Wie NIS2 Zulieferer und Dienstleister unter Druck setzt

Inhaltsverzeichnis

Allmählich ist das Ende in Sicht: Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird – nach fast zwei Jahren mit fünf Referentenentwürfen und heftigen Auseinandersetzungen zwischen einzelnen Bundesministerien – im Frühjahr 2025 wohl endlich in Kraft treten. Dabei endet die von der EU vorgegebene Umsetzungsfrist bereits am 17. Oktober 2024.

Die schleppende Einbettung in den hiesigen Rechtsrahmen ist aber kein Anlass, sich entspannt zurückzulehnen. In der Praxis spielt es für die künftig regulierten Unternehmen keine Rolle, wie viel Verspätung das deutsche NIS2-Gesetz einfährt: Zwar können vor Inkrafttreten keine Bußgelder oder Zwangsmaßnahmen verhängt werden, aber es ist fraglich, ob Cyberversicherungen nach dem 17. Oktober 2024 noch für Vorfälle zahlen, wenn ein Unternehmen die NIS2-Vorgaben ignoriert. Bei grenzüberschreitend tätigen Unternehmen entsteht zusätzlich Rechtsunsicherheit: Wer haftet bei Vorfällen in einem Land, das NIS2 pünktlich umgesetzt hat, wenn das für die Schäden verantwortliche Unternehmen im unregulierten Deutschland beheimatet ist?

iX-tract

• Die Cybersecurity-Vorgaben von NIS2 gelten in Deutschland für rund 30 000 mittlere und große Unternehmen aus achtzehn als kritisch oder wichtig eingestuften Sektoren.
• Eine Anforderung von NIS2 ist Lieferkettensicherheit. Daraus ergeben sich Anforderungen an Dienstleister und Zulieferer der direkt von NIS2 betroffenen Unternehmen.
• Die Verpflichtungen zur Lieferkettensicherheit werden sich in den Verträgen mit Dienstleistern und Zulieferern niederschlagen – häufig schon bevor NIS2 überhaupt in Kraft getreten ist.

Gegen solche Unwägbarkeiten wappnet man sich mit einer einfachen Grundregel: Jedes Unternehmen, das künftig nach der Richtlinie reguliert wird, sollte sich unverzüglich auf die Einhaltung der gesetzlichen Anforderungen vorbereiten. Gut beraten ist, wer die technischen und organisatorischen Anpassungen an NIS2 und das parallel für den physischen Schutz kritischer Anlagen eingeführte KRITIS-Dachgesetz sofort angeht. Denn angesichts des erheblichen Aufwands, der bei der Implementierung entstehen wird, kann man gar nicht früh genug damit anfangen.

Das war die Leseprobe unseres heise-Plus-Artikels "Wie NIS2 Zulieferer und Dienstleister unter Druck setzt". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.