NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert

5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

[datensicherheit.de, 08.02.2025] In Expertenkreisen gilt das Gesetzgebungsverfahren zur NIS-2-Umsetzung in Deutschland vorerst als gescheitert: Volker Scholz, „Information Security Architect“ bei Axians, rät in seiner Stellungnahme den betroffenen Unternehmen indes, die somit gewonnene Zeit dringend zu nutzen anstatt abzuwarten. Diese EU-Richtlinie gelte nämlich bereits – und sobald das nationale Gesetz schließlich doch in Kraft tritt, seien dann die Anforderungen sofort umzusetzen, also ohne weitere Übergangsfrist. Cyber-Sicherheit sollte nicht als bürokratische Hürde, sondern als Chance verstanden werden, so auch Scholz’ Forderung. „Wer jetzt schon gezielt Maßnahmen ergreift, profitiert langfristig und kann sich einen Wettbewerbsvorteil sichern.“ Fünf Schritte seien jetzt für Unternehmen entscheidend und Entscheider sollten diese neue Verantwortung ernst nehmen.

Foto: Axians

Volker Scholz: Wer frühzeitig mit der NIS-2-Anpassung der internen Prozesse beginnt, hat später weniger Aufwand!

Insbesondere KMU sollten nicht auf das Wirksamwerden des NIS-2-Umsetzungsgesetzes warten

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS-2-Umsetzungsgesetz in dieser Legislaturperiode sorge derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen bestehe dazu jedoch kein Anlass: „Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein.“ Es handele sich dabei um Konzerne und KMU, „die Kritische Infrastrukturen betreiben oder in Kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer“.

Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS-2-Umsetzungsgesetzes warten, denn die geforderten Risikomaßnahmen der Richtlinie seien bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. „Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren!“

Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS-2-Umsetzungsgesetz seien vielfältig. Fest stehe jedoch: „Wegen der anstehenden Bundestagswahl kann ein neues nationales Gesetz erst von der neuen Regierung – also frühestens Ende 2025 – verabschiedet werden.“ Aber auch ohne ein neues Gesetz gelte die NIS-2-Richtlinie bereits in der EU. Scholz warnt: „Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS-2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.“

NIS-2-Anforderungen seit 2022 bekannt

Die zugrundeliegende EU-Richtlinie sei seit 2022 bekannt und ihre Risikomaßnahmen blieben bestehen. Die Verzögerung bis mindestens Ende 2025 biete nun eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, „Incident Response“ und „Business Continuity“ entsprächen bereits seit Jahren dem sogenannten Stand der Technik und seien keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung sei die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen.

Scholz betont: „Führungskräfte sollten sich bewusst sein, dass ,Cyber Security’ nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon heute erfüllen.“ Jetzt gehe es darum, diese Standards im Hinblick auf NIS-2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

„Wer schon heute Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cyber-Sicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal.“ Zudem falle es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, „wenn sie sich bereits mit den Grundlagen von NIS-2 vertraut gemacht haben“.

5 Tipps zur Vorbereitung betroffener Unternehmen auf NIS-2-Umsetzung in Deutschland

Scholz empfiehlt Unternehmen, mit diesen fünf Schritten zu beginnen:

1. Durchführung einer Betroffenheitsanalyse
Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.

2. Etablierung einer Sicherheitsorganisation
Verantwortlichkeiten für Cyber-Sicherheit gelte es zu definieren und sicherzustellen, dass die Geschäftsleitung involviert ist.

3. Entwicklung von Meldeprozessen
Klare Strukturen für „Incident Response“ und Meldungen an das BSI müssen festgelegt werden, um auf Vorfälle vorbereitet zu sein.

4. Identifizierung der IT-Risiken
Ein strukturiertes „Asset Management“ sei aufzubauen und Sicherheitsrisiken sollten systematisch bewertet werden.

5. Vorbereitung von Notfallplänen und der „Business Continuity“
Strategien sollten entwickelt werden, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und die Resilienz zu stärken.

„Implementation Acts“ bringen bereits exemplarisch Klarheit – so z.B. die Anforderungen zu NIS-2 für IT-Dienstleister

Aktuell lägen bereits zwei „Implementation Acts“ der EU und der Mitgliedsstaaten vor, welche die Anforderungen zu NIS-2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisierten. Es sei davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen „Implementation Acts“ spezifiziert würden.

Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie seien gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen.

Abschließend gibt Scholz zu bedenken: „Externe Dienstleister wie Axians helfen Ihnen gerne, sich NIS-2-konform aufzustellen. Wer frühzeitig mit der Anpassung der internen Prozesse beginnt, hat später weniger Aufwand.“

Weitere Informationen zum Thema:

NIS2-Navigator
Aktueller Stand: NIS2-Umsetzungsgesetz (NIS2UmsuCG)

OpenKRITIS
NIS2 Umsetzungsgesetz

Bundesamt für Sicherheit in der Informationstechnik
Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft / Erste Informationen für voraussichtlich betroffene Unternehmen

bitkom
Nationale Umsetzung der NIS-2-Richtlinie / Handlungsempfehlungen aus Sicht der Digitalwirtschaft

axians DEUTSCHLAND
NIS2 in der Praxis: Schutz vor Cyberbedrohungen / NIS2 ist seit Anfang 2023 in Kraft. Bis Oktober 2024 muss sie in nationales Recht umgesetzt werden. Sind Sie betroffen? Axians unterstützt Sie bei der Umsetzung.

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet