NIS-2: Pflichten für Betroffene

 

Betroffen sind rund 29.000 Unternehmen, die nach der NIS-2-Richtlinie in „besonders wichtige“ (essential) und „wichtige“ Einrichtungen (important entities) unterteilt werden. Die Pflichten für Betroffene sehen wie folgt aus:

Registrierungspflicht

  • „Besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ sind verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu registrieren.
  • Die Registrierung muss spätestens drei Monate, nachdem die Einrichtung erstmals oder erneut von der NIS-2-Richtlinie betroffen ist, erfolgen. Es sind keine Übergangsfristen geplant, sodass die Registrierungspflicht unmittelbar mit Inkrafttreten des deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) beginnt.
  • Folgende Informationen müssen bei der Registrierung übermittelt werden:
    • Name der Einrichtung, Rechtsform, gegebenenfalls Handelsregisternummer
    • Anschrift und Kontaktdaten (Anschrift, E-Mail-Adresse, öffentliche IP-Adressbereiche, Telefonnummern)
    • Sektor und Branche nach Anlage 1 oder 2 der NIS-2-Richtlinie
    • Liste der Mitgliedstaaten, in denen die Einrichtung Dienste erbringt
    • Zuständige Aufsichtsbehörden des Bundes und der Länder
    • Änderungen müssen dem BSI unverzüglich, das heißt spätestens nach zwei Wochen, mitgeteilt werden
    • Gesonderte Registrierungspflichten gibt es gegebenenfalls für KRITIS-Betreiber und für Einrichtungen der Sektoren digitale Dienste und digitale Infrastrukturen

Meldepflicht

  • Betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden. Eine Konkretisierung, was ein erheblicher Sicherheitsvorfall ist, wird zeitnah vom BSI bereitgestellt.
  • Meldefristen: Innerhalb von 24 Stunden nach Kenntniserlangung über den Sicherheitsvorfall muss eine frühe Erstmeldung abgesetzt werden. Die Frist für eine konkretisierende Meldung ist 72 Stunden und 30 Tage für die Abschlussmeldung/Folgemeldung.
  • Die Meldung muss eine Bewertung des Vorfalls inkl. Schweregrad, Auswirkungen, Kompromittierungsindikatoren sowie Kontaktinformationen beinhalten.
  • Das BSI quittiert eingehende Meldungen, verarbeitet diese und nimmt gegebenenfalls Kontakt auf.

Risikomanagement implementieren und dokumentieren

  • Unternehmen sind verpflichtet, geeignete, verhältnismäßige und wirksam technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Dabei richtet sich die Bemessung der Verhältnismäßigkeit nach dem Ausmaß der Risikoexposition, der Größe der betroffenen Einrichtung und der Kosten sowie der Eintrittswahrscheinlichkeit, der Schwere und den möglichen Folgen von Sicherheitsvorfällen.
  • Getroffene Maßnahmen sollen die Störung der Schutzziele (Verfügbarkeit, Integrität und Vertraulichkeit) vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering halten. Hinweis: In der europäischen NIS-2-Richtlinie ist noch von dem vierten Schutzziel „Authentizität“ die Rede. Dieses Schutzziel wird in der deutschen Umsetzung im Schutzziel der „Integrität“ verortet.
  • Das Risikomanagement muss alle informationstechnischen Systeme, Komponenten und Prozesse beinhalten, die die Einrichtung für die Leistungserbringung nutzt. 
  • Maßnahmen sollen den Stand der Technik einhalten, einschlägige europäische und internationale Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. 
  • Zu den Risikomanagementmaßnahmen zählen mindestens:
    • Risikoanalyse
    • Bewältigung von Sicherheitsvorfällen
    • Aufrechterhaltung des Betriebs (z.B. Back-up-Management, Wiederherstellung nach einem Notfall, Krisenmanagement)
    • Sicherheit der Lieferkette
    • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen
    • Wirksamkeitsprüfung von Risikomanagementmaßnahmen
    • Schulungen und Sensibilisierung zu Cybersicherheit
    • Kryptografische Verfahren
    • Konzepte für Personalsicherheit (z.B. Zugriffskontrolle, Verwaltung von IKT-Systemen)
    • Multi-Faktor-Authentifizierung, gesicherte Kommunikation sowie gegebenenfalls Notfallkommunikation

