Zu Nikolaus: NIS2-Umsetzungsgesetz tritt in Kraft

Inhaltsverzeichnis

Einen Tag nach der Veröffentlichung im Bundesgesetzblatt tritt das deutsche NIS2-Umsetzungsgesetz am Nikolaustag in Kraft. Dann werden etwa 30.000 statt bisher weniger als 5.000 Unternehmen und andere Institutionen unter die verschärften und novellierten Vorgaben für IT-Sicherheit fallen. Die Aufsicht über deren Einhaltung liegt federführend beim Bundesamt für Sicherheit in der Informationstechnik, das bereits jetzt einen Großteil der IT-Sicherheitsvorgaben für kritische Infrastrukturen und Betreiber kritischer Anlagen durchsetzen soll.

Mit der Neuregelung ändert sich auch die Einstufung kritischer Dienste: Schwellenwerte und betroffene Bereiche wurden angepasst, der Kreis der Stellen deutlich erweitert, die künftig zumindest Grundpflichten zur IT-Sicherheit und zur Meldung von Vorfällen erfüllen müssen. Spürbar und messbar werde sich mit der Umsetzung des NIS2-Gesetzes etwas an der IT-Sicherheitslage ändern, erwartet BSI-Präsidentin Claudia Plattner.

Betroffenheitsprüfung gibt erste Orientierung

Ob die eigene Organisation unter die Vorgaben fällt, lässt sich mit dem vom BSI zur Verfügung gestellten NIS2-Checker vorab ermitteln – allerdings ist diese Auskunft nicht rechtsverbindlich. Wer dort aber als wahrscheinlich verpflichtet gilt, sollte das in jedem Fall zum Anlass nehmen, genauer zu prüfen.

Fällt ein Unternehmen in den Kreis der von der NIS2 erfassten Vorgaben, muss es sich sodann beim BSI registrieren. Dafür ist laut der Bonner Behörde eine Anmeldung über "Mein Unternehmenskonto Online" nötig. Ab Anfang 2026 soll dann beim BSI eine darauf aufbauende Registrierung im BSI-Portal möglich werden, was derzeit aber noch nicht existiert, vorher müssen IT-sicherheitsrelevante Vorfälle noch per klassischem Meldeformular angezeigt werden.

Sanktionen möglich

Da Deutschland die Umsetzung erst politisch verzögert, dann durch Neuwahlen ausgesetzt hatte, gibt es keinerlei Übergangsfristen für Unternehmen mehr, nachdem der Bundestag sich im November endlich einigte. Halten sich verpflichtete Unternehmen nicht an die Vorgaben des nun verkündeten Gesetzes, sind Strafen vorgesehen. „Je nach Art des Verstoßes drohen Bußgelder bis zu zehn Millionen Euro oder bis zu zwei Prozent des Gesamtumsatzes“, erklärt Stefan Hessel von der spezialisierten Anwaltskanzlei Reuschlaw. Der jeweils höhere Betrag bilde dabei die Obergrenze. „Allerdings ist vorerst nur in Extremfällen mit Bußgeldern zu rechnen, da das BSI eine wirtschaftsfreundliche Umsetzung anstrebt.“ Die Haftung für Geschäftsleitungen wurde gegenüber früheren Gesetzentwürfen deutlich abgemildert, schildert Hessel. Hier würden die allgemeinen Regeln zur Geschäftsführerhaftung gelten.

Nächsten Mittwoch: NIS-2-Webinar bei heise

Um noch vor der Weihnachtspause ins Tun zu kommen, bietet heise security Interessierten am kommenden Mittwoch, dem 10.12., ein etwa zweistündiges Webinar zum Thema an. „NIS-2 kommt – Rechtskonforme IT-Sicherheit umsetzen“ mit Rechtsanwalt Karsten U. Bartels erläutert unter anderem die Betroffenheitsprüfung, Pflichten und Haftungsrisiken.

(cku)