NIS-2 ist eine Erweiterung der früheren NIS Regelung und wird in Deutschland rund 29.500 Einrichtungen betreffen. Für diese gelten dann neue gesetzliche Pflichten im Bereich der Cybersecurity. Beispielsweise ist eine Registrierung beim BSI notwendig und Sicherheitsvorfälle müssen zukünftig gemeldet werden.
Seit Jahren sind Cyber-Vorfälle der Grund für Schäden im dreistelligen Milliarden Bereich in der deutschen Wirtschaft. Von der Umsetzung des Gesetzes in den Unternehmen erhofft sich das Bundesamt für Sicherheit in der Informationstechnik eine stärkere Cyber-Resilienz Europas im Allgemeinen und Deutschlands im Besonderen.
Was ist jetzt zu tun?
Die Zeit des Abwartens ist nun vorbei und es gibt einige Punkte, die es zu erledigen gilt. Das BSI gibt hier einen Leitfaden und auch weitere nützliche Tipps zur Umsetzung. Prinzipiell sollte zunächst eine Person benannt werden, die die Umsetzung koordiniert und voran treibt. Zusätzlich sieht das BSI auch die Leitung in einer größeren Verantwortung. Vor allem die verpflichtenden Schulungen sollen und können zeitnah angegangen werden. Mit dem erworbenen Wissen fällt es dann auch leichter, die anderen Maßnahmen in Angriff zu nehmen.
Warum ist eine Bestandsaufnahme wichtig?
Um die eigene Cybersecurity auf den geforderten Stand des NIS2 Gesetzes zu heben, ist es wichtig zunächst einmal eine Bestandsaufnahme der eigenen Systeme zu haben. Was wurde bereits implementiert und was fehlt? Das BSI rät in diesem Zusammenhang auch zum CyberRisikoCheck der vor allem kleinen und mittleren Unternehmen einen ersten guten Überblick bietet. Für größere Unternehmen, die bereits einiges an Maßnahmen haben, ist es sinnvoller ein Security-Audit durchzuführen und so der eigenen Cybersecurity noch einmal genauer auf den Zahn zu fühlen.
Wie schnell müssen die Umsetzungen für NIS2 erfolgen?
Ein wenig Zeitpuffer haben Unternehmen noch, da das endgültige Gesetz erst nach der abschließenden Abstimmung im Bundesrat gültig wird. Mit dieser wird aktuell Anfang 2026 gerechnet. Wir raten jedoch das Thema frühzeitig anzugehen. Zunächst dauert es in der Regel länger, bis wirklich alle Maßnahmen umgesetzt sind und zum anderen sind die Fachkräfte auch hier begrenzt. Vor allem Unternehmen, die Unterstützung brauchen, sollten frühzeitig bei Firmen anfragen, damit sie am Ende nicht so lange warten müssen, bis die ersten Sanktionen winken.