine aktuelle Übersicht über die Betreiber und ihre Sicherheitsmaßnahmen zu gewährleisten.

Die Einführung der Registrierungspflicht wurde in den Anhörungen des Bundestags und in Zusammenarbeit mit der Bundesverwaltung diskutiert. Ziel ist es, durch eine präzise Erfassung der Betreiber die Grundlage für eine effektive Umsetzung der NIS2-Vorgaben zu schaffen.

Meldewesen

Meldung von Sicherheitsvorfällen

Die NIS 2 Richtlinie verschärft die bestehenden Meldepflichten für Unternehmen und Betreiber kritischer Infrastrukturen deutlich.

Betroffene Einrichtungen sind verpflichtet, Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit ihrer Dienste haben könnten, innerhalb von 24 Stunden nach Feststellung an das BSI zu melden. Dies gilt sowohl für private Unternehmen als auch für Bundeseinrichtungen, wodurch eine umfassendere Überwachung gewährleistet werden soll.

Der aktuelle Gesetzentwurf für das deutsche Cybersicherheitsstärkungsgesetz, das die NIS 2 Richtlinie in nationales Recht umsetzt, erweitert diese Verpflichtungen gegenüber den bisherigen Vorgaben aus §8b BSIG (KRITIS).

Neben der schnellen Meldung von Vorfällen müssen Unternehmen detaillierte Informationen zur Art des Vorfalls, den getroffenen Sofortmaßnahmen und den potenziellen Auswirkungen bereitstellen. Innerhalb eines weiteren Zeitrahmens von einem Monat ist zudem ein abschließender Nachweis über die Bewältigung des Vorfalls vorzulegen.

Die EU betont, dass diese verschärften Meldepflichten die Cybersicherheitslage insgesamt verbessern und als Grundlage für eine koordinierte Reaktion dienen sollen. Die Bundesverwaltung und das BSI sind hierbei zentrale Akteure, um den aktuellen Stand der Cybersicherheit zu erfassen und gezielt Maßnahmen abzuleiten.

Mit dem Entwurf soll zudem die Transparenz zwischen Unternehmen und Behörden gestärkt werden, um eine resilientere Sicherheitslandschaft zu schaffen.

Hilfe bei Audits

Aufsicht und Zuständigkeit

Zuständige Behörden

Im Rahmen des NIS2UmsuCG übernimmt das BSI eine wichtige Rolle als Aufsichtsbehörde für die Umsetzung der NIS2 in Deutschland. Das BSI ist zuständig für die Überwachung von besonders wichtigen und wichtigen Einrichtungen mit Niederlassung in Deutschland, Betreibern kritischer Anlagen auf deutschem Hoheitsgebiet sowie Einrichtungen der Bundesverwaltung.

Das BSI prüft, ob die Anforderungen des Informationssicherheitsmanagements eingehalten werden.Dazu gehört sowohl die Implementierung geeigneter technischer und organisatorischer Maßnahmen als auch der Nachweis der Einhaltung.

Einrichtungen müssen regelmäßig Berichte vorlegen und bei Bedarf Audits oder Inspektionen zulassen.

Die Aufsicht des BSI wird im aktuellen Entwurf des deutschen Gesetzgebungsverfahrens konkretisiert. Klare Zuständigkeiten und wirksame Kontrollmechanismen sollen helfen, die Vorgaben der EU-Richtlinie effizient umzusetzen. Das BSI unterstützt dabei auch durch Leitlinien und Handlungsempfehlungen, um den betroffenen Betreibern und Einrichtungen die Einhaltung der Sicherheitsanforderungen zu erleichtern.

Optimieren Sie Ihr Qualitätsmanagement

Sanktionen und Bußgelder

Sanktionen bei Nichteinhaltung der neuen NIS Richtlinie

Das NIS2UmsuCG erweitert im Rahmen des IT Sicherheitsgesetzes die Bußgeldvorschriften deutlich.

In §65 des Gesetzes führt das Gesetz neue Tatbestände ein und erhöht bestehende Bußgelder. Betreiber, die ihre Pflichten, etwa zur Implementierung von Sicherheitsmaßnahmen oder zur Meldung von Vorfällen, vernachlässigen, müssen mit empfindlichen Geldstrafen rechnen.

Die Höhe der Bußgelder orientiert sich an den gestiegenen Anforderungen von NIS2 und kann für schwerwiegende Verstöße mehrere Millionen Euro betragen, abhängig von der Unternehmensgröße und Schwere des Verstoßes. Die Bundesverwaltung und das BSI übernehmen die Durchsetzung und Überwachung dieser Vorgaben.

Der aktuelle Entwurf im Gesetzgebungsverfahren sieht vor, dass Unternehmen ihre Maßnahmen und deren Einhaltung regelmäßig per Nachweis belegen müssen. Ziel ist es, durch abschreckende Sanktionen die Cybersicherheit auf nationaler und EU Ebene nachhaltig zu stärken.

Fristen im NIS2 Umsetzungsgesetz

Fristen für die Umsetzung der NIS 2

Das NIS2UmsuCG tritt unmittelbar am Tag nach seiner Verkündung in Kraft und ersetzt das bisherige BSI-Gesetz in der alten Fassung.

Ursprünglich war geplant, das Umsetzungsgesetz bereits im Oktober 2024 in Kraft zu setzen, der aktuelle Zeitplan sieht jedoch eine Verschiebung vor. Nach Stand der Dinge wird beim BSI der März 2025 angepeilt. Artikel 30, 31 und 32 des Gesetzes treten erst mit einer neuen Rechtsverordnung in Kraft.

Die NIS2 Pflichten für Unternehmen und Einrichtungen gelten ab Inkrafttreten ohne Übergangsfristen, sodass die Anforderungen direkt umzusetzen sind. Die betroffenen Betreiber müssen Maßnahmen nachweisen und das BSI wird die Einhaltung überwachen. Auf diese Weise soll eine schnelle und effektive Umsetzung der Vorgaben der EU Richtlinie, wie im Gesetzgebungsverfahren festgelegt, erreicht werden.

Nach welchen Standards erfolgt der interne Audit?

Rechtsverordnung

Rechtsverordnung zur Umsetzung

Zum NIS2UmsuCG sollen mehrere Rechtsverordnungen erlassen werden, um wesentliche Anforderungen zu konkretisieren. Laut §56 regeln diese:

  • Welche Dienstleistungen und Anlagen als kritisch gelten, einschließlich der Versorgungsgrade (§56 (4)).
  • die Details zur Erteilung von Sicherheitszertifikaten und deren Anerkennung (§52, §56 (1)).
  • Einzelheiten zum IT-Sicherheitskennzeichen, zur Eignung branchenspezifischer IT-Sicherheitsvorgaben und deren Freigabe (§55, §56 (2)).
  • Produkte, Dienste oder Prozesse, die über eine Zertifizierung nach §30 (6) verfügen müssen (§56 (3)).

Diese Verordnungen sollen im Einklang mit dem KRITIS-Dachgesetz stehen und sowohl Betreiber als auch Einrichtungen in einer zentralen Übersicht kategorisieren. Man möchte damit betroffenen Unternehmen eine klare Tabelle mit relevanten Kategorien und Schwellenwerten zur Verfügung stellen.

Ein Entwurf der Rechtsverordnungen ist derzeit noch nicht verfügbar. Besonders wichtige Einrichtungen können weiterhin branchenspezifische Sicherheitsstandards (B3S) nach §30 (1) vorschlagen, deren Eignung das BSI prüft (§30 (8)(9)). Diese Standards sollen die Umsetzung der Sicherheitsmaßnahmen erleichtern und auf spezifische Anforderungen abgestimmt sein.

Vom IT Sicherheitsgesetz zu NIS2UmsuCG: Wir sind an Ihrer Seite!

Mit Blick auf die anstehenden Änderungen, die das Gesetz knapp 30.000 Unternehmen in Deutschland bringen wird, lohnt sich die Optimierung des hauseigenen Qualitätsmanagements, in dem wir ein Modul für die IT-Sicherheit eingerichtet haben. Wir stehen Ihnen mit unserer Software und unserem Team dabei zur Seite. Machen Sie sich die Erfüllung gesetzlicher Anforderungen einfacher – und nehmen Sie Kontakt zu uns auf, wenn Sie Fragen haben!