Stärkung der Cybersicherheit in Deutschland – das NIS2UmsuCG

Mit der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird die europäische NIS-2 Richtlinie in deutsches Recht überführt. Mindestens 30 Tausend Unternehmen werden in Deutschland von der NIS-2-Richtlinie betroffen sein.

Derzeit liegt ein Referentenentwurf sowie ein Diskussionspapier des Bundesministeriums des Innern und für Heimat zum NIS2UmsuCG vor. Aller Voraussicht nach soll das NIS2UmsuCG im März 2024 verkündet und bis zum 17. Oktober 2024 in Kraft treten. In der Zwischenzeit kann es noch zu Änderungen kommen.

Beim NIS2UmsuCG handelt es sich um ein Änderungsgesetz, welches bestehende Gesetze ändert. In erster Linie die KRITIS-Teile des BSI-Gesetzes. Infolgedessen werden Betreiber kritischer Anlagen sowohl durch das KRITIS-Dachgesetz als auch vom NIS2UmsuCG reguliert werden.

Die Sicherheitsmaßnahmen für Unternehmen werden tiefgreifender und umfassender hinsichtlich Risikomanagement, Vorfallmeldungen, technischen und organisatorischen Maßnahmen sowie Unternehmensführung.

Zur NIS-2-Richtlinie und der Betroffenheit von Unternehmen berichteten wir bereits in unserem Blog.

Was können betroffene Unternehmen tun?
Auch wenn das nationale Gesetz (NIS2UmsuCG) in Deutschland noch nicht in Kraft getreten ist, sollten Unternehmen bereits jetzt Maßnahmen ergreifen, um der europäischen NIS-2 Richtlinie nachzukommen. Je früher, umso besser – denn: ab dem 17. Oktober tritt die NIS-2 Richtlinie in Kraft. Änderungen, die sich aus dem NIS2UmsuCG ergeben, können anschließend immer noch angepasst werden.

Ein Weg für die Umsetzung ist die Implementierung eines Informationssicherheitsmanagements (ISMS). Gängige ISMS sind bspw. die ISO/ IEC 27001 oder das IT-Grundschutz-Kompendium des BSI. Sofern Sie im Automotive-Bereich mit Ihrem Unternehmen agieren, wäre evtl. auch eine TISAX-Zertifizierung anstrebenswert. Immer mehr Automobilkonzerne fordern die TISAX®-Zertifizierung von Ihren Zulieferbetrieben. Somit könnten Sie sogar mehrere Anforderungen mit einer solchen Zertifizierung erfüllen.

Mit einem ISMS werden Methoden und Regeln im Unternehmen eingeführt, um Risiken und Bedrohungen, die auf das Unternehmen wirken, zu identifizieren, zu behandeln und zu kontrollieren. Es werden Strategien entwickelt, damit die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität sowie Authentizität gewährleistet werden.

Wie lässt sich die Umsetzung nachweisen?
Zum gegenwärtigen Zeitpunkt gibt es noch keine offizielle Zertifizierungsmöglichkeit speziell nach der NIS-2 Richtlinie. Eine Zertifizierung nach der ISO/ IEC 27001 ist jedoch eine gute Basis für ein solides Cybersicherheitsniveau nach der NIS-2. Geforderte zusätzliche Maßnahmen aus der NIS-2 bzw. NIS2UmsuCG könnten ergänzend auditiert werden. Zu den Entwicklungen in diesem Bereich halten wir Sie auf dem Laufenden.

Hier finden Sie Informationen zu einer Zertifizierung nach ISO 27001.