Das deutsche NIS 2 Umsetzungsgesetz: Eine neue Ära für die Einhaltung von Cybersicherheitsvorgaben
Prayukth KV
Das deutsche NIS 2 Umsetzungsgesetz: Eine neue Ära der Cybersecurity Compliance
Die kürzliche Umsetzung der EU-Richtlinie über Netz- und Informationssysteme 2 (NIS 2) durch Deutschland, auch bekannt als NIS2 Umsetzungsgesetz (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz oder NIS2UmsuCG), markiert einen tektonischen Wandel in der Cybersicherheitslandschaft des Landes. Weit über den ursprünglichen Fokus auf Kritische Infrastrukturen (KRITIS) hinausgehend, erweitert dieses neue Gesetz erheblich den Umfang der verpflichteten Einrichtungen, hebt die Governance auf die Vorstandsebene und führt erhebliche Ebenen der interinstitutionellen Rechenschaftspflicht ein.
Mit dem NIS2UmsuCG wird für schätzungsweise 29.000 Organisationen in Deutschland die Compliance zu einer unmittelbaren und strategischen Verpflichtung.
Im heutigen Beitrag erkunden wir die Auswirkungen des NIS2UmsuCG auf die qualifizierten Organisationen. Bevor Sie fortfahren, vergessen Sie nicht, unseren vorherigen Beitrag über Lessons Learned aus der Vorfallsreaktion 2025 hier zu lesen.
Wer wird vom Gesetz betroffen?
Das Gesetz führt zwei Hauptkategorien verpflichteter Einrichtungen ein, die grundlegend durch die Größe (mittelständische und große Unternehmen) und die Sektorzugehörigkeit bestimmt werden. Dies ist ein Wechsel von strengen Schwellenwerten für kritische Dienstleistungen. Hier sind einige weitere Informationen zu diesem Punkt:
Kategorie (Deutsch Begriff) | EU Begriff | Kriterien & Auswirkungen |
Besonders wichtige Einrichtungen (wesE) | Essential Entities | Große Unternehmen, die in hochkritischen Sektoren tätig sind (wie Energie, Transport, Gesundheit, Banken, Digitale Infrastruktur). Unterstehen proaktiver und strengerer Aufsicht und höheren Geldstrafen. |
Wichtige Einrichtungen (wE) | Important Entities | Mittelständische Unternehmen, die in hochkritischen Sektoren tätig sind, oder mittelgroße/große Unternehmen in anderen kritischen Sektoren (einschließlich Post-/Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, Fertigung). Unterliegen ex-post (reaktiver) Aufsicht und niedrigeren, aber dennoch erheblichen Geldstrafen. |
Die betroffenen Sektoren umfassen (aber sind nicht darauf beschränkt) Energie, Transport, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser/Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Digitale Dienstleistungen (z.B. Cloud, Managed Services), Fertigung, Chemie und Lebensmittelproduktion.
Was sind also die Kernverpflichtungen für Unternehmen?
Das NIS 2 Umsetzungsgesetz verlangt umfassende und risikobasierte Cybersecurity-Maßnahmen, die zwingend mit den fortgeschrittenen Sicherheitsmaßnahmen übereinstimmen müssen und dokumentiert sowie regelmäßig überprüft werden. Hier sind einige Details:
Risikomanagementmaßnahmen (AKA der „All-Gefahren“-Ansatz)
Verpflichtete Einrichtungen müssen ein Mindestmaß an technischen und organisatorischen Maßnahmen (TOMs) implementieren, die Folgendes abdecken:
Risikobewertung: Durchführung regelmäßiger, umfassender Cyber-Risikobewertungen.
Vorfallsmanagement: Verfahren zur Erkennung, Verwaltung und Reaktion auf Vorfälle (einschließlich Krisenmanagement und Wiederherstellung).
Business-Continuity-Planung und Ausführung: Aufrechterhaltung aktueller Backups, Wiederherstellungspläne und Sicherstellung des kontinuierlichen Betriebs.
Lieferkettensicherheit: Integration von Cybersecurity-Anforderungen in Verträge und Management von Risiken bei direkten Lieferanten und Dienstleistern.
Sichere Entwicklung und Wartung: Richtlinien für Softwareentwicklung, Wartung und Schwachstellenmanagement.
Zugriffskontrolle: Umsetzung starker Zugriffskontrollen, Asset-Management und, vor allem, Multi-Faktor-Authentifizierung (MFA).
