Die NIS-2-Richtlinie (Network and Information Systems Directive) wurde bereits im Dezember 2022 durch die EU beschlossen und soll bis Oktober 2024 in national geltendes Recht umgesetzt werden. Sie erweitert die Vorgaben der bisherigen NIS-1-Richtlinie. Die gesetzlichen Grundlagen und weitere Informationen sind auf der Webseite des Bundesamt und Informationstechnik (BSI) zu finden.
In Deutschland wird die NIS-2-Richtlinie durch das NIS2-Umsetzungsgesetz in nationales Recht umgesetzt. Dieses Gesetz soll bis Oktober 2024 in Kraft treten und umfasst erweiterte Sicherheitsanforderungen und Meldepflichten für Unternehmen und Behörden. Ziel ist es, die IT-Sicherheit zu stärken und die Zusammenarbeit zwischen Staat und Wirtschaft zu verbessern.
NIS-2: Wer ist betroffen?
Die NIS-2-Richtlinie erweitert die Vorgaben der bisherigen NIS-1-Richtlinie, wodurch eine größere Anzahl an Unternehmen betroffen ist. Drei Kernfaktoren sind zu beachten:
- Anzahl der Mitarbeitenden
- Umsatz des Unternehmens
- Ansässige Sektor
Unter Punkt drei zählen öffentliche und private Einrichtungen aus insgesamt 18 verschiedenen Sektoren, darunter Energie, Transport, Gesundheit und digitale Infrastruktur.
Diese Unternehmen müssen mindestens 50 Mitarbeiter haben oder einen Jahresumsatz von mindestens 10 Millionen Euro erzielen. Die Richtlinie verpflichtet sie, sich bei der zuständigen nationalen Behörde zu registrieren, ein Risikomanagement einzurichten und Sicherheitsvorfälle zu melden.
Um sicherzugehen, ob ein Unternehmen die NIS-2 Anforderungen umsetzen muss, kann auf der Webseite des BSI eine Betroffenheitsprüfung durchführen.
