Im zweiten Teil unserer Blogreihe „sicher & resilient“ befassen wir uns mit den Anforderungen und der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, kurz NIS2UmsuCG (Regierungsentwurf vom 22.07.2024, das Gesetz ist noch nicht verkündet).
Das NIS2UmsuCG markiert einen Meilenstein für die Cybersicherheitsstrategie in Deutschland. Es setzt die EU-Richtlinie NIS 2 national um und verpflichtet Betreiber kritischer und wichtiger Einrichtungen, umfassende Sicherheitsmaßnahmen zu implementieren. Ziel ist es, Cyberrisiken proaktiv zu minimieren, Meldeketten zu standardisieren und die Resilienz gegenüber Angriffen zu erhöhen (vgl. Kipker 2024).
Sektoren
Mit der Einführung des Gesetzes erweitert sich der Kreis der verpflichteten Unternehmen erheblich. Neben klassischen KRITIS-Betreibern aus den Sektoren Energie, Wasser, Gesundheit und Transport umfasst das Gesetz nun auch neue Bereiche wie digitale Dienste, Weltraumkommunikation, Chemieindustrie und Forschungseinrichtungen. Eine besondere Neuerung ist die Einteilung in „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, wobei letztere strengere Anforderungen erfüllen müssen. Der Prüfturnus beläuft sich ab dem Zyklusbeginn 2027 auf drei Jahre. Zur Feststellung der Betroffenheit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein eigenes Tool zur Betroffenheitsprüfung veröffentlicht.
Anforderungen
Eine zentrale Vorgabe des NIS2UmsuCG ist die Implementierung eines Informationssicherheits-Managementsystems (ISMS) gemäß gängigen Standards, wie ISO/IEC 27001. Betreiber müssen Risikoanalysen durchführen, Sicherheitskonzepte entwickeln und diese regelmäßig überprüfen. Hierzu gehört die Einführung technischer Maßnahmen wie Netzwerksegmentierung, Firewall-Systeme und Intrusion-Detection-Systeme (IDS).
Besonders hervorzuheben sind die Meldepflichten. Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden. Innerhalb von 72 Stunden ist eine ausführliche Analyse nachzureichen, einschließlich der eingeleiteten Gegenmaßnahmen (siehe EU 2024). Dies erfordert den Aufbau eines Incident-Response-Teams und den Einsatz von SIEM-Systemen zur schnellen Erkennung von Angriffen.
Die Rolle des BSI wird im NIS2UmsuCG gestärkt. Es fungiert nicht nur als zentrale Meldestelle, sondern führt auch regelmäßige Kontrollen durch. Verstöße gegen die Vorgaben können mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden. Zusätzlich sind Sanktionen wie Betriebseinschränkungen möglich, falls Unternehmen ihre Pflichten nicht einhalten.
Herausforderungen
Die Umsetzung des Gesetzes bringt Herausforderungen mit sich. Viele Unternehmen stehen vor der Aufgabe, bestehende IT- und OT-Systeme zu modernisieren und diese nahtlos in neue Sicherheitsarchitekturen zu integrieren (vgl. Ziegler 2024¹). Dies gilt insbesondere für Industrie 4.0-Anwendungen und IoT-Geräte, die oft auf älteren Plattformen basieren und schwer nachzurüsten sind. Auch der Fachkräftemangel stellt eine Hürde dar, da spezialisierte Sicherheitsberater und Auditoren stark nachgefragt sind.
Dennoch bietet das NIS2UmsuCG Chancen. Unternehmen, die frühzeitig auf die Anforderungen reagieren, profitieren nicht nur von besserer Sicherheit, sondern auch von Wettbewerbsvorteilen. Zertifikate für ein ISMS, bspw. nach ISO/IEC 27001, schaffen Vertrauen bei Kunden und Partnern und erleichtern internationale Kooperationen. Automatisierungslösungen helfen dabei, Schwachstellen effizient zu identifizieren und Compliance-Anforderungen kontinuierlich zu überprüfen.
Um die Anforderungen des NIS2UmsuCG erfolgreich umzusetzen, sollten Unternehmen schrittweise vorgehen: Zunächst ist eine Bestandsaufnahme der IT- und OT-Systeme erforderlich. Anschließend sollten Risikoanalysen durchgeführt und Schutzmaßnahmen priorisiert werden (vgl. BSI CRA 2024). Der Aufbau eines Security Operations Centers (SOC) mit automatisierter Bedrohungserkennung und einer klaren Eskalationskette erleichtert die Erfüllung der Meldepflichten – kann je nach Unternehmensgröße jedoch auch zu weit führen. Schließlich sollten regelmäßige Penetrationstests und Schulungen sicherstellen, dass Sicherheitsprozesse kontinuierlich optimiert werden.
Das NIS2UmsuCG ist nicht nur ein regulatorisches Instrument, sondern ein entscheidender Schritt zur Erhöhung der Cybersicherheit in Deutschland. Unternehmen, die die gesetzlichen Vorgaben als Chance begreifen, können ihre Sicherheitsarchitektur nachhaltig stärken und sich gegen zukünftige Bedrohungen wappnen. Einen Missklang hinterlässt eine bis dato vorgesehene Ausnahmeregelung für Behörden – die einfordernde Partei unterliegt damit selbst nicht den geforderten Vorgaben. Hier lohnt ein Blick in die Nachbarstaaten.
Im dritten Beitrag aus unserer Blogreihe „sicher & resilient“ schauen wir uns das KRITIS-Dachgesetz genauer an.
Weitere Teile der Blogreihe „sicher & resilient“:
- NIS2UmsuCG, KRITIS-Dachgesetz und Cyber Resilience Act (CRA) – Teil 1
- das KRITIS-Dachgesetz – Teil 3
- Cyber Resilience Act – Produktsicherheit und Herstellerpflichten – Teil 4
- Auditierung, Konformitätsbewertung und die Rolle der Konformitätsbewertungsstellen (KBS) – Teil 5
- Herausforderungen und Chancen durch die neuen Regelwerke – Teil 6
¹Ziegler, N. 2024. Die Umsetzung der NIS-2-Richtlinie in Deutschland. 48. DAFTA, Forum 8, 2024
19. Februar 2025 @ 9:41
Warum wird an keiner Stelle in diesem Beitrag erwähnt, dass das Gesetz nicht beschlossen ist und leider noch etwas auf sich warten lassen wird?
19. Februar 2025 @ 10:27
Vielen Dank für Ihren Kommentar. Der Link im ersten Satz bei der Abkürzung NIS2UmsuCG führte schon zum Regierungsentwurf; wir haben jetzt nochmal in Klammern dahinter die Information ergänzt, dass das Gesetz noch nicht verkündet ist sowie einen Link zur Übersichtsseite des BMI zum NIS2UmsuCG.
Viele Grüße
Ihre Blogredaktion
19. Februar 2025 @ 16:47
Liebe Redaktion! Danke für die schnelle Reaktion 🙂
Das Gesetz ist allerdings noch nicht einmal im Bundestag beschlossen worden. Es ist zwar nicht sehr wahrscheinlich, aber es könnten bei einer Neuberatung im neu zusammengekommenen Parlament auch noch Änderungen am bisherigen Regierungsentwurf vorgenommen werden. Liebe Grüße!