Der Materna Blog – wissen was los ist

NIS2-Richtlinie: Umsetzungsgesetz noch nicht in Sicht – was Organisationen jetzt tun sollten

Die NIS2-Richtlinie der EU, die auf eine Stärkung der Cybersicherheit in Europa abzielt, sollte ursprünglich bis Oktober 2024 in deutsches Recht umgesetzt werden. Doch nun wird sich das deutsche NIS2-Umsetzungsgesetz mindestens bis zum Frühjahr 2025 verzögern. Diese Verzögerung wirft viele Fragen für Betreiber von kritischen Infrastrukturen und wichtigen Einrichtungen auf. Welche Pflichten ergeben sich jetzt für sie? Was sollten Unternehmen und Einrichtungen der Bundesverwaltung tun, um sich trotz der rechtlichen Unsicherheiten vorzubereiten? 

Keine unmittelbaren Pflichten aus der NIS2-Richtlinie

Zunächst einmal wichtig zu verstehen: Europäische Richtlinien wie die NIS2-Richtlinie gelten im Gegensatz zu Verordnungen nicht unmittelbar in den Mitgliedstaaten. Sie müssen erst in nationales Recht umgesetzt werden. Das bedeutet, dass Betreiber von kritischen Infrastrukturen und besonders wichtigen Einrichtungen vor der Verabschiedung des NIS2-Umsetzungsgesetzes in Deutschland keine direkten Pflichten aus der NIS2-Richtlinie haben. 

So dürfen Behörden keine Maßnahmen oder Bußgelder gegen Unternehmen verhängen, solange das nationale Gesetz noch nicht in Kraft ist. Dies ist besonders wichtig, da es in dieser Übergangszeit auch unzulässig ist, belastende Verwaltungsakte auf Grundlage der NIS2-Richtlinie zu erlassen. 

Verzögerte Umsetzung: Was sind die Risiken?

Trotzdem besteht ein gewisses Risiko für KRITIS-Betreiber. Denn ab dem Ablauf der Umsetzungsfrist der NIS2-Richtlinie – also ab Oktober 2024 – müssen nationale Gerichte bestehendes Recht richtlinienkonform auslegen. Das bedeutet, dass bei der Auslegung deutscher Gesetze die Vorgaben der NIS2-Richtlinie berücksichtigt werden können. 

Dies könnte vor allem in Streitfällen relevant werden. Beispielsweise könnten Versicherungen die Auszahlung verweigern, wenn die betroffenen Unternehmen ab Oktober 2024 die Sicherheitsanforderungen der NIS2-Richtlinie nicht eingehalten haben. Auch in Schadensersatzprozessen könnten Kunden, die von Cyberangriffen betroffen sind, sich auf die Richtlinie stützen. 

Obwohl die rechtliche Situation durch die verzögerte Umsetzung komplizierter wird, besteht derzeit keine direkte Pflicht zur Einhaltung der NIS2-Anforderungen. Allerdings sollten Unternehmen dies nicht als Freibrief sehen, untätig zu bleiben. 

Warum Organisationen dennoch handeln sollten

Auch wenn das NIS2-Umsetzungsgesetz vorerst nicht in Kraft tritt, ist es keine Frage, ob, sondern wann das Gesetz kommt. Die Bedrohungslage durch Cyberangriffe nimmt kontinuierlich zu, und die Cybersicherheit sollte für jedes Unternehmen bereits jetzt höchste Priorität haben. Wichtig ist, anzufangen. Cybersicherheit für eine Organisation zu implementieren ist wie mit dem Sport zu beginnen: Hauptsache, man fängt an, jeder Schritt ist besser, als nichts zu tun. 

Zudem ist damit zu rechnen, dass es nach der Verabschiedung des Gesetzes nur kurze oder gar keine Übergangsfristen geben wird. Wer also erst reagiert, wenn das Gesetz in Kraft tritt, wird Schwierigkeiten haben, die neuen Anforderungen rechtzeitig zu erfüllen. 

