NIS2Um­suCG – ein Über­blick

Mit der Verabschiedung des NIS2UmsuCG lassen sich viele offene Fragen beantworten, die Betreiber kritischer Infrastrukturen und andere betroffene Einrichtungen seit längerem beschäftigen. Das Kernstück des Gesetzes ist die umfassende Überarbeitung des BSI-Gesetzes (BSIG), weshalb sich die nachfolgenden Verweise auf Paragraphen (§) auf das BSIG beziehen. Zur besseren Orientierung ordnen wir diese im folgenden Beitrag dem NIS2-Umsetzungsgesetz zu.

NIS2UmsuCG im Überblick

Am 27. Dezember 2022 wurde die NIS2-Richtlinie („The Network and Information Security (NIS) Directive“) im Amtsblatt der Europäischen Union veröffentlicht. Am 16. Januar 2023 trat sie in Kraft. Die Europäische Kommission hat das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft.

Die Inkraftsetzung des NIS2UmsuCG im Dezember 2025 markiert einen tiefgreifenden Paradigmenwechsel im deutschen IT-Sicherheitsrecht.

Wichtige Fragen können jetzt verbindlich beantwortet werden:

• Welche Sektoren und Einrichtungen sind vom NIS2UmsuCG betroffen?
• Ab welcher Unternehmensgröße besteht Betroffenheit?
• Wie lauten die Anforderungen an technische und organisatorische Maßnahmen?
• Wie steht es um die Bußgelder und die Geschäftsführerhaftung bei Vorfällen?
• …

Deutschland hat die EU-weit vorgegebene Umsetzungsfrist der NIS2-Richtlinie deutlich überschritten. Ursprünglich hätte diese bereits im Oktober 2024 erfüllt sein müssen.

Wer ist vom NIS2UmsuCG betroffen?

Mit dem neuen BSIG-Regime wird der Kreis der regulierten Unternehmen erheblich ausgeweitet. Künftig werden die bisher erfassten Betreiber Kritischer Infrastrukturen (KRITIS), Unternehmen im besonderen öffentlichen Interesse sowie Anbieter digitaler Dienste in ein erweitertes System überführt. Zentrale Kategorien sind dabei „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, durch die der Kreis der regulierten Unternehmen deutlich ausgeweitet wird.

1. Aus Sektoren "besonders wichtiger" und "wichtiger Einrichtungen":
   Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser und Abwasser, Digitale Infrastruktur und Weltraum
2. Aus Sektoren "wichtiger Einrichtungen": 
   Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe und Herstellung von Waren, Anbieter digitaler Dienste und Forschung

Allerdings sind die in diesen Sektoren tätigen Unternehmen nicht automatisch betroffen.

Je nach Anzahl der Mitarbeitenden und finanziellen Schwellenwerten („size-cap rule“) wird in § 28 NIS2UmsuCG zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen unterschieden:

• Als besonders wichtige Einrichtungen gelten Unternehmen aus den in Anlage 1 genannten Sektoren mit über 250 Mitarbeitern oder über 50 Mio. Euro Jahresumsatz und Jahresbilanzsumme über 43 Mio. Euro. Ebenfalls mit Sonderregelungen zugeordnet sind qualifizierte Vertrauensdienstanbieter, Top-Level-Domain-Anbieter, DNS-Anbieter, TK-Anbieter sowie Betreiber kritischer Anlagen.
• Als wichtige Einrichtungen gelten Unternehmen aus den in Anlage 1 und Anlage 2 genannten Sektoren mit über 50 Mitarbeitern oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Jahresbilanzsumme. Vertrauensdienste und TK-Anbieter sind ebenfalls mit Sonderregelungen zugordnet.

Die NIS2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet dafür in wenigen Schritten eine erste Orientierung. Aber auch Unternehmen in kritischen Lieferketten können unabhängig von ihrer Größe mittelbar verpflichtet sein, NIS2-relevante Maßnahmen umzusetzen.

