Skip to main content Skip to page footer
| Recht und Steuern Startseite

NIS-2 kommt – ist mein Unternehmen betroffen?

Machen Sie die NIS-2-Betroffenheitsprüfung des BSI!

Am 24.07.2024 hat das Bundeskabinett das "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" beschlossen.

AdobeStock_268784267

"NIS" steht dabei für "Network and Information Security". Das Gesetz dient der Umsetzung der entsprechenden EU-Richtlinie in deutsches Recht. Es geht dabei um die IT-Sicherheit für Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Bisher wurden ca. 2.000 Unternehmen als „KRITIS-Betreiber“ eingestuft, was sich aus der Zugehörigkeit zu bestimmten besonders kritischen Sektoren (KRITIS) wie z.B. Energie, Bankwesen oder Gesundheitswirtschaft und anhand von Schwellenwerten ergab. Durch das neue Gesetz wird der Kreis der Unternehmen, die IT-Sicherheitspflichten erfüllen müssen, deutlich erweitert. Betroffen sind Unternehmen, die wesentliche Dienstleistungen oder Produkte im Zusammenhang mit den von NIS-2 benannten Sektoren erbringen. Zu diesen kritischen Sektoren zählen die Anbieter digitaler Dienste, die Verwaltung von IKT-Diensten (B2B), das verarbeitende Gewerbe/Herstellung von Waren, Post- und Kurierdienste, Trinkwasserhersteller, Abwasseraufbereiter, die Öffentliche Verwaltung, Weltraumwirtschaft und Forschungsdienstleister. Es wird bundesweit mit 30.000 betroffenen Unternehmen gerechnet. „Im Zuständigkeitsbereich der IHK Neubrandenburg für das östliche Mecklenburg-Vorpommern wurden rund 80 Betriebe als potentiell von NIS-2 betroffen ermittelt“, berichtet Holger Beyer, Ansprechpartner für die Branchen Industrie/Technologie/Umwelt bei der IHK. „Für diese Unternehmen wird die IHK im Herbst eine Informationsveranstaltung anbieten. Hierzu läuft aktuell die Terminfindung.“

Die IHK-Organisation hat zum Gesetzesvorhaben Stellung genommen. Eine zentrale Forderung der IHKs wurde erfüllt: Mit der "NIS-2-Betroffenheitsprüfung" bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Werkzeug, mit dem Unternehmen selbst prüfen können, ob sie voraussichtlich von den neuen NIS-2-Regelungen betroffen sein werden. „Das ist deshalb wichtig, weil es keine automatische Information an die Betriebe geben wird. Unternehmen müssen ihre Betroffenheit eigenständig prüfen“, betont Holger Beyer. Die Kriterien sind Zugehörigkeit zu Branchensektoren, die Anzahl der Mitarbeitenden, der Jahresumsatz und die Jahresbilanzsumme.

Hinzu kommen spezielle IT-Einrichtungen wie beispielsweise qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter. Gegebenenfalls kann das BSI auch eine Betroffenheit anordnen.