Der Umsetzungsstatus der NIS2-Richtlinie zu Netz- und Informationssicherheit in Deutschland befindet sich noch immer in der der Gesetzgebungsphase. Bis Oktober 2024 müssen die EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen. Der deutsche Gesetzesentwurf, bekannt als NIS-2-Umsetzungsgesetz (NIS2UmsuCG), wurde im Dezember 2023 vorgelegt, jedoch steht die Verabschiedung des endgültigen Gesetzes noch aus.
UPDATE:
Das Bundeskabinett hat den Entwurf des NIS-2 Umsetzungsgesetztes (NIS2UmsuCG) mit Stand 22.07.2024 verabschiedet und dem Bundesrat zur weiteren Beratung zugeleitet.
Unternehmen sollten auf keinen Fall bis zur Verabschiedung des Gesetzes warten. Sie sollten schon jetzt damit beginnen eine detaillierte Analyse ihrer aktuellen Sicherheitsvorkehrungen durchführen, um Lücken im Hinblick auf die erwarteten Anforderungen der NIS2-Richtlinie zu identifizieren.
Zunächst sollten Sie prüfen Sie, ob Sie direkt oder indirekt von der NIS2-Richtlinie betroffen sind. Sprechen Sie Schlüsselkunden schon jetzt auf auf kommende Anforderungen bei der Auftragsvergabe an.
Direkt betroffene Sektoren
Die NIS2-Richtlinie betrifft eine Vielzahl von Sektoren, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden. Dazu gehören:
- Energie (z.B. Strom, Öl, Gas)
- Transport und Verkehr
- Gesundheitswesen (inkl. Krankenhäuser und Pharmaunternehmen)
- Digitale Infrastruktur
- Finanzmarkt und Banken
- Öffentliche Verwaltung
- Trinkwasser- und Abwasserwirtschaft
- Raumfahrt
- IKT-Dienstleistungen (z.B. Cloud-Anbieter, Datenzentren)
- Lebensmittelproduktion und Vertrieb
Verpflichtungen als Teil einer Lieferkette
Auch wenn Ihr Unternehmen nicht direkt von der NIS2-Richtlinie betroffen ist, kann es indirekt Verpflichtungen haben die sich aus der Lieferkette ergeben. Denn Unternehmen, die kritische Dienstleistungen für andere erbringen, müssen sicherstellen, dass ihre Verträge und Vereinbarungen entsprechende Sicherheitsanforderungen umfassen. Dies bedeutet, dass Ihr Unternehmen möglicherweise verpflichtet wird zusätzliche Sicherheitsmaßnahmen zu implementieren und regelmäßig Audits oder Überprüfungen durchzuführen, um die Einhaltung sicherzustellen .
Jetzt auf NIS2 vorbereiten
Die Umsetzung der NIS2-Richtlinie erfordert eine umfassende Vorbereitung und ggf. die Anpassung und Dokumentation bestehender Sicherheitsmaßnahmen um den neuen Anforderungen gerecht zu werden:
- Implementierung eines ISMS: Ein Informationssicherheitsmanagementsystem (ISMS) sollte eingerichtet werden, um die kontinuierliche Überwachung und Verbesserung der Sicherheitsmaßnahmen zu gewährleisten. Hier erfahren Sie mehr über die Umsetzung eines zertifizierten ISMS.
- Risiko-Analyse: Sie sollten spätestens jetzt damit beginnen eine Lückenanalyse durchführen, um bestehende Schwachstellen zu identifizieren und gezielt zu beheben. Weitere Informationen zum Thema Risiko-Analyse
- Schulung und Sensibilisierung: Regelmäßige Schulungen für Mitarbeiter und Führungskräfte zur Cybersicherheit sind essenziell, um die Einhaltung der Richtlinie zu gewährleisten. Hier erfahren Sie mehr zum Thema Schulung und Sensibilisierung.
- Meldeverfahren etablieren: Unternehmen müssen ein robustes Verfahren zur Meldung von Sicherheitsvorfällen entwickeln und implementieren, um den gesetzlichen Vorgaben zu entsprechen.
Kontaktieren Sie uns, um Ihre Cybersicherheitsstrategie auf die Anforderungen der NIS2-Richtlinie vorzubereiten und zu stärken. Schützen Sie Ihr Unternehmen proaktiv vor Cyberbedrohungen und erfüllen Sie die gesetzlichen Vorgaben effektiv.
