Die NIS-2-Richtlinie der Europäischen Union zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten. Sie wurde am 16. Januar 2023 in Kraft gesetzt, und die Mitgliedstaaten sind verpflichtet, sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen.
Deutschland:
In Deutschland erfolgt die Umsetzung der NIS-2-Richtlinie durch das Bundesministerium des Innern und für Heimat (BMI). Obwohl die Frist zur Umsetzung bis zum 17. Oktober 2024 vorgesehen war, wird Deutschland diese Frist voraussichtlich verpassen. Aktuell wird mit einem Inkrafttreten des entsprechenden nationalen Gesetzes im März 2025 gerechnet.
Betroffene Unternehmen sollten dennoch bereits jetzt aktiv werden, da der vorliegende Gesetzesentwurf keine Übergangsfristen vorsieht. Das bedeutet, dass die Sicherheitsmaßnahmen ab Inkrafttreten des Gesetzes unmittelbar erfüllt werden müssen.
Österreich:
In Österreich wird die NIS-2-Richtlinie durch das Netz- und Informationssicherheitsgesetz (NISG) umgesetzt. Ein entsprechender Gesetzesentwurf wurde im April 2024 veröffentlicht. Trotz des Entwurfsstatus bietet das Dokument interessante Einblicke in nationale Besonderheiten und Schwerpunkte.
Betroffene Unternehmen sollten sich daher zeitnah über ihre Pflichten informieren und entsprechende Sicherheitsmaßnahmen implementieren.
Schweiz:
Als Nicht-EU-Mitglied ist die Schweiz nicht verpflichtet, die NIS-2-Richtlinie umzusetzen. Dennoch beobachtet die Schweiz die Entwicklungen in der EU aufmerksam und passt ihre nationalen Strategien und Gesetze zur Cybersicherheit entsprechend an, um mit den internationalen Standards Schritt zu halten.
Pflichten für betroffene Unternehmen:
Unternehmen, die unter die NIS-2-Richtlinie fallen, sind verpflichtet, verschiedene Sicherheitsmaßnahmen umzusetzen, darunter:
- Implementierung von Sicherheitsrichtlinien und Risikomanagementprozessen.
- Einführung von Maßnahmen zur Vorfallserkennung und -bewältigung.
- Sicherstellung der Kontinuität des Geschäftsbetriebs, einschließlich Backup- und Wiederherstellungsverfahren.
- Gewährleistung der Sicherheit in der Lieferkette.
- Meldung von Sicherheitsvorfällen an die zuständigen Behörden.
Diese Maßnahmen müssen proportional zu den Risiken sein, denen das Unternehmen ausgesetzt ist, sowie zur Unternehmensgröße und der potenziellen Schwere von Vorfällen.
Übergangsfristen:
Sowohl in Deutschland als auch in Österreich sind derzeit keine spezifischen Übergangsfristen vorgesehen. Das bedeutet, dass betroffene Unternehmen die erforderlichen Sicherheitsmaßnahmen ab dem Inkrafttreten der nationalen Gesetze unmittelbar erfüllen müssen. Es ist daher ratsam, bereits jetzt mit der Implementierung der notwendigen Maßnahmen zu beginnen, um Compliance sicherzustellen.
Weiterführende Quellen:
- BSI zur NIS-2-Richtlinie: https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html – Informationen zur deutschen Umsetzung der NIS-2-Richtlinie durch das Bundesamt für Sicherheit in der Informationstechnik.
- IHK Stuttgart über neue Pflichten für Unternehmen: https://www.ihk.de/stuttgart/fuer-unternehmen/innovation/digitale-wirtschaft/internet-recht/nis-2-neue-pflichten-fuer-unternehmen-6216836 – Detaillierte Informationen zu Unternehmenspflichten und Umsetzung in Deutschland.
- Anlaufstelle NISG in Österreich: https://www.nis.gv.at/nis-2-richtlinie.html – Offizielle Informationen zur Umsetzung der Richtlinie in Österreich.
- Digital-Recht Blog über die NIS-2-Umsetzung in Österreich: https://www.digital-recht.at/blog/die-nis-2-richtlinie-umsetzung-in-den-mitgliedstaaten-und-besonderheiten-in-osterreich – Einschätzung und Besonderheiten der nationalen Umsetzung in Österreich.
- Schweizer Bundesamt zur Cybersicherheit: https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-91872.html – Entwicklungen zur Cybersicherheitsstrategie der Schweiz.
- BWL Schweiz über NIS-Richtlinien: https://www.bwl.admin.ch/bwl/de/home/themen/sicherheit/nis-richtlinien.html – Informationen zur Anpassung der nationalen Cybersicherheitsstrategie in der Schweiz.