Kryptografie und Verschlüsselung: Nutzung von Verschlüsselung für sensible Daten sowohl im Ruhezustand als auch im Transit.
Cybersecurity-Training: Pflichtschulungen für alle Mitarbeiter.
Strikte Vorfallmeldung
Ein neues, gestuftes Meldewesen wird für erhebliche Sicherheitsvorfälle durchgesetzt (solche, die erhebliche Betriebsausfälle oder finanzielle Verluste verursachen):
Erste Warnung: Innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls.
Detaillierter Vorfallsbericht: Innerhalb von 72 Stunden, einschließlich einer ersten Bewertung der Schwere, Ursache und Auswirkung des Vorfalls.
Endbericht: Innerhalb eines Monats mit detaillierter Ursachenermittlung, Abhilfemaßnahmen und eventuellen grenzüberschreitenden Auswirkungen.
Registrierung und Kontaktstelle
Einrichtungen müssen sich bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine rund um die Uhr erreichbare Kontaktstelle einrichten, um BSI-Warnungen und offizielle Mitteilungen zu empfangen und darauf zu reagieren.
Verpflichtungen für Management und Mitarbeiter
Das Gesetz verlagert Cybersecurity grundlegend von einem IT-Thema zu einer strategischen Managementverantwortung.
Für das Management (Vorstand / Geschäftsführende Direktoren)
Persönliche Verantwortung: Führungskräfte sind direkt und persönlich verpflichtet, die erforderlichen Maßnahmen zum Management von Cybersecurity-Risiken zu genehmigen, umzusetzen und zu überwachen.
Schulungsmandat: Managementorgane müssen regelmäßig an Cybersecurity-Schulungen teilnehmen, um ausreichend Kenntnisse zu erlangen, um die Compliance zu beurteilen und zu überwachen.
Haftung: Verstöße gegen diese Pflichten können zu erheblichen Geldstrafen führen, mit maximalen Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen und bis zu 7 Millionen Euro oder 1.4 Prozent für wichtige Einrichtungen. Dies erhöht deutlich das persönliche Haftungsrisiko für Unternehmensleiter.
Für Mitarbeiter und weitere
Obligatorische Schulung: Alle Mitarbeiter müssen regelmäßig, sektorspezifische Schulung zur Cybersecurity und "Cyberhygiene" erhalten, um das Risiko menschlicher Fehler zu minimieren, das ein Schlüsselfaktor bei vielen Cybervorfällen ist.
Einhalten von Richtlinien: Mitarbeiter müssen die von der Unternehmensleitung festgelegten sicheren Richtlinien und Verfahren einhalten, die Bereiche wie Zugriffskontrolle, Kommunikationssicherheit und sichere Software-Nutzung abdecken.
Lieferantenpflichten: Lieferanten und Dienstanbieter verpflichteter deutscher Einrichtungen sind indirekt betroffen. Sie müssen die Compliance ihrer Kunden unterstützen, indem sie strengere vertragliche Sicherheitsanforderungen einhalten, erforderliche Dokumentationen bereitstellen und möglicherweise Prüfungsrechte zulassen.
Der Compliance-Fahrplan: Blick in die Zukunft bis 2026
Das Gesetz tritt sofort mit Veröffentlichung im Bundesgesetzblatt in Kraft. Es sind keine Übergangsfristen geplant, und daher wird das Gesetz zu einem unmittelbaren Aktionspunkt für alle Unternehmen, die in seinen Geltungsbereich fallen.
Folgend ist ein Fahrplan für die Compliance:
Phase | Schlüsselschritte | Ergebnisse |
Phase 1: Bewertung (Sofort) | 1. Umfangsbestimmung: Bestimmen Sie genau, ob Ihr Unternehmen basierend auf Größe und Sektor eine besonders wichtige oder wichtige Einrichtung ist. 2. Lückenanalyse: Führen Sie eine detaillierte Bewertung durch, die aktuelle Sicherheitsmaßnahmen (technische und organisatorische) mit dem obligatorischen Katalog des NIS 2 Umsetzungsgesetzes ($\S$ 30 BSIG-E) vergleicht. | Klassifizierung Bericht, NIS 2 Lückenanalyse, Vorläufige Risikobewertung. |
Phase 2: Governance & Strategie | 3. Sicherstellen der Zustimmung des Vorstands: Schulen Sie das Management, etablieren Sie klare Überwachungsstrukturen und vergeben Sie notwendige Ressourcen. 4. Formalisieren der ISMS: Einrichten oder Anpassen eines Informationssicherheitsmanagementsystem (ISMS), z.B. basierend auf ISO/IEC 27001 oder BSI IT-Grundschutz, um die neuen gesetzlichen Anforderungen zu erfüllen. | Vorstands Genehmigung & Trainingsplan, NIS 2 Governance Struktur, Aktualisierter ISMS Umfang. |
Phase 3: Implementierung & Betrieb | 5. Maßnahmen implementieren: Beheben Sie die Lücken, mit Fokus auf MFA, robuste Verschlüsselung, Risikobewertung der Lieferkette und Betriebskontinuität/Katastrophen Erholung. 6. Meldewesen operationalisieren: Etablieren Sie die 24/7 BSI Kontaktstelle und implementieren Sie den dreistufigen Vorfallmeldeprozess (24/72 Stunden/1 Monat). 7. Mitarbeiter & Managementtraining: Führen Sie obligatorische Trainingsprogramme durch. | Aktualisierte TOMs Dokumentation, Vorfall Reaktionsplan, Registrierungsnachweis, Mitarbeiter Trainingsaufzeichnungen. |
Phase 4: Validierung & kontinuierliche Verbesserung | 8. Dokumentation & Audits: Stellen Sie sicher, dass alle Maßnahmen dokumentiert sind, und führen Sie interne/externe Sicherheitsaudits und Penetrations Test durch, um die Effektivität zu überprüfen. 9. Kontinuierliche Überwachung: Etablieren Sie Prozesse für kontinuierliches Risikomanagement, Bedrohungsüberwachung und regelmäßige Überprüfung der Richtlinien, um die Compliance mit dem "Stand der Technik" aufrechtzuerhalten. | Audit Berichte, Effektivitätskennzahlen, kontinuierliche Überwachungsrahmen. |
Hier ist eine detaillierte Checkliste zur NIS2UmsuCG Compliance für deutsche Unternehmen
Kategorie | Anforderungsbereich | Maßnahme / Aktionspunkt | Schlüsselergebnisse |
Risikomanagement und Richtlinien | Risikobewertung | Führen Sie regelmäßig eine umfassende, dokumentierte Risikobewertungsmethodik durch, um Risiken zu identifizieren, zu analysieren und zu behandeln. | Risikobewertung Methodologie, Risiko-Register, Risikobehandlung Plan |
Risikomanagement und Richtlinien | Sicherheitsrichtlinie | Establish formal policies on the security of network and information systems, inklusive einer Verpflichtung von der Unternehmensleitung. | Informationssicherheitsrichtlinie (genehmigt von der Unternehmensführung) |
Risikomanagement & Richtlinien | Wirksamkeit | Definieren Sie Richtlinien und Verfahren zur Bewertung der Wirksamkeit aller Cybersecurity-Risikomanagementmaßnahmen. | Interne Audit Verfahren, Wirksamkeitsnutzungsbericht |
| |||
Vorfallbearbeitung | Bearbeitung | Establish clear, documented policies and procedures für Vorfallerkennung, -management und -reaktion. | Vorfall Reaktionsplan (IRP), Vorfallmanagement Verfahren |
Vorfallbearbeitung | Logging & Überwachung | Implementieren Sie kontinuierliches Monitoring und Logging kritischer Systeme zur rechtzeitigen Erkennung und Analyse. | Logging Richtlinie, SIEM/Erkennungssystem Einsatz |
Vorfallbearbeitung | Berichterstattung | Stellen Sie sicher, dass der dreistufige Berichterstattungsprozess an das BSI betriebsbereit und regelmäßig getestet wird (24/72 Stunden/1 Monat). | Vorfall Berichterstattungsverfahren (im Einklang mit BSI-Fristen) |
| |||
Betriebskontinuität | Backups | Implementieren und testen Sie regelmäßig ein robustes Backup-Management-System, das sicherstellt, dass Daten und Systeme wiederherstellbar sind (idealerweise unveränderliche Backups). | Backup Richtlinie, Testergebnisse der Datenwiederherstellung |
