Im März 2025 soll die NIS 2-Richtlinie in Deutschland in Kraft treten – eine entscheidende Neuerung im Bereich Cybersicherheit. Diese EU-weite Regelung soll sicherstellen, dass Unternehmen in kritischen Bereichen und ihre Zulieferer umfassend vor Cyberangriffen geschützt sind.

Wer ist betroffen?

Die NIS 2 betrifft Unternehmen, die einem von 18 festgelegten Sektoren angehören, die entweder als „wesentlich“ oder „wichtig“ klassifiziert sind.

Wesentliche Sektoren:

• Energie (z. B. Elektrizität, Erdgas)
• Transport (z. B. Luftverkehr, Schienenverkehr)
• Bankwesen
• Finanzmarktinfrastruktur
• Gesundheit (inkl. Medizinforschung und -geräte)
• Trinkwasser
• Digitale Infrastruktur (z. B. Cloud Provider, Rechenzentren)
• Öffentliche Verwaltungen
• IKT-Dienstleister (z. B. Managed Security Service Provider)
• Weltrauminfrastruktur
• Abwasserwirtschaft

Wichtige Sektoren:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemieproduktion
• Lebensmittelproduktion und -verarbeitung
• Produktion von Medizinprodukten und Fahrzeugen
• Digitale Anbieter (z. B. Marktplätze, soziale Netzwerke)
• Forschung

Was müssen betroffene Unternehmen tun?

Unternehmen müssen ein spezialisiertes Cybersicherheits-Kernteam aufstellen, bestehend aus Geschäftsführung, IT-Sicherheits- und Datenschutzbeauftragten. Zudem sind umfassende Schulungen, ein Informationssicherheitsmanagementsystem (ISMS) wie ISO 27001 und regelmäßige Audits Pflicht. Auch kleinere Zulieferer, die für systemrelevante Unternehmen arbeiten, müssen diese Anforderungen erfüllen. Besonders relevant: Cyberangriffe müssen innerhalb von 24 Stunden an das BSI gemeldet werden, mit einem Zwischenbericht nach 72 Stunden. Der Abschlussbericht muss nach einem Monat erfolgen.

Wichtige Fristen und Konsequenzen

Die Umsetzung der NIS2-Richtlinie in Deutschland verzögert sich. Ursprünglich war der 17. Oktober 2024 der Stichtag – so wurde es von der EU vorgegeben. Allerdings konnten mehrere Länder diese Frist nicht einhalten, darunter auch Deutschland. Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wurde im Juli diesen Jahres als Regierungsentwurf verabschiedet.

Nach aktuellem Stand soll das Gesetz final im MÄRZ 2025 in Kraft treten.

Diese Verlängerung bietet eine letzte Chance, die notwendigen Maßnahmen zu ergreifen und die IT-Systeme auf das geforderte Sicherheitsniveau zu bringen. Unternehmen, die bis März 2025 keine angemessenen Maßnahmen umgesetzt haben, riskieren nicht nur empfindliche Strafen, sondern auch potenzielle Sicherheitsvorfälle, die vermeidbar gewesen wären. Ab März gibt es keine Übergangsfrist mehr. Nach diesem Datum werden bei sicherheitskritischen Vorfällen Bußgelder verhängt, wenn die NIS 2-Regeln nicht eingehalten werden.

Vorbereitung ist alles

Die Zeit drängt. Unternehmen, die diese Regelungen noch nicht abgedeckt haben, sollten jetzt mit der Planung und Umsetzung beginnen, um ihre IT-Infrastruktur und Lieferketten abzusichern. Die NIS 2-Regelung macht deutlich, dass Cybersicherheit nicht nur ein IT-Thema ist – sie betrifft die gesamte Organisation.

Fazit

Die NIS 2-Richtlinie setzt neue Maßstäbe für den Umgang mit Cyberbedrohungen in kritischen Sektoren. Unternehmen sollten daher frühzeitig Maßnahmen ergreifen, um Bußgelder und schwerwiegende Sicherheitsvorfälle zu vermeiden. Egal, ob ihr euch jetzt an uns, DATAJOB, oder an ein anderes IT-Unternehmen wendet – kümmert euch schnell darum!! Der März kommt schneller, als man denkt.