NIS2-Umsetzung in Deutschland vorerst gescheitert

17. Februar 2025
| Keine Kommentare
NIS2-Umsetzung in Deutschland vorerst gescheitert
Anzeige

Beitrag teilen

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen besteht dazu jedoch kein Anlass.

Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein. Es handelt sich dabei um Konzerne und KMU, die kritische Infrastrukturen betreiben oder in kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer. Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS2-Umsetzungsgesetzes warten. Denn die geforderten Risikomaßnahmen der Richtlinie sind bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren.

Anzeige

NIS2: Verzögerungen in Deutschland

Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz sind vielfältig. Fest steht jedoch: Wegen der anstehenden Bundestagswahl kann ein neues nationales Gesetz erst von der neuen Regierung – also frühestens Ende 2025 – verabschiedet werden. Aber auch ohne ein neues Gesetz gilt die NIS2-Richtlinie bereits in der EU. Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.

Die zugrunde liegende EU-Richtlinie ist seit 2022 bekannt und ihre Risikomaßnahmen bleiben bestehen. Die Verzögerung bis mindestens Ende 2025 bietet eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, Incident Response und Business Continuity entsprechen bereits seit Jahren dem Stand der Technik und sind keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung ist die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen. Führungskräfte sollten sich bewusst sein, dass Cyber Security nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon heute erfüllen. Jetzt geht es darum, diese Standards im Hinblick auf NIS2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

NIS2-Prozesse etablieren

Wer schon heute Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cybersicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal. Zudem fällt es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, wenn sie sich bereits mit den Grundlagen von NIS2 vertraut gemacht haben. Unternehmen sollten mit diesen fünf Schritten beginnen:

  • Betroffenheitsanalyse durchführen: Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.
  • Sicherheitsorganisation etablieren: Verantwortlichkeiten für Cybersicherheit definieren und sicherstellen, dass die Geschäftsleitung involviert ist.
  • Meldeprozesse entwickeln: Klare Strukturen für Incident Response und Meldungen an das BSI festlegen, um auf Vorfälle vorbereitet zu sein.
  • IT-Risiken identifizieren: Ein strukturiertes Asset Management aufbauen und Sicherheitsrisiken systematisch bewerten.
  • Notfallpläne und Business Continuity vorbereiten: Strategien entwickeln, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und Resilienz zu stärken.

Aktuell liegen bereits zwei Implementation Acts der EU und der Mitgliedsstaaten vor, die die Anforderungen zu NIS2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisieren. Es ist davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen Implementation Acts spezifiziert werden. Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie sind gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen. Externe Dienstleister wie Axians helfen Ihnen gerne, sich NIS2-konform aufzustellen. Wer frühzeitig mit der Anpassung der internen Prozesse beginnt, hat später weniger Aufwand.

Mehr bei Axians.com

 

Über Axians

Die Unternehmensgruppe Axians in Deutschland ist Teil des globalen Markennetzwerks für ICT-Lösungen von VINCI Energies. Mit einem ganzheitlichen ICT-Portfolio unterstützt die Gruppe Unternehmen, Kommunen und öffentliche Einrichtungen, Netzbetreiber sowie Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen.

Passende Artikel zum Thema

Echtzeit-Deepfakes: Die neue Dimension der Cyberattacken

Künstliche Intelligenz wird 2025 auch die Cybersecurity bestimmen. Eines der Felder, in der sie schon einige Zeit eingesetzt wird, sind ➡ Weiterlesen

Cybersicherheit in EMEA: Das sind die Trends

Weiterentwickelte Ransomware, Cloud-Angriffe und KI-basierter Cyber-Warfare bedrohen 2025 die Cybersicherheit von Unternehmen. Am häufigsten werden bösartige Dateien durch Phishing verbreitet. ➡ Weiterlesen

Studie: Ransomware schädigt Unternehmen erheblich

Eine Ransomware Attacke verursacht maximalen Schaden bei Unternehmen: Es dauert lange, den Normalbetrieb danach wieder aufzunehmen. Das führt zu erheblichen ➡ Weiterlesen

Cybersecurity: Wie Plattformisierung Komplexität verringert

Für viele Unternehmen stellt die Komplexität ihrer unterschiedlichen Sicherheitslösungen eine große Herausforderung dar, das hat eine neue globale Studie jetzt ➡ Weiterlesen

KRITIS im Visier der Angreifer

Der drastische Anstieg der Cybersicherheitsvorfälle in deutschen KRITIS-Einrichtungen um 43 Prozent von 2023 auf 2024 ist ein deutliches Warnsignal für ➡ Weiterlesen

KI-basierter Identitätsdiebstahl nimmt weiter zu

Zugangsdaten sind bei Cyberkriminellen sehr begehrt. Um sie zu stehlen, nutzen sie zunehmend künstliche Intelligenz. Angriffe, basierend auf Deep-Fake-Technologie, sind ➡ Weiterlesen

NIS-2: Warum Compliance so wichtig ist

Von der NIS-2-Richtlinie sind ca. 30.000 deutsche Einrichtungen betroffen – Unternehmen, die zur kritischen Infrastruktur zählen als auch Unternehmen, die ➡ Weiterlesen

Agentenbasierte KI-Modelle steuern Phishing-Kampagnen

Malwarebytes hat kürzlich seinen neuesten State of Malware-Report vorgestellt. Dessen zentrale Aussage: Agentenbasierte KI-Modelle sind auf dem Vormarsch und werden ➡ Weiterlesen

 

Storys
, , , ,