NIS-2 FAQ
Was ist NIS-2 und ist mein Unternehmen betroffen?
Die NIS-2-Richtlinie der EU stellt eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 dar und regelt die Anforderungen an die Informationssicherheit betroffener Unternehmen und Organisationen.
Sie sind verpflichtet selbstständig zu prüfen, ob Ihr Unternehmen betroffen ist, und falls ja, in welche Kategorie (wichtige Einrichtung, besonders wichtige Einrichtung, Betreiber kritischer Anlagen) Ihr Unternehmen fällt.
Hinweis für Kommunen: Obwohl die NIS-2-Richtlinie auf die Kommunalverwaltung als solche nicht angewendet wird, ist unbedingt zu prüfen, ob kommunale Bertriebe, insbesondere kritische Infrastrukturen wie beispielsweise Wasserversorgung oder Kläranlagen betroffen sein könnten.
Unter dem folgenden Link können Sie prüfen, ob Sie unter die NIS-2-Richtlinie fallen: https://betroffenheitspruefung-nis-2.bsi.de/
Was ist der Unterschied zwischen der europäischen Richtlinie und der deutschen Regelung?
Die NIS-2-Richtlinie der EU ist am 16.01.2023 in Kraft getreten und muss von Bund und Ländern in deutsches Recht überführt werden.
Die Umsetzung der NIS-2-Richtlinie in das Recht des Bundes ist noch nicht abgeschlossen. Sobald das von der Bundesregierung eingebrachte NIS-2-Umsetzungs- und Cybersicherheits-stärkungsgesetz (NIS2UmsuCG) in Kraft tritt und Ihr Unternehmen betroffen ist, besteht für Sie ein unmittelbarer Handlungsbedarf. Das LSI empfiehlt jedem Unternehmen schon jetzt seinen Stand der Cybersicherheit zu prüfen und auszubauen.
Der vorliegende Regierungsentwurf zum NIS2UmsuCG unterscheidet zwischen den folgenden Kategorien:
- wichtige Einrichtungen
- besonders wichtige Einrichtungen
Betreiber kritischer Anlagen, die den besonders wichtigen Einrichtungen zugerechnet werden aber weitergehenden bundesrechtlichen Vorschriften unterliegen.
Wie kann ich mein Unternehmen auf die Anforderungen des NIS2UmsuCG vorbereiten?
Prüfen Sie, ob Ihr Unternehmen von dem NIS2UmsuCG betroffen ist. (Siehe dazu FAQ „Was ist NIS-2 und ist mein Unternehmen betroffen?" oben.)
Gehen Sie die vorliegende Checkliste durch. Diese gibt einen Überblick über die wesentlichen gesetzlichen Neuerungen.
Prüfen Sie, welche Maßnahmen Sie bereits ergriffen haben und welche zusätzlich noch erforderlich sind.
Das LSI empfiehlt, die noch fehlenden Maßnahmen frühzeitig umzusetzen.
Ab wann muss ein betroffenes Unternehmen die Maßnahmen umgesetzt haben?
Die Verpflichtung zur Umsetzung der geforderten Maßnahmen gilt ab dem Inkrafttreten des NIS2UmsuCG.
Die Registrierung muss innerhalb von drei Monaten nach dem Inkrafttreten des Gesetzes bzw. nachdem ein Unternehmen oder eine Organisation erstmalig in eine der oben aufgeführten Kategorien fällt, erfolgt sein.
Für weitere Details empfehlen wir, den Regierungsentwurf zum NIS2UmsuCG mit den vorgesehenen Änderungen des BSI-Gesetzes und die zu dem Zeitpunkt gültige BSI-Kritisverordnung (BSI-KritisV) heranzuziehen. Falls Sie darüber hinaus weitere Fragen haben, hilft Ihnen das LSI weiter.