Was jetzt auf Unternehmen zukommt
Mehr als ein Jahr nach Ablauf der EU-Umsetzungsfrist ist es nun so weit: Der Bundestag hat das Gesetz zur Umsetzung der NIS2-Richtlinie verabschiedet. Mit dem neuen Regelwerk werden die Anforderungen an Cybersicherheit in Deutschland deutlich verschärft – und betreffen künftig wesentlich mehr Unternehmen als bisher. Für die IT-Landschaft in Wirtschaft und Verwaltung bedeutet das umfassende Veränderungen.
Lange Verzögerung trotz steigender Bedrohungslage
Ursprünglich hätte die EU-Vorgabe bereits im Oktober 2024 in deutsches Recht überführt werden müssen. Die verspätete Umsetzung wirkt angesichts stetig steigender Cyberangriffe und massiver wirtschaftlicher Schäden besonders kritisch. Branchenverbände wie Bitkom hatten die schleppende Umsetzung wiederholt kritisiert und betont, wie wichtig verbindliche Sicherheitsstandards inzwischen sind.
Nach einer vergleichsweise kurzen parlamentarischen Debatte fand das Gesetz schließlich eine Mehrheit im Bundestag. Die politischen Lager waren dabei nicht einheitlich – dennoch ist die Entscheidung gefallen und der Handlungsdruck für Unternehmen steigt.
Erweiterter Kreis betroffener Unternehmen
Eine der gravierendsten Änderungen betrifft die Definition kritischer und besonders wichtiger Einrichtungen. Unter die neuen Vorgaben fallen künftig deutlich mehr Unternehmen aus unterschiedlichsten Branchen. Sie müssen erhöhte Sicherheitsmaßnahmen einführen und Sicherheitsvorfälle verbindlich melden.
Neben klassischen Sektoren wie Energie, Gesundheit oder Telekommunikation geraten nun auch viele mittelständische Betriebe ins NIS2-Raster, die bisher nicht betroffen waren.
Auch die Bundesverwaltung wird stärker eingebunden: Nachgelagerte Behörden müssen sich künftig an dieselben Vorgaben zum Risikomanagement halten wie private Unternehmen.
Streitpunkt kritische Komponenten
Kurzfristig eingefügte Regelungen zu sogenannten „kritischen Komponenten“ sorgten im Gesetzgebungsprozess für deutliche Diskussionen. Das Innenministerium kann künftig selbst entscheiden, welche Komponenten als kritisch gelten – und deren Einsatz verbieten.
Wirtschaftsverbände warnen vor möglicher Unsicherheit für Unternehmen und fordern mehr Transparenz und frühzeitige Einbindung, bevor solche Verbote ausgesprochen werden.
Umsetzung wird anspruchsvoll
Mit Inkrafttreten des NIS2-Umsetzungsgesetzes beginnt für Unternehmen die eigentliche Arbeit. Viele Betriebe müssen ihre IT-Sicherheitsprozesse überarbeiten, technische Maßnahmen aktualisieren und interne Verantwortlichkeiten klar regeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird hierbei eine zentrale Rolle als Ansprechpartner und Aufsichtsbehörde einnehmen.
Parallel muss auch das KRITIS-Dachgesetz an die neuen Vorgaben angepasst werden – eine Aufgabe, die zeitnah folgen soll.
Jetzt auf NIS2 vorbereiten – wir unterstützen Sie!
Die neuen gesetzlichen Vorgaben bringen umfangreiche Pflichten mit sich. DIDATA unterstützt Sie dabei, Ihre IT-Sicherheitsstrategie an die NIS2-Anforderungen anzupassen – von der Analyse über technische Umsetzung bis zur kontinuierlichen Betreuung.