![IBacademy_Logo_blau[496]](https://www.ibsolution.com/hs-fs/hubfs/IBacademy_Logo_blau%5B496%5D.jpg?width=200&name=IBacademy_Logo_blau%5B496%5D.jpg "IBacademy_Logo_blau[496]"){kind=logo}
Am 1. Mai 2023 hat ein neues Zeitalter der Cyber-Sicherheit in Deutschland begonnen. Seit diesem Tag müssen die Betreiber kritischer Infrastrukturen (KRITIS) die Bestimmungen des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) erfüllen. Das IT-SiG 2.0 soll kritische Infrastrukturen wie die Energie- und Wasserversorgung, den Verkehr und die medizinische Versorgung in die Lage versetzen, sich wirksamer vor Cyber-Angriffen zu schützen und eine permanente Verfügbarkeit zu gewährleisten.
Die wichtigsten Infos zu NIS 2 auf einen Blick
Mehr KRITIS-Pflichten durch IT-SiG 2.0
Mit dem IT-Sicherheitsgesetz 2.0 weitet der Gesetzgeber die Bestimmungen der zuvor geltenden KRITIS-Regulierung von 2015 deutlich aus – mit Blick auf die Cyber-Security-Anforderungen, auf die Zahl der betroffenen Unternehmen und Organisationen, auf die Höhe der Bußgelder bei Verstößen sowie auf die Befugnisse von Staat und Regulierungsbehörden. Unter anderem wird es für die Betreiber kritischer Infrastrukturen zur Pflicht, ein System zur Angriffserkennung einzuführen, um Cyber-Attacken möglichst schnell zu identifizieren und zu neutralisieren. Ebenso müssen sie ihre IT-Systeme regelmäßig auf den neuesten Stand der Technik bringen, um Störungen der Systeme wirksam zu verhindern.
Vom IT-SiG 2.0 zu NIS 2
Schon heute steht allerdings fest, dass das IT-Sicherheitsgesetz 2.0 nur eine begrenzte Lebensdauer haben wird. Das liegt an der europäischen Richtlinie NIS 2, die im Januar 2023 in Kraft getreten ist. Die Bestimmungen von NIS 2 müssen die EU-Mitgliedsstaaten bis spätestens Oktober 2024 in nationales Recht umgesetzt haben. Für Deutschland ist davon auszugehen, dass die NIS-2-Regelungen in ein IT-Sicherheitsgesetz 3.0 münden werden.
Regelungen von NIS 2
In ihren Bestimmungen geht die NIS-2-Richtlinie noch einmal deutlich über das IT-SiG 2.0 hinaus. Alle Unternehmen, die unter NIS 2 fallen, sind verpflichtet, eine Reihe von Cyber-Security-Maßnahmen zum Schutz ihrer IT-Infrastruktur, Netzwerke und kritischen Dienstleistungen umzusetzen.
Dazu gehören unter anderem die Erarbeitung eines Risikomanagement-Konzepts, die Einführung von Notfallplänen und die Etablierung eines Systems für die zügige Meldung von Sicherheitsvorfällen an die zuständige Aufsichtsbehörde. Vorgeschriebene technische Maßnahmen sind eine systematische Datensicherung, Konzepte für die Zugriffskontrolle, die Verschlüsselung von Informationen, das Management von Schwachstellen und die Schulung der Mitarbeiter. Analog zum IT-Sicherheitsgesetz 2.0 schreibt auch NIS 2 vor, dass Unternehmen Schutzkonzepte für die Absicherung ihrer Lieferketten entwickeln müssen, damit Cyber-Kriminelle nicht über Zulieferer in die Systeme anderer Unternehmen eindringen können.
Deutlich härtere Sanktionen
Im Falle von Verstößen gegen die Regelungen von NIS 2 drohen Unternehmen empfindliche Bußgelder von bis zu zehn Millionen Euro bzw. 2 % des Jahresumsatzes. Neben dem Bußgeldrisiko geht mit NIS 2.0 auch ein erhebliches Haftungsrisiko für die Unternehmensleitung einher. Bei Verstößen kann die Geschäftsführung der Betreiber haftbar gemacht werden. Somit wird Cyber Security spätestens mit NIS 2 zu einem unabdingbaren Bestandteil der Unternehmenssteuerung.
NIS 2 erweitert den Geltungsbereich
NIS 2 definiert die Gültigkeit der Bestimmungen für insgesamt 18 Sektoren, die in die Kategorien „Wesentlich/Essential“ und „Wichtig/Important“ unterteilt werden. Die vollständige Liste der betroffenen Sektoren entnehmen Sie bitte unserem Factsheet zu NIS 2, das kostenlos zum Download bereitsteht.
Die „Size-cap rule“ legt fest, dass NIS 2 für alle Unternehmen aus den genannten Sektoren verpflichtend ist, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 10 Millionen Euro erzielen. Damit geht NIS 2 deutlich über den Geltungsbereich des IT-Sicherheitsgesetzes 2.0 hinaus. Experten zufolge könnten in Deutschland etwa 40.000 zusätzliche Unternehmen von NIS 2 betroffen sein, die nicht in den Geltungsbereich des IT-Sicherheitsgesetzes 2.0 fallen. Alle bisher unregulierten Unternehmen sollten daher prüfen, ob die Bestimmungen von NIS 2 auf sie zutreffen. Ist das der Fall, empfiehlt es sich, bereits jetzt mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Denn bis Oktober 2024 bleibt nicht mehr viel Zeit.
