Der Gesetzgeber hat mit NIS2 eine neue EU-Verordnung beschlossen, die in Deutschland durch das NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz in die Praxis gebracht wird. Das Gesetz liegt in einem finalen Entwurf inzwischen vor und hätte eigentlich bis Mitte Oktober 2024 verabschiedet sein müssen. Durch das Ampel-Aus werden wir dieses Gesetz nun erst in Anfang 2026 in Kraft gesetzt haben. Wer NIS2 unterliegt sollte sich bereits jetzt darauf vorbereiten.

Unter NIS2, hier geht es um Unternehmen, welche in Sektoren der kritischen Infrastruktur arbeiten, sind nunmehr deutlich mehr Organisationen einbezogen als unter NIS in der ersten Fassung. Die Einstufung erfolgt nicht mehr nur für sehr große Unternehmen mit außerordentlichen Umsätzen und Geschäftsaktivitäten, sondern kennt jetzt auch wichtige und besonders wichtige Organisationen unterhalb der Schwelle zur eigentlichen KRITIS.

Wichtige Unternehmen laut NIS2 beginnen ab 50 Mitarbeiter*innen oder 10 Millionen Euro Umsatz und Bilanzsumme, besonders wichtige dann ab 250 Mitarbeiter*innen und etwas mehr Umsatz. Betroffen sind die folgenden Branchen/Sektoren:

  • Staat- und Verwaltung
  • Siedlungsabfallentsorgung
  • Energie
  • Wasserversorgung und -entsorgung
  • IT- und Telekommunikation
  • Finanz- und Versicherungswesen
  • Transport- und Verkehr
  • Ernährung/Lebensmittel
  • Gesundheit
  • Medien- und Kultur

Das NIS2 Umsetzungsgesetz regelt in Anlage 2 sehr genau, welche Teilbereiche der vorgenannten Sektoren unter das Gesetz fallen. So kann man den Bereich Medien und Kultur herauslassen, wenn es keine sehr großen Anbieter sind. Auch hinaus fallen, zu mindestens in der direkten Form, Speditionen im Straßenverkehr. Hingegen sind Paket-, Post- und Kurierdienste direkt betroffen. Auch für die Gesundheitsbranche und Sozialbranche gibt es eine Ausnahme: Ambulante Pflegedienste und Sozialberatungen fallen nicht unter NIS2, auch wenn diese Anbieter von Gesundheitsdienstleistungen sind. Anbieter einer Gesundheitsdienstleistung ist, wer als hauptsächliche Geschäftstätigkeit eine Leistung ausübt, welche die Verbesserung der körperlichen, seelischen oder sozialen Gesundheit von Menschen zum Ziel hat.

Eine Pflicht aus NIS2 ist es, dass betroffene Unternehmen auch die Lieferkette und Dienstleister sicher organisieren müssen. In der Praxis wird dieses vermutlich so aussehen, dass man Subunternehmen von Relevanz schlichtweg auf die Einhaltung von NIS2 schriftlich, ähnlich eines Auftragsverarbeitungsvertrages im Datenschutz, verpflichtet.

Im Bereich der IT-Dienstleistungen stellt sich die Frage, ob das Einhalten von NIS2 ein Kriterium werden wird, um überhaupt noch Aufträge von größeren Kunden zu bekommen. Eine Strategie wäre hier, auch aus Marketingsicht, pro-aktiv mit dem Thema umzugehen und ggf. die Einhaltung von NIS2 Kriterien auch auf der Webseite  zu präsentieren und damit Werbung zu machen.

Zu NIS2 gehört auch eine deutliche Verantwortung der Geschäftsführung, die sich selbst regelmäßig Schulungen zur IT-Sicherheit unterziehen muss. Inzwischen ist auch definiert, dass dieses mindestens alle 3 Jahre erfolgen soll und eine solche Schulung einen Umfang von mindestens vier Stunden haben soll. Ich biete solche Schulungen an.

Mit NIS2 sind mehr Unternehmen und Organisationen von Maßnahmen zum Schutz ihrer IT-Sicherheit betroffen. Ich berate hierzu und biete Lösungen für die Umsetzung. Wenn Sie Bedarf haben, kontaktieren Sie mich gerne.