Die NIS2-Richtlinie der EU, die auf eine Stärkung der Cybersicherheit in Europa abzielt, sollte ursprünglich bis Oktober 2024 in deutsches Recht umgesetzt werden. Doch nun wird sich das deutsche NIS2-Umsetzungsgesetz mindestens bis zum Frühjahr 2025 verzögern. Diese Verzögerung wirft viele Fragen für Betreiber von kritischen Infrastrukturen und wichtigen Einrichtungen auf. Welche Pflichten ergeben sich jetzt für sie? Was sollten Unternehmen und Einrichtungen der Bundesverwaltung tun, um sich trotz der rechtlichen Unsicherheiten vorzubereiten?
Keine unmittelbaren Pflichten aus der NIS2-Richtlinie
Zunächst einmal wichtig zu verstehen: Europäische Richtlinien wie die NIS2-Richtlinie gelten im Gegensatz zu Verordnungen nicht unmittelbar in den Mitgliedstaaten. Sie müssen erst in nationales Recht umgesetzt werden. Das bedeutet, dass Betreiber von kritischen Infrastrukturen und besonders wichtigen Einrichtungen vor der Verabschiedung des NIS2-Umsetzungsgesetzes in Deutschland keine direkten Pflichten aus der NIS2-Richtlinie haben.
So dürfen Behörden keine Maßnahmen oder Bußgelder gegen Unternehmen verhängen, solange das nationale Gesetz noch nicht in Kraft ist. Dies ist besonders wichtig, da es in dieser Übergangszeit auch unzulässig ist, belastende Verwaltungsakte auf Grundlage der NIS2-Richtlinie zu erlassen.
Verzögerte Umsetzung: Was sind die Risiken?
Trotzdem besteht ein gewisses Risiko für KRITIS-Betreiber. Denn ab dem Ablauf der Umsetzungsfrist der NIS2-Richtlinie – also ab Oktober 2024 – müssen nationale Gerichte bestehendes Recht richtlinienkonform auslegen. Das bedeutet, dass bei der Auslegung deutscher Gesetze die Vorgaben der NIS2-Richtlinie berücksichtigt werden können.
Dies könnte vor allem in Streitfällen relevant werden. Beispielsweise könnten Versicherungen die Auszahlung verweigern, wenn die betroffenen Unternehmen ab Oktober 2024 die Sicherheitsanforderungen der NIS2-Richtlinie nicht eingehalten haben. Auch in Schadensersatzprozessen könnten Kunden, die von Cyberangriffen betroffen sind, sich auf die Richtlinie stützen.
Obwohl die rechtliche Situation durch die verzögerte Umsetzung komplizierter wird, besteht derzeit keine direkte Pflicht zur Einhaltung der NIS2-Anforderungen. Allerdings sollten Unternehmen dies nicht als Freibrief sehen, untätig zu bleiben.
Warum Organisationen dennoch handeln sollten
Auch wenn das NIS2-Umsetzungsgesetz vorerst nicht in Kraft tritt, ist es keine Frage, ob, sondern wann das Gesetz kommt. Die Bedrohungslage durch Cyberangriffe nimmt kontinuierlich zu, und die Cybersicherheit sollte für jedes Unternehmen bereits jetzt höchste Priorität haben. Wichtig ist, anzufangen. Cybersicherheit für eine Organisation zu implementieren ist wie mit dem Sport zu beginnen: Hauptsache, man fängt an, jeder Schritt ist besser, als nichts zu tun.
Zudem ist damit zu rechnen, dass es nach der Verabschiedung des Gesetzes nur kurze oder gar keine Übergangsfristen geben wird. Wer also erst reagiert, wenn das Gesetz in Kraft tritt, wird Schwierigkeiten haben, die neuen Anforderungen rechtzeitig zu erfüllen.
