Update NIS2: Die Gesetzgebung in den Startlöchern
RWT-Webinar informiert zu den Gesetzesinhalten und zu Maßnahmen zur Erfüllung der Vorgaben.
Die Experten der RWT IT Consulting, Benjamin Schlotz und Sascha Dorwarth, gaben den Teilnehmern im RWT-Webinar einen Überblick zum aktuellen Stand bei der Umsetzung der NIS2-Richtlinie (Network and Information Security 2) der EU-Kommission in deutsches Recht. Die Bundesregierung hatte für die Umsetzung der Direktive bis zum 17. Oktober 2024 Zeit. Diese Deadline ist inzwischen verstrichen und der Referentenentwurf vom Oktober 2024 befindet sich weiterhin in der parlamentarischen Abstimmung. Mit einer Verabschiedung des neuen Gesetzes rechnen verschiedene Kommentatoren voraussichtlich im März/April 2025.
Die NIS2-Direktive zielt darauf, das IT-Sicherheitsniveau in allen Mitgliedstaaten weiter zu erhöhen und die Mindestanforderungen der Mitgliedsländer anzugleichen.
Die Referenten erläuterten die Kerninhalte des aktuellen Gesetzentwurfs zum sogenannten „NIS2-Umsetzungs-und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Im Mittelpunkt steht weiterhin die Zielsetzung, die Resilienz verschiedener wichtiger Branchen im Bereich der Cyber Security zu verbessern. Dazu werden erweiterte Kontrollmechanismen gefordert, die den Fokus auf Risikomanagement und den Angriffsvektor Mensch legen. Außerdem rückt die Wiederherstellung der IT-Infrastruktur durch optimierte Business-Continuity-Management-Prozesse in den Vordergrund. Eine weitere Neuerung des Gesetzes ist die Einführung Schulungsverpflichtung für Mitglieder der Geschäftsführung.
Die RWT-Experten wiesen darauf hin, dass durch die im neuen Gesetz vorgesehenen Änderungen der Schwellenwerte und die Aufnahme zusätzlicher Sektoren künftig etwa 30.000 Unternehmen als „Wichtige Einrichtung“ oder „Besonders wichtige Einrichtung“ unter die neuen Regelungen fallen werden – eine signifikante Erweiterung im Vergleich zur bisherigen KRITIS-Kategorisierung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auf seiner Website mittlerweile eine „NIS2-Betroffenheitsprüfung“ an. Die Betreiber kritischer Infrastrukturen müssen umfangreiche Pflichten erfüllen, darunter Maßnahmen zum Risikomanagement, Registrierungs-, Melde- und Nachweispflichten, sowie Anforderungen an den Informationsaustausch, Benachrichtigungsverpflichtungen und die Governance durch Leitungsorgane.
Die Referenten gaben den Teilnehmern mit auf den Weg, den Cyber-Risiken aktiv zu begegnen und den Fokus auf die vier Kernelemente Backup-Konzepte, Mitarbeiter-Awareness („Human Firewall“), Schwachstellenscans und Penetrationstests sowie den Aufbau eines Business Continuity Managements (BCM) zu legen. Dabei gilt es zentrale Fragen zu beantworten: Ist das Unternehmen von NIS2 betroffen (NIS2-SelfCheck des BSI)? Welche Maßnahmen im Unternehmen existieren (NIS2-Readiness)? Wurde ein Maßnahmenplan anhand des Gaps aus der Frage zur NIS2-Readiness erstellt? Werden die eingeführten Maßnahmen regelmäßig überprüft?
