Der Gesetzgeber hat mit NIS-2 eine neue EU-Verordnung beschlossen, die in Deutschland durch das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz in die Praxis gebracht wird. Das Gesetz liegt in einem finalen Entwurf inzwischen vor und hätte eigentlich bis Mitte Oktober 2024 verabschiedet sein müssen. Durch das Ampel-Aus werden wir dieses Gesetz wohl erst in Mitte/Ende 2025 erleben. Insofern besteht noch Zeit für die Umsetzung.

Unter NIS-2, hier geht es um Unternehmen, welche in Sektoren der kritischen Infrastruktur arbeiten, sind nunmehr deutlich mehr Organisationen einbezogen als unter NIS in der ersten Fassung. Die Einstufung erfolgt nicht mehr nur für sehr große Unternehmen mit außerordentlichen Umsätzen und Geschäftsaktivitäten, sondern kennt jetzt auch wichtige und besonders wichtige Organisationen unterhalb der Schwelle zur eigentlichen KRITIS.

Wichtige Unternehmen laut NIS-2 beginnen ab 50 Mitarbeiter*innen oder 10 Millionen Euro Umsatz und Bilanzsumme, besonders wichtige dann ab 250 Mitarbeiter*innen und etwas mehr Umsatz. Betroffen sind die folgenden Branchen/Sektoren:

  • Staat- und Verwaltung
  • Siedlungsabfallentsorgung
  • Energie
  • Wasserversorgung und -entsorgung
  • IT- und Telekommunikation
  • Finanz- und Versicherungswesen
  • Transport- und Verkehr
  • Ernährung/Lebensmittel
  • Gesundheit
  • Medien- und Kultur

Das NIS-2 Umsetzungsgesetz regelt in Anlage 2 sehr genau, welche Teilbereiche der vorgenannten Sektoren unter das Gesetz fallen. So kann man den Bereich Medien und Kultur herauslassen, wenn es keine sehr großen Anbieter sind. Auch hinaus fallen, zu mindestens in der direkten Form, Speditionen im Straßenverkehr. Hingegen sind Paket-, Post- und Kurierdienste direkt betroffen. Auch für die Gesundheitsbranche und Sozialbranche gibt es eine Ausnahme: Ambulante Pflegedienste und Sozialberatungen fallen nicht unter NIS-2, auch wenn diese Anbieter von Gesundheitsdienstleistungen sind. Anbieter einer Gesundheitsdienstleistung ist, wer als hauptsächliche Geschäftstätigkeit eine Leistung ausübt, welche die Verbesserung der körperlichen, seelischen oder sozialen Gesundheit von Menschen zum Ziel hat.

Eine Pflicht aus NIS-2 ist es, dass betroffene Unternehmen auch die Lieferkette und Dienstleister sicher organisieren müssen. In der Praxis wird dieses vermutlich so aussehen, dass man Subunternehmen von Relevanz schlichtweg auf die Einhaltung von NIS-2 schriftlich, ähnlich eines Auftragsverarbeitungsvertrages im Datenschutz, verpflichtet.

Im Bereich der IT-Dienstleistungen stellt sich die Frage, ob das Einhalten von NIS-2 ein Kriterium werden wird, um überhaupt noch Aufträge von größeren Kunden zu bekommen. Eine Strategie wäre hier, auch aus Marketingsicht, pro-aktiv mit dem Thema umzugehen und ggf. die Einhaltung von NIS-2 Kriterien auch auf der Webseite  zu präsentieren und damit Werbung zu machen.

Mit NIS-2 sind mehr Unternehmen und Organisationen von Maßnahmen zum Schutz ihrer IT-Sicherheit betroffen. Ich berate hierzu und biete Lösungen für die Umsetzung. Wenn Sie Bedarf haben, kontaktieren Sie mich gerne.