Die NIS2-Richtlinie (Network and Information Systems Directive 2) kommt mit deutlicher Verzögerung 2025 nach Deutschland. Vor allem kleinere Betriebe sind durch die EU-Richtlinie verunsichert. Sie fragen sich, ob auch sie zu den Zehntausenden erstmals Betroffener gehören – NIS2 umfasst auch kleinere Unternehmen als der Vorgänger NIS. Dieser Text hilft dabei, NIS und NIS2 zu verstehen und gibt Ressourcen für die Recherche und Links zum Betroffenheitstest des Bundesamts für Sicherheit in der Informationstechnik.
Neun Jahre sind vergangen, seit die EU in ihrer Richtlinie 2016/1148 „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz und Informationssystemen in der Union“, kurz NIS festlegte. Bereits 2022 wurde sie durch eine zweite Version NIS2 ersetzt, die eigentlich 2024 in allen EU-Mitgliedsstaaten in Kraft treten und vor allem regeln sollte, wie für die Sicherheit und Stabilität der kritischen Infrastruktur (KRITIS) in der EU zu sorgen sei.
Wieder einmal vollkommen überraschend?
Ähnlich wie bei der Datenschutzgrundverordnung DSGVO hatten Firmen, Unternehmen, Behörden und alle anderen betroffenen Organisationen eigentlich lange Vorlauf, um sich mit der neuen Regulierung auseinanderzusetzen. Dennoch kommt auch die NIS2-Regulierung für viele anscheinend ebenso überraschend wie vor wenigen Jahren die neuen Datenschutzregeln oder just die neuen Regulierungen zur Barrierefreiheit (Barrierefreiheitsstärkungsgesetz).
Wer seine Hausaufgaben gemacht hat, weiß: Da kann viel Arbeit auf Firmen zukommen, vor allem auf die „Betreiber kritischer Infrastrukturen“. Dennoch bleibt das meiste davon überschaubar, weil die Definitionen klar sind (abgesehen vom Fehlen einer nationalen Umsetzung). Es gibt sogar schon einen Test vom BSI, mit dem man nachschauen kann, ob man denn von den neuen Regeln betroffen ist und was man unternehmen müsse. Betroffene können sich dann durchaus auf aufwendige, kritische Anforderungen einstellen, beispielsweise bei den Meldepflichten: Sicherheitsvorfälle sind jetzt innerhalb von 24 Stunden zu melden.
KMUs müssen bei NIS2 geeignete Sicherheitsvorkehrungen treffen, um ihre Netz- und Informationssysteme zu schützen. Dazu gehören: Risikomanagement (Identifizierung und Minimierung von Cybersicherheitsrisiken), Schutzmaßnahmen (Sicherheitsvorkehrungen wie Netzwerkschutz, Zugriffskontrollen, Verschlüsselung und regelmäßige Backups) sowie die Vorbereitung auf Sicherheitsvorfälle (Prozesse zur frühzeitigen Erkennung von Vorfällen und deren Reaktion).
Problematische Umsetzung
Dass die NIS2-Umsetzung und -Einführung bei aller vermeintlicher Klarheit dennoch nicht einfach ist, zeigt auch die Verzögerung, die die nationale Umsetzung in Deutschland erleidet. Aus dem von der EU auch für Deutschland verordneten Termin (der 17.10.2024) wurde nichts, die Bundesrepublik drohte (wieder einmal) technologisch-regulatives Schlusslicht zu werden, weil die in den Bundestag eingebrachten Referentenentwürfe keine Mehrheit fanden.
Eigentlich hätte man ja im Oktober 2024 fertig sein müssen, aber dann wurde es Anfang 2025, dann „das erste Quartal 2025“, dann Ende 2025, immer weiter wurden die Termine verschoben, zuletzt tauchte im 100-Tage-Programm der neuen Bundesregierung ein aktueller Entwurf auf.
Experten wie Prof. Dr. Dennis-Kenji Kipker vom Cyberintelligence Institute zufolge soll dieser Beschluss aufgrund des bereits in der zweiten Stufe laufenden Vertragsverletzungsverfahrens der EU jetzt zeitnah erfolgen, also noch vor Herbst 2025. Man will sich wohl nicht die Peinlichkeit leisten, erneut innerhalb Europas bei einer Umsetzung von Regularien der Letzte zu sein. Auch Mitte 2025 gibt es für Unternehmen da nur bedingt Rechtssicherheit, wer sich im Detail vorbereiten will, weil er betroffen ist, muss Referentenentwürfe lesen.
Unternehmen nicht oder nicht ausreichend vorbereitet
EU-Studien wie ein lesenswerter Bericht der European Union Agency for Cybersecurity (ENISA), die darin den Reifegrad und die Kritikalität relevanter NIS2-Sektoren im europäischen Vergleich bewertet, zeichnen kein gutes Bild. Nur wenige Unternehmen sind demzufolge ausreichend vorbereitet, am besten noch die, die schon von NIS1 betroffenen waren (55 %) – gegenüber weniger als der Hälfte der Firmen, die durch NIS2 neu hinzukommen (44 %).
Wenig überraschend trifft NIS2 auf hohe Akzeptanz vor allem in sicherheitsrelevanten Branchen und Firmen, auch wenn diese ebenfalls nicht perfekt vorbereitet sind. Immerhin halten da 38 Prozent NIS2 für überfällig, 67 Prozent gehen davon aus, dass Cyberattacken weiter zunehmen werden, und 84 Prozent wissen: Das Budget wird steigen (Daten aus einer Studie von Techconsult im Auftrag von Plusnet).
NIS-Selbsttest vom Bundesamt für Sicherheit in der Informationstechnologie (BSI)
Wer sich auf NIS2 vorbereiten will, sollte sich erst einmal einlesen. Dafür bieten sich Gesetzestexte oder Quellen wie das umfangreiche Glossar des NIS2-Kongresses an, das viele Begriffserklärungen und Hintergrundwissen bietet oder die Webseite der OpenKritis-Initiative.
Einen schnellen Einstieg bietet auch das Video von Dennis-Kenji Kipker zur „Einführung in NIS2“ – und natürlich der angesprochene Betroffenheitstest vom BSI auf der NIS2Know-Seite des BSI. Von Anfang an vermeldet die Seite hohe Zugriffszahlen, auch die Webinare waren gut besucht, berichten BSI-Chefin Claudia Plattner und Bundes-CIO Markus Richter stolz auf ihren Social-Media-Seiten. Mehrere zehntausende Zugriffe schon an den ersten Tagen, die Besucher interessierten sich den Posts zufolge für die „konkreten, an der Richtlinie orientierten Fragen, um Ihr Unternehmen einzuordnen“. Die sind laut Webseite „kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert“. Ob ein Unternehmen von NIS2 betroffen ist, gibt es dann binnen weniger Minuten.
Das Ziel: Nein sagen
Angeben müssen die Unternehmen, ob sie Betreiber kritischer Anlagen sind, Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentlicher Telekommunikationsnetze, qualifizierte Vertrauensdienste-Anbieter oder DNS-Dienste anbieten. Auch wenn ein Unternehmen ein nicht qualifizierter Vertrauensdienste-Anbieter ist oder Waren und Dienstleistungen verkauft, die einer der in Anlage 1 oder 2 der NIS2-Richtlinie bestimmten Einrichtungsarten zuzuordnen sind, ist es von den Regularien betroffen.
Glücklich schätzen kann sich, wer alle Fragen mit „Nein“ beantworten kann: Er ist nicht von NIS2 betroffen. Für alle anderen gibt es beim BSI umfangreiche Hilfestellungen und Recherchemöglichkeiten sowie eine FAQ.