Welche Pflichten bestehen für betroffene Einrichtungen?

Das NIS2UmsuCG schreibt ein breites Spektrum geeigneter, verhältnismäßiger und wirksame technischer und organisatorischer Maßnahmen vor, die sich nah an internationalen Standards wie der Norm ISO 27001 orientieren. Zu den Kernpflichten gehören:

• Systematisches Informationssicherheits-Risikomanagement
• Risikoanalysen und Sicherheitskonzepte
• Vorfallmanagement (Incident Management)
• Business Continuity Management und Notfallplanung
• Backup- und Verschlüsselungslösungen
• Sicherheitsüberprüfungen der Lieferkette (Supply Chain Security)
• Schulungen und Awareness-Maßnahmen für Mitarbeitende
• Regelmäßige Audits und Prüfungen

Ziel dieser technischen und organisatorischen Maßnahmen ist die Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die betroffene Einrichtungen für die Erbringung ihrer Dienste nutzen. Und, ganz wesentliches volkswirtschaftliches Ziel ist die geringe Begrenzung von Auswirkungen von Sicherheitsvorfällen.

Welche Meldepflichten sind im NIS2UmsuCG festgelegt?

Der § 32 sieht die Einführung eines dreistufigen Meldesystems vor. Betroffene Unternehmen sind im Falle eines erheblichen Sicherheitsvorfalls verpflichtet, ...

• unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnisnahme, eine frühe Erstmeldung an eine gemeinsame Meldestelle der Bundesämter für Sicherheit in der Informationstechnik (BSI) und für Bevölkerungsschutz und Katastrophenhilfe (BBK) einzureichen.
• binnen 72 Stunden diese Meldung zu bestätigen oder zu aktualisieren sowie um eine erste Bewertung des Schweregrads und der Auswirkungen zu ergänzen.
• spätestens einen Monat nach Meldung des Vorfalls eine Abschlussmeldung zu übermitteln, die den Vorfall detailliert erläutert und die Ursachen offenlegt.

Sollte der Sicherheitsvorfall mehr als einen Monat andauern, sind Fortschrittsmeldungen vorzulegen.

Wie sind die Bußgeldvorschriften gestaltet?

Wer vorsätzlich oder fahrlässig NIS2-Anforderungen zuwiderhandelt oder Maßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig ergreift, handelt im Sinne des § 65 ordnungswidrig. Die dort im Einzelnen aufgeführten Ordnungswidrigkeiten sind bußgeldbewehrt. Diese sind nach vergleichbarem Muster wie bei Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) sanktioniert.

Die Obergrenzen liegen bei besonders wichtigen Einrichtungen bei Geldbußen bis zu 10 Mio. Euro oder bei Einrichtungen mit einem Jahresumsatz von mehr als 500 Mio. Euro bei Geldbußen bis zu 2 Prozent des Jahresumsatzes. Die genannten Ordnungswidrigkeiten werden, ähnlich wie bei der DS-GVO, sicher nicht unmittelbar mit Inkrafttreten des Gesetzes geahndet. Wer aber in den Folgejahren nach Inkrafttreten diesem vorsätzlich oder fahrlässig zuwiderhandelt, könnte mit Bußgeldern belegt werden.

Was müssen betroffene Unternehmen tun?

Nach § 33 bestehen Registrierungspflichten für „besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ sowie bestimmte Diensteanbieter. Diese sind verpflichtet, sich spätestens innerhalb von drei Monaten zu registrieren, nachdem sie erstmals oder erneut unter die entsprechenden Kategorien fallen oder entsprechende Dienste anbieten.

Wie lässt sich NIS2-Rechtskonformität erreichen?

Es gibt nicht den „einen“ Weg! Die Vorgehensweise ist abhängig von der Unternehmensgröße, von verfügbaren Ressourcen und weiteren Erwägungsgründen. Grundsätzlich ist es sinnvoll, sich mit geeigneten Risikomanagementmethoden im Bereich der Informationssicherheit auseinanderzusetzen. Der Querverweis auf den Stand der Technik sowie europäische und internationale Normen beschreibt ein weiteres Handlungsfeld, mit dem sich betroffene Einrichtungen beschäftigen sollten.

