Das Gesetz weitet den Kreis der betroffenen Unternehmen erheblich aus. Während bisher vor allem Betreiber Kritischer Infrastrukturen (KRITIS), wie Energieversorger oder Krankenhäuser, strenge Auflagen erfüllen mussten, gelten die neuen Regeln nun für deutlich mehr Branchen. Diese werden in die Kategorien „wesentlich“ und „wichtig“ unterteilt, was sich auf die Intensität der staatlichen Aufsicht auswirkt.
So funktioniert das neue Cybersicherheitsgesetz
Das Kernstück des Gesetzes ist ein risikobasierter Ansatz. Unternehmen müssen demnach eigenständig die Risiken für ihre IT-Systeme bewerten und angemessene technische sowie organisatorische Maßnahmen ergreifen. Dazu gehören beispielsweise Konzepte für die Reaktion auf Sicherheitsvorfälle, regelmäßige Sicherheitstests und die Absicherung von Lieferketten. Dadurch soll ein einheitlich hohes Schutzniveau in der gesamten Europäischen Union erreicht werden.
Eine zentrale Neuerung ist die Meldepflicht für Sicherheitsvorfälle. Betroffene Unternehmen müssen erhebliche Störungen unverzüglich, in der Regel innerhalb von 24 Stunden, an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Außerdem müssen Geschäftsführer stärker in die Verantwortung genommen werden, denn sie haften persönlich für die Umsetzung der Cybersicherheitsmaßnahmen.
Warum das NIS-2-Umsetzungsgesetz notwendig ist
Die Bedrohung durch Cyberkriminalität und Spionage wächst stetig, weshalb die EU ihre bisherige NIS-Richtlinie aktualisiert hat. Das neue Gesetz soll die Widerstandsfähigkeit (Resilienz) wichtiger Sektoren gegenüber digitalen Bedrohungen stärken. Durch die Ausweitung der Vorschriften auf mehr Unternehmen wird verhindert, dass Angreifer schwächere Glieder in den Lieferketten als Einfallstor nutzen.
Zudem führt die Regelung zu einer Harmonisierung der Sicherheitsstandards in Europa. Während die alte Richtlinie den Mitgliedsstaaten viel Spielraum ließ, sind die neuen Vorgaben deutlich konkreter. Das vereinfacht die Zusammenarbeit über Ländergrenzen hinweg und sorgt für mehr Klarheit bei international tätigen Firmen.
Wichtige Anforderungen für betroffene Unternehmen
Unternehmen, die unter das neue Gesetz fallen, müssen ein umfassendes Risikomanagement einführen. Es ist entscheidend, die eigenen Systeme genau zu kennen und potenzielle Schwachstellen zu identifizieren. Anschließend müssen geeignete Schutzmaßnahmen implementiert werden, die dem Stand der Technik entsprechen.
Darüber hinaus sind regelmäßige Schulungen für Mitarbeiter unerlässlich, um das Bewusstsein für Cybersicherheit zu schärfen. Im Falle eines Angriffs muss ein klar definierter Notfallplan greifen. Verstöße gegen die neuen Pflichten können zu empfindlichen Bußgeldern führen, deren Höhe sich am Umsatz des Unternehmens orientiert.
Kritikpunkte am neuen Gesetz
Obwohl das Ziel des Gesetzes breit unterstützt wird, gab es im Vorfeld erhebliche Kritik von Wirtschaftsverbänden und Opposition. Insbesondere wurde der hohe bürokratische Aufwand für kleine und mittlere Unternehmen bemängelt. Kritiker befürchten, dass viele Firmen die personellen und finanziellen Ressourcen für die Umsetzung der strengen Vorgaben nicht aufbringen können.
Zudem gab es Bedenken hinsichtlich der unklaren Abgrenzung der Zuständigkeiten zwischen verschiedenen Aufsichtsbehörden. Allerdings wurden im Gesetzgebungsverfahren einige dieser Punkte noch angepasst. Beispielsweise wurde die Registrierungspflicht für Unternehmen vereinfacht, um den administrativen Aufwand zu reduzieren.
