Cyberangriffe zählen heute zu den größten Risiken für Unternehmen – unabhängig von Größe oder Branche. Produktionsausfälle, Datenverlust und Sabotage kritischer Infrastrukturen sind nur einige der möglichen Folgen. Mit der NIS-2-Richtlinie setzt die EU nun neue Maßstäbe für die Cybersicherheit und hebt das Schutzniveau europaweit auf eine neue Stufe.
Die wichtigsten Neuerungen im Überblick:
1. Erweiterter Kreis der Verpflichteten
Nicht mehr nur Unternehmen mit kritischer Infrastruktur, sondern insgesamt Unternehmen aus 18 Sektoren – darunter digitale Dienste, Lebensmittel, verarbeitendes Gewerbe oder Maschinenbau – müssen die neuen Vorgaben umsetzen. Laut Bundesamt für Sicherheit in der Informationstechnik sind etwa 29.000 Unternehmen betroffen.
2. Unklare Abgrenzung von Tätigkeiten
Es bleibt offen, ob auch Nebentätigkeiten wie Ladesäulen oder Photovoltaikanlagen unter die erhöhten Anforderungen fallen. Der Gesetzentwurf spricht von „vernachlässigbaren“ Tätigkeiten, ohne dies klar zu definieren.
3. Konzernverbund im Fokus
Für Unternehmen im Konzernverbund werden Schwellenwerte für Mitarbeiter, Umsatz und Bilanzsumme zusammengezählt, sofern keine IT-Unabhängigkeit besteht.
4. Umfassende Compliance-Pflichten
Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren und technische, operative sowie organisatorische Maßnahmen zur IT-Sicherheit ergreifen. Die Maßnahmen sind an der Eintrittswahrscheinlichkeit und den Auswirkungen möglicher Sicherheitsvorfälle auszurichten. Hinzu kommen Schulungspflichten für Mitarbeitende sowie Melde- und Berichtspflichten bei Sicherheitsvorfällen. Für bestimmte Sektoren gilt zudem eine proaktive Nachweispflicht.
Das Gesetz zur Umsetzung der NIS-2-Richtlinie könnte noch in diesem Jahr in Kraft treten – und verpflichtet betroffene Unternehmen sofort, ohne Übergangsfrist. Die Unsicherheit ist groß: Unternehmen sollten daher frühzeitig prüfen, ob sie betroffen sind und sich auf die neuen Pflichten vorbereiten.
Dr. Jörg Wünschel, Rechtsanwalt bei der europäischen Wirtschaftskanzlei GSK Stockmann, beleuchtet in einem Gastbeitrag in der Frankfurter Allgemeinen Zeitung das Gesetz und seine Auswirkungen.
