Wirtschaft im Südwesten - Ausgabe September'24 -Südlicher Oberrhein

48 IHK-Zeitschrift Wirtschaft im Südwesten 9 | 2024 N IS ist die Abkürzung für „Network Information Security (NIS). Die am 16. Januar 2023 in Kraft getretene EU-Richtlinie NIS- 2 ist eine Weiterentwicklung der EU-Richtlinie NIS-1 aus dem Jahr 2016. Ziel der aktuellen Richtlinie ist die Einführung verbindlicher Maßnahmen für die Verwaltung und Wirtschaft, um ein hohes ge- meinsames Cybersicherheitsniveau in der gesamten EU zu gewähr- leisten. Da EU-Richtlinien keine unmittelbare Wirkung entfalten, sind die Mitgliedstaaten verpflichtet, sie in nationales Recht umzusetzen - erst dann werden sie wirksam. In Deutschland geschieht dies durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Dieses Gesetz ist am 24. Juli vom Bundeskabinett beschlossen worden. Nach abschließender Beratung und Beschlussfassung im Bundestag wird das Gesetz zu einem noch festzulegenden Termin in Kraft treten. Dieser steht zwar noch nicht fest. Entscheidend ist jedoch, dass die betroffenen Einrichtungen die Sicherheitsmaßnahmen ab sofort erfüllen müssen – Übergangsfristen sind nicht vorgesehen. Wer ist betroffen? In Deutschland werden schätzungsweise 30.000 Unternehmen in den Anwendungsbereich der NIS-2 fallen. Welche Unternehmen betroffen sind, hängt von verschiedenen Faktoren ab. Dazu gehören die Branche, die Unternehmensgröße, der Jahresumsatz und die Jahresbilanzsumme. Das erste Kriterium zur Bestimmung der Betroffenheit ist die Zuge- hörigkeit zu einem bestimmten Sektor. Unterschieden werden zwei Gruppen von Sektoren: Sektoren hoher Kritikalität Sonstige kritische Sektoren Energie Post- und Kurierdienste Transport und Verkehr Abfallbewirtschaftung Finanzwesen Produktion, Herstellung und Handel mit chemischen Stoffen Gesundheit Produktion, Verarbeitung und Vertrieb von Lebensmitteln Wasser Verarbeitendes Gewerbe/Herstellung von Waren Digitale Infrastruktur Anbieter digitaler Dienste Weltraum Forschung Als zweites Kriterium werden wirtschaftliche Kennzahlen und die Unternehmensgröße herangezogen: Anzahl der Beschäftigten, Jah- resumsatz und -bilanz. Diese bilden die Grundlage für die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“. Unabhängig von der Unternehmensgröße können auch Unternehmen, wie etwa Betreiber kritischer Anlagen, in den Geltungsbereich der NIS-2 fallen. Dasselbe gilt auch für kleinere Unternehmen, dann etwa, wenn ihr Ausfall erhebliche Auswirkun- gen auf die Wirtschaft oder die öffentliche Verwaltung hätte. Die folgende Tabelle zeigt die betroffenen Betriebe nach NIS-2. Für die Überprüfung der Betroffenheit im Sinne von NIS-2 sind Unternehmen selbst verantwortlich. Die genannten Sektoren und Beschäftigten- bzw. Umsatzschwellen dienen als Einordnungshilfen. Mittlere Unternehmen Große Unternehmen Einrichtungen unabhängig von Unternehmensgröße • Mind. 50 Beschäftigte oder •Jahresumsatz & -bilanz jeweils > 10 Mio. EUR • Mind. 250 Beschäftigte oder • Jahresumsatz > 50 Mio. EUR & Jahresbilanz > 43 Mio. EUR • Betreiber Kritischer Anlagen • TLD-Namenregister & DNS- Diensteanbieter • Vertrauensdiensteanbieter • Anbieter öffentlicher Kommunikationsdienste oder Betreiber öffentlicher Kommunikationsnetze Kernanforderungen Unternehmen, die unter NIS-2 fallen, müssen eine Reihe von Pflich- ten erfüllen: a. Risikomanagementmaßnahmen: Grundsätzlich gilt: „Beson- ders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame tech- nische und organisatorische Maßnahmen, [...], zu ergreifen“ (§ 30 Abs. 1 BSIG-E), um Risiken zu beherrschen und Aus- wirkungen von Sicherheitsvorfällen zu minimieren. Außerdem sind bei der Bewertung der Verhältnismäßigkeit der Maßnah- men folgende Kriterien zu berücksichtigen: Ausmaß der Ri- sikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvor- fällen und gesellschaftliche und wirtschaftliche Auswirkungen. Die Risikomanagementmaßnahmen sollen den Stand der Technik einhalten und müssen mindestens Folgendes umfassen: Wenn das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ in Kraft tritt, werden etwa 30.000 Unternehmen und Einrichtungen definierte Sicherheitsmaßnahmen umgesetzt haben müssen. Wann genau das sein wird, steht zwar noch nicht fest, da aber Übergangsfristen nicht vorgesehen sind, sollten betroffene Unternehmen rasch aktiv werden. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz Cybersicherheit: Neues Gesetz, neue Vorgaben Bild: Adobe Stock/Stephan