Handlungsempfehlungen für Betreiber
Unternehmen sollten bereits jetzt beginnen, die bisher bekannten Anforderungen der NIS2-Richtlinie in ihre Cybersicherheitsstrategien zu integrieren. Obwohl das Gesetz noch nicht verabschiedet ist, sind die wirtschaftsbezogenen Regelungen weitgehend klar und werden sich voraussichtlich nicht mehr grundlegend ändern.
Folgend einige Maßnahmen, die Unternehmen und betroffene Einrichtungen der Bundesverwaltung bereits jetzt umsetzen sollten:
- Betroffenheitsprüfung: Unternehmen, die sich unsicher sind, ob sie vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz betroffen sind, können dies auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) per Web Tool überprüfen.
- Strategische Planung und Verantwortung: Die Geschäftsführung muss sich frühzeitig mit der Cybersicherheit auseinandersetzen und Verantwortung übernehmen. Die persönliche Haftung, die mit dem NIS2-Umsetzungsgesetz einhergeht, wird ein zentrales Element sein.
- Technische und organisatorische Maßnahmen: Organisationen sollten sowohl technische als auch organisatorische Vorkehrungen treffen. Technische Maßnahmen betreffen in erster Linie die IT-Abteilung, während organisatorische Maßnahmen abteilungsübergreifend umgesetzt werden müssen. Aber Vorsicht: Insbesondere im KRITIS-Bereich wirken die Regularien auch auf den Bereich der operativen Technologie (OT). Auch dieser muss richtlinienkonform abgesichert werden. Dazu gehören beispielsweise die Sicherung der Lieferketten, die mit dem Einkauf abgestimmt wird, oder die Personalsicherheit, die mit der HR-Abteilung besprochen werden muss.
- Risikomanagement optimieren: Ein robustes Risikomanagement ist essenziell und zeitaufwändig. Für Unternehmen ist es ratsam bereits jetzt damit zu beginnen, Risiken zu identifizieren und geeignete Maßnahmen zu deren Bewältigung zu ergreifen.
- Kontinuierliche Überprüfung der Sicherheitsmaßnahmen: NIS2 fordert nicht nur die Umsetzung von Maßnahmen, sondern auch deren regelmäßige Prüfung. Unternehmen sollten daher frühzeitig Mechanismen einführen, um die Wirksamkeit ihrer Sicherheitsvorkehrungen zu validieren.
Fazit: Jetzt handeln, um auf NIS2 vorbereitet zu sein
Die Verzögerung des NIS2-Umsetzungsgesetzes gibt Unternehmen und Behörden zwar etwas mehr Zeit, doch diese sollte nicht ungenutzt bleiben. Weitere Informationen dazu finden Sie in dem Artikel „In zehn Schritten zur NIS-2-Konformität“. Die Bedrohungslage im Bereich der Cybersicherheit ist real. Unternehmen sollten bereits heute damit beginnen, ihre Sicherheitsvorkehrungen an die Anforderungen der NIS2-Richtlinie anzupassen.
Bis das Gesetz in Kraft tritt, haben Betreiber die Chance, sich proaktiv auf die kommenden Anforderungen vorzubereiten. Wer jetzt handelt, ist nicht nur besser geschützt, sondern wird auch in der Lage sein, die gesetzlichen Vorgaben zu erfüllen, sobald das NIS2-Umsetzungsgesetz in Kraft tritt.
Alle Beiträge aus der Blogserie “Cyber Security 2024”:
- Irgendwann trifft es uns alle – verpflichtende IT-Sicherheitsvorgaben 2024
- Resilienz verbessern: So wird Ihre IT zum Fels in der Brandung
- Intelligente Angriffserkennung mit einem Security Information and Event Management (SIEM)
- Auf Angriffe schneller reagieren mit SecOps – Teil 1
- Auf Angriffe schneller reagieren mit SecOps – Teil 2
- Auf Angriffe schneller reagieren mit SecOps – Teil 3
- NIS2-Richtlinie: Umsetzungsgesetz noch nicht in Sicht – was Organisationen jetzt tun sollten
- SOC-as-a-Service: Die All-in-One-Lösung für die Erkennung von Cyber-Sicherheitsvorfällen