Mit unserer Erfahrung können wir die Aussage bekräftigen, dass die Einführung eines Informationssicherheits-Managementsystems nach der internationalen Norm ISO 27001 eine belastbare Ausgangsbasis für die wirksame Umsetzung technischer und organisatorischer Maßnahmen nach § 30, Absatz 1 darstellt. 

Verlangt NIS-2 eine ISO 27001 Zertifizierung?

Nein. Die NIS-2-Richtlinie schreibt keine Zertifizierung vor. Diese gilt auch nicht als rechtlich belastbarer Nachweis für Compliance. Wichtig ist die klare Unterscheidung zwischen den gesetzlichen Anforderungen des NIS2UmsuCG und den technisch-organisatorischen Maßnahmen eines Informationssicherheits-Managementsystems.

Aber: ISO 27001 bildet viele Strukturen und Prozesse ab, die für die Umsetzung von NIS2 relevant sind. Sie ersetzt jedoch nicht die Auseinandersetzung mit den spezifischen gesetzlichen Vorgaben. Unternehmen müssen ihre jeweiligen Pflichten gegenüber den Behörden weiterhin eigenständig prüfen und umsetzen. 

Kurzum: ISO 27001 deckt einen großen Teil der technisch-organisatorischen NIS2-Anforderungen ab und bietet mit ihrem praxisnahen Anhang A eine solide Grundlage, um die Compliance-Vorgaben zu erfüllen. Unabhängig vom NIS2UmsuCG senden Organisationen, die ein ISO 27001 Zertifikat nachweisen, zudem ein starkes Vertrauenssignal an Behörden, Geschäftspartner und Kunden.

NIS2UmsuCG – Fazit

Nach Schätzungen der Europäischen Zentralbank liegen die Kosten für Cyberangriffe weltweit im dreistelligen Milliarden Dollar Bereich pro Jahr, wobei ein signifikanter Anteil davon auf Europa entfällt. Die Cyber-Bedrohungslage ist deutlich verändert und verursacht massive wirtschaftliche Schäden. Mit der weitreichenden Nutzung von Cloud-Diensten befinden sich Organisationen in einen herausfordernden Technologiewandel.

Unter anderem aus diesen Gründen haben Parlament und Rat der Europäischen Union die NIS2-Richtlinie erlassen, um die flächendeckende Cybersicherheit im europäischen Wirtschaftsraum zu regulieren. Ziel der NIS-2-Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union sicherzustellen. Es gilt, einen umfassenden und nachhaltigen Wirtschaftsschutz zu etablieren, der nicht nur IT-bezogene technische Maßnahmen, sondern auch risikominimierende Pläne in den Bereichen Organisation und Personal umfasst. 

Die Inkraftsetzung des NIS2UmsuCG am 6. Dezember 2025 markiert einen Meilenstein für die Cybersicherheit in Deutschland. Das Gesetz verweist im § 30 auf technische und organisatorische Maßnahmen, die eine große inhaltliche Schnittmenge mit der international anerkannten Norm ISO 27001 haben. Die Einführung und Umsetzung eines Managementsystems für Informationssicherheit nach der bekannten ISO-Norm stellt ohne Frage ein robustes und tragfähiges Fundament dar, um beim Compliance-Nachweis zu unterstützen.

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fra­gen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Die DQS übt alle Zertifizierungen kompetent, objektiv, neutral und unparteilich aus. Als Nachweis führen die nationalen Akkreditierungsstellen jährlich zahlreiche Akkreditierungsaudits und Witnessaudits bei der DQS durch. Mehr dazu erfahren Sie in unserer Auditphilosophie.

Vertrauen und Expertise

Unsere Beiträge und Whitepaper werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected].

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.