Ihr nächster Schritt

Prüfen Sie, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist. Gerne unterstützen wir Sie mit einer rechtlichen Einschätzung unserer Fachanwält:innen für Informationstechnologierecht. Sobald die Betroffenheit feststeht, sollten Sie Ihren aktuellen Status quo in Fragen der Cybersecurity evaluieren und den Handlungsbedarf erfassen. Unsere Expert:innen unterstützen Sie von einer Gap-Analyse (Ist-Soll-Zustand) über Konzepte bis hin zu der vollständigen Integration in Ihre Unternehmensprozesse. Kontaktieren Sie uns gerne für ein individuelles Beratungsgespräch.

Ähnliche Beiträge

09. März 2023

NIS-2-Richtlinie: Netzwerk- und Informationssysteme in der EU sollen noch sicherer gegen Cyberbedrohungen werden

Die Richtlinie NIS (Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit) ist Teil der europäischen Cybersicherheitsstrategie und verfolgt das Ziel, die Cybersicherheit kritischer Infrastrukturen in der EU zu stärken. Sie verpflichtet die Betreiber, Mindeststandards zum Schutz ihrer Netzwerk- und Informationssysteme einzuhalten. Cyberbedrohungen stellen ein erhebliches Risiko für unsere Wirtschaft dar. Am 16.1.2023 ist die NIS-2-Richtlinie in Kraft getreten. Die Mitgliedstaaten der EU haben nun bis zum 17.10.2024 Zeit, die dort getroffenen Verpflichtungen in ihren Ländern umzusetzen.
Cyber Security
IT-Prüfung und Beratung
IT-Sicherheit
NIS-2
ISMS
12. September 2024

IT-Sicherheit: Cyber Resilience im Fokus durch NIS-2, DORA und mehr

Wie steht es um die IT-Resilienz deutscher Unternehmen? Unsere Experten sprechen im Interview über die Bedeutung von IT-Sicherheit und die neuen EU-Richtlinien NIS-2 und DORA sowie die damit verbundenen Herausforderungen.
IT-Sicherheit
Cyber Security
Datenschutz
IT-Prüfung und Beratung
NIS-2
ISMS
23. April 2024

NIS-2 kommt – bereiten Sie sich jetzt schon darauf vor

Am 18.10.2024 soll das Umsetzungsgesetz zur NIS-2-Richtlinie in Kraft treten. Dabei sind weit mehr Unternehmen betroffen als die bisherigen KRITIS-Einrichtungen. Wer ist betroffen, welche Maßnahmen sind umzusetzen und womit anfangen?
Cyber Security
IT-Sicherheit
Penetrationstest
Risikomanagement
SOCaaS
NIS-2
ISMS
17. November 2025

ISMS im Wandel: Was die ISO/IEC 27001:2022 für Unternehmen jetzt bedeutet

Cyberangriffe, Datenpassen, Systemausfälle - das sind keine Ausnahmen mehr, sondern tägliche Realität. Angreifer nutzen automatisierte Tools, KI und globale Infrastrukturen. Dabei treffen sie längst nicht nur Großkonzerne.
Cyber Security
IT-Sicherheit
27. Februar 2024

NIS-2-Richtlinie: Umsetzung bis Oktober 2024

Am 18.10.2024 tritt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Es verfolgt das Ziel, das Sicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren und zu verbessern. Doch wer ist betroffen und was ist zu tun?
IT-Sicherheit
Datenschutz
IT-Prüfung und Beratung
NIS-2
ISMS
Zurück

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

NIS-2 Cyber Security ISMS IT-Sicherheit IT-Recht IT-Prüfung und Beratung EU-Recht

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden