Konkrete Anforderungen und Umsetzungsfristen für Unternehmen der NIS II-Richtlinie
Die Europäische Union hat mit der NIS II-Richtlinie einen bedeutenden Schritt unternommen, um die Cybersicherheit innerhalb der Mitgliedstaaten zu stärken. Ursprünglich war vorgesehen, dass die Mitgliedstaaten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Deutschland hat diese Frist jedoch nicht eingehalten, sodass die Umsetzung nun voraussichtlich bis März 2025 erfolgen soll.
Betroffene Unternehmen der NIS2 Richtlinie
Die NIS II-Richtlinie erweitert den Kreis der verpflichteten Unternehmen erheblich. Betroffen sind öffentliche und private Einrichtungen in 18 definierten Sektoren, sofern sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz bzw. eine Jahresbilanz von mindestens 10 Millionen Euro aufweisen.
Zu den betroffenen Sektoren zählen unter anderem:
- Energie: Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff
- Transport: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
- Bankwesen: Kreditinstitute
- Finanzmarktinfrastrukturen: Handelsplätze, Zentrale Gegenparteien
- Gesundheit: Gesundheitsdienstleister, Labore, Medizinforschung, Pharmazeutik, Medizingeräte
- Trinkwasser: Wasserversorgung
- Abwasser: Abwasserentsorgung
- Digitale Infrastruktur: Internet-Knoten, DNS-Dienste, Cloud-Anbieter, Rechenzentren, Content Delivery Networks, Vertrauensdienste, elektronische Kommunikation
- IKT-Dienstleistungsmanagement: Managed Service Providers, Managed Security Service Providers
- Öffentliche Verwaltungen: Zentral- und Regionalregierungen
- Weltraum: Bodeninfrastruktur
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Produktion von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
- Digitale Anbieter: Marktplätze, Suchmaschinen, soziale Netzwerke
- Forschung: Forschungsinstitute
Schätzungen zufolge werden in Deutschland etwa 30.000 bis 40.000 Unternehmen von der NIS II-Richtlinie betroffen sein.
Umsetzungsfristen
Obwohl die EU die Frist zur Umsetzung der NIS II-Richtlinie auf den 17. Oktober 2024 festgelegt hat, wird in Deutschland mit einer nationalen Umsetzung nicht vor März 2025 gerechnet.
Empfehlungen für Unternehmen
Angesichts der bevorstehenden gesetzlichen Anforderungen sollten betroffene Unternehmen proaktiv handeln:
- Risikobewertung: Identifizieren Sie potenzielle Bedrohungen und Schwachstellen in Ihren Informationssystemen.
- Sicherheitsmaßnahmen: Implementieren Sie geeignete technische und organisatorische Maßnahmen, um identifizierte Risiken zu minimieren.
- Mitarbeiterschulungen: Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für Cyberrisiken und schulen Sie sie im sicheren Umgang mit IT-Systemen.
- Meldeprozesse: Etablieren Sie Verfahren zur Erkennung und Meldung von Sicherheitsvorfällen gemäß den gesetzlichen Vorgaben.
Durch frühzeitige Vorbereitung können Unternehmen nicht nur gesetzliche Anforderungen erfüllen, sondern auch ihre eigene Cybersicherheit und Resilienz gegenüber Bedrohungen stärken.
Gerne stehen wir Ihnen bei Fragen zum Thema zur Verfügung!