Betriebskontinuität | Katastrophen Erholung | Entwickeln und pflegen Sie einen Katastrophenwiederherstellungsplan (DRP) und einen Betriebskontinuitätsplan (BCP). | Katastrophen Erholungsplan, Betriebskontinuitätsplan |
Betriebskontinuität | Krisenmanagement | Establish a formal Crisis Management capability und Verfahren zur Behandlung großangelegter Sicherheitsvorfälle. | Krisenkommunikationsplan, Liste der Notfallkontakte |
| |||
Lieferkettensicherheit | Risiko Bewertung | Implementieren Sie eine Richtlinie zur Identifizierung, Bewertung und Behandlung von Cybersecurity-Risiken aus der IKT-Lieferkette und direkten Lieferanten. | Lieferketten-Risikomanagement Richtlinie |
Lieferkettensicherheit | Vertragliche Anforderungen | Integrate robuste vertragliche Sicherheitsklauseln, die Compliance, Berichterstattung und Prüfungsrechte für kritische Lieferanten vorschreiben. | Lieferanten Sicherheitsvereinbarung Vorlage |
Lieferkettensicherheit | Fokus auf Schwachstellen | Berücksichtigen Sie die spezifischen Schwachstellen jedes direkten Lieferanten/Dienstleisters und die Qualität ihrer Cybersecurity-Praktiken. | Lieferanten-Risiko Inventar und Bewertung |
| |||
System Sicherheit | Schwachstellenbearbeitung | Establish processes zur rechtzeitigen Bearbeitung und Offenlegung von Schwachstellen, einschließlich Patch-Management. | Schwachstellen Management Richtlinie, Patch Management Verfahren |
System Sicherheit | Sichere Entwicklung | Implementieren Sie einen sicheren Entwicklungslebenszyklus (SDLC), um sicherzustellen, dass Sicherheit von Anfang an berücksichtigt wird. | Sichere Codierungsrichtlinien, Konfigurationsmanagement Richtlinie |
System Sicherheit | System Härtung | Ensure all systems (IT, OT/ICS) are securely configured und gehärtet gemäß Best-Practice. | System Härtung Richtlinien |
Zugangskontrolle | Zugangskontrolle | Implementieren Sie strikte Zugangskontrollrichtlinien basierend auf dem Prinzip der minimalen Rechte und Kenntnis. | Zugangskontrolle Richtlinie, Rollenbasierte Zugriffskontrolle Management |
Zugangskontrolle | Authentifikation | Verpflichten Sie den Einsatz von Multi-Factor Authentication (MFA) für Fernzugriff und kritische Systeme. | Authentifikationsrichtlinie, MFA Implementierungs-Aufzeichnungen |
Zugangskontrolle | Kryptografie | Establish policies and procedures für den Einsatz von Kryptografie und Verschlüsselung zum Schutz sensibler Daten. | Kryptografie und Verschlüsselungsrichtlinie |
| |||
Personalsicherheit | Personalsicherheit | Implementieren Sie Konzepte für die Sicherheit der Personalressourcen, deckt Prozesse wie Hintergrundüberprüfungen und Beendigungsverfahren ab. | HR Sicherungsverfahren |
Personalsicherheit | Sichere Kommunikation | Ensure the use of secured voice, video und text communications und gesicherte Notfallkommunikationssysteme. | Sichere Kommunikationsrichtlinie |
Training und Hygiene | Cyber Hygiene | Implementieren und erzwingen Sie grundlegende Cyber Hygiene Praktiken (z.B. starke Passwörter, zeitgemäßes Patchen). | Cyber Hygiene Richtlinien |
Training und Hygiene | Mitarbeiter Training | Implementieren Sie obligatorische, regelmäßige Cybersecurity-Schulungen für alle Mitarbeiter, Auftragnehmer und die Managementebene. | Jährlicher Trainingsplan, Dokumentation des Managementtrainings |
Um mehr über NIS2-Compliance zu erfahren, sprechen Sie mit unserem NIS2-Experten hier.
Laden Sie eine detaillierte NIS2-Checkliste (mit erforderlichen Nachweisen) herunter, die Sie verwenden können, um Ihre NIS2-Bemühungen einzuleiten und zu verfolgen, hier.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Iranische Bedrohungsakteure kehren zurück; eigentlich waren sie nie weg
Prayukth K V
NERC CIP-015-2 Erklärt: Erweiterung von INSM auf EACMS und PACS
Team Shieldworkz
Sicherung kritischer Infrastrukturen vor APT-Gruppen während geopolitischer Ereignisse
Prayukth K V
Entschlüsselung der strategischen Zurückhaltung iranischer Cybergruppen
Team Shieldworkz
Wie die Iran-Krise den Cyberspace beeinflusst
Team Shieldworkz
Cyber-Bedrohungen im Nahen Osten: Was Organisationen jetzt wissen müssen
Team Shieldworkz
