Der Gesetzgeber hat mit mit NIS-2 eine neue EU-Verordnung beschlossen, die in Deutschland durch das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz in die Praxis gebracht wird. Das Gesetz liegt in einem finalen Entwurf inzwischen vor und soll bis zum 17. Oktober 2024 auch durch den Bundestag sein und in Kraft treten, so dass die Umsetzung rechtzeitig erfolgen kann.
Mit NIS-2, hier geht es um Unternehmen, welche in als kritische Infrastruktur eingestuften Sektoren arbeiten, sind nunmehr deutlich mehr Organisationen betroffen als unter NIS in der ersten Fassung. Die Einstufung erfolgt jetzt nicht mehr nur für sehr große Unternehmen mit außerordentlichen Umsätzen und Geschäftsaktivitäten, sondern kennt jetzt auch wichtige und besonders wichtige Organisationen unterhalb der Schwelle zur eigentlichen KRITIS.
Wichtige Unternehmen laut NIS-2 beginnen ab 50 Mitarbeiter*innen oder 10 Millionen Euro Umsatz und Bilanzsumme, besonders wichtige dann ab 250 Mitarbeiter*innen und etwas mehr Umsatz. Betroffen sind die folgenden Branchen/Sektoren:
- Staat- und Verwaltung
- Siedlungsabfallentsorgung
- Energie
- Wasserversorgung und -entsorgung
- IT- und Telekommunikation
- Finanz- und Versicherungswesen
- Transport- und Verkehr
- Ernährung/Lebensmittel
- Gesundheit
- Medien- und Kultur
Das NIS-2 Umsetzungsgesetz regelt in Anlage 2 sehr genau, welche Teilbereiche der vorgenannten Sektoren unter das Gesetz fallen. So kann man den Bereich Medien und Kultur herauslassen, wenn es keine sehr großen Anbieter sind. Auch hinaus fallen, zu mindestens in der direkten Form, Speditionen im Straßenverkehr. Hingegen sind Paket-, Post- und Kurierdienste direkt betroffen. Auch für die Gesundheitsbranche und Sozialbranche gibt es eine Relevanz, denn es werden in NIS-2 grundsätzlich alle Anbieter von Gesundheitsdienstleistungen einbezogen. Anbieter einer Gesundheitsdienstleistung ist, wer als hauptsächliche Geschäftstätigkeit eine Leistung ausübt, welche die Verbesserung der körperlichen, seelischen oder sozialen Gesundheit von Menschen zum Ziel hat. Damit sind auch ambulante Pflegedienste und Sozialberatungen ab einer Mitarbeiter*innenzahl von 50 Personen von NIS-2 betroffen.
Eine Pflicht aus NIS-2 wird es werden als betroffenes Unternehmen auch die Lieferkette und Dienstleister so zu organisieren, dass die eigenen NIS-2-Anforderungen nicht gefährdet werden. In der Praxis wird dieses vermutlich so aussehen, dass man Subunternehmen von Relevanz schlichtweg auf die Einhaltung von NIS-2 schriftlich, ähnlich eines Auftragsverarbeitungsvertrages im Datenschutz, verpflichtet.
Im Bereich der IT-Dienstleistungen stellt sich die Frage, ob das Einhalten von NIS-2 ein Kriterium werden wird, um überhaupt noch Aufträge von größeren Kunden zu bekommen. Eine Strategie wäre hier, auch aus Marketingsicht, pro-aktiv mit dem Thema umzugehen und ggf. die Einhaltung von NIS-2 Kriterien auch auf der Webseite zu präsentieren und damit Werbung zu machen.
Mit NIS-2 entstehen unter dem Strich mehr Pflichten und mehr Unternehmen und Organisationen sind jetzt in der KRITIS betroffen. Ich berate hierzu und biete Lösungen für die Umsetzung. Wenn Sie Bedarf haben, kontaktieren Sie mich gerne.