Handlungsempfehlungen für Betreiber

Unternehmen sollten bereits jetzt beginnen, die bisher bekannten Anforderungen der NIS2-Richtlinie in ihre Cybersicherheitsstrategien zu integrieren. Obwohl das Gesetz noch nicht verabschiedet ist, sind die wirtschaftsbezogenen Regelungen weitgehend klar und werden sich voraussichtlich nicht mehr grundlegend ändern. 

Folgend einige Maßnahmen, die Unternehmen und betroffene Einrichtungen der Bundesverwaltung bereits jetzt umsetzen sollten: 

  1. Betroffenheitsprüfung: Unternehmen, die sich unsicher sind, ob sie vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz betroffen sind, können dies auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) per Web Tool überprüfen. 
  2. Strategische Planung und Verantwortung: Die Geschäftsführung muss sich frühzeitig mit der Cybersicherheit auseinandersetzen und Verantwortung übernehmen. Die persönliche Haftung, die mit dem NIS2-Umsetzungsgesetz einhergeht, wird ein zentrales Element sein.
  3. Technische und organisatorische Maßnahmen: Organisationen sollten sowohl technische als auch organisatorische Vorkehrungen treffen. Technische Maßnahmen betreffen in erster Linie die IT-Abteilung, während organisatorische Maßnahmen abteilungsübergreifend umgesetzt werden müssen. Aber Vorsicht: Insbesondere im KRITIS-Bereich wirken die Regularien auch auf den Bereich der operativen Technologie (OT). Auch dieser muss richtlinienkonform abgesichert werden. Dazu gehören beispielsweise die Sicherung der Lieferketten, die mit dem Einkauf abgestimmt wird, oder die Personalsicherheit, die mit der HR-Abteilung besprochen werden muss. 
  4. Risikomanagement optimieren: Ein robustes Risikomanagement ist essenziell und zeitaufwändig. Für Unternehmen ist es ratsam bereits jetzt damit zu beginnen, Risiken zu identifizieren und geeignete Maßnahmen zu deren Bewältigung zu ergreifen.
  5. Kontinuierliche Überprüfung der Sicherheitsmaßnahmen: NIS2 fordert nicht nur die Umsetzung von Maßnahmen, sondern auch deren regelmäßige Prüfung. Unternehmen sollten daher frühzeitig Mechanismen einführen, um die Wirksamkeit ihrer Sicherheitsvorkehrungen zu validieren. 

Fazit: Jetzt handeln, um auf NIS2 vorbereitet zu sein

Die Verzögerung des NIS2-Umsetzungsgesetzes gibt Unternehmen und Behörden zwar etwas mehr Zeit, doch diese sollte nicht ungenutzt bleiben. Weitere Informationen dazu finden Sie in dem Artikel „In zehn Schritten zur NIS-2-Konformität“. Die Bedrohungslage im Bereich der Cybersicherheit ist real. Unternehmen sollten bereits heute damit beginnen, ihre Sicherheitsvorkehrungen an die Anforderungen der NIS2-Richtlinie anzupassen. 

Bis das Gesetz in Kraft tritt, haben Betreiber die Chance, sich proaktiv auf die kommenden Anforderungen vorzubereiten. Wer jetzt handelt, ist nicht nur besser geschützt, sondern wird auch in der Lage sein, die gesetzlichen Vorgaben zu erfüllen, sobald das NIS2-Umsetzungsgesetz in Kraft tritt.

Schlagwörter: Cyber Security, IT-Sicherheit, NIS2

Autoreninfo

Robert Stricker ist Vice President Security Consulting bei Materna.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.
Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Sie müssen den Bedingungen zustimmen, um fortzufahren.

Digitale Verwaltung: eGovernment MONITOR zeigt Chancen und Herausforderungen im Überblick
GovTech Campus: Innovationen für die Verwaltung von morgen