Neue Regeln für Cybersicherheit: Aktueller Referentenentwurf des Bundesministeriums des Innern und für Heimat zur NIS-2-Richtlinie erschienen

Cyber,Security,Network.,Data,Protection,Concept.,Businessman,Using,Laptop,Computer

Am 7. Mai 2024 wurde der aktuelle Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz veröffentlicht. Durch den Gesetzesentwurf wird die NIS-2-Richtlinie auf Bundesebene umgesetzt. Die Umsetzung soll weiterhin bis zum 17. Oktober 2024 erfolgen. Derzeit können die Bundesländer, Verbände, Organisationen und Institutionen noch eine schriftliche Stellungnahme zum Entwurf abgeben und Anmerkungen, Kritikpunkte oder Verbesserungsvorschläge äußern, bevor das Bundeskabinett über diesen abstimmt.

Inhaltlich sieht der Entwurf insbesondere eine weitgehende Überarbeitung und Erweiterung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vor. So müssen schon sog. mittlere Unternehmen von mindestens 50 Beschäftigten und / oder mit einem Jahresumsatz und einer Jahresbilanzsumme von über 10 Mio. EUR, die in einem der im Entwurf genannten Sektoren (bspw. Weltraum oder Digitale Dienste) tätig sind, die Vorgaben einhalten. Die Anzahl der Sektoren wurde dabei auf 18 erweitert.

Hinsichtlich der Vorgaben für die Cybersicherheit müssen die betreffenden Unternehmen nun Mindestmaßnahmen ergreifen, um Cybersicherheitsrisiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu vermeiden. Insbesondere müssen die Unternehmen Risikoanalyse- und Sicherheitskonzepte für Informationssysteme implementieren, Sicherheitsvorfälle bewältigen können, ein Backup- und Krisenmanagement einführen und die Sicherheit in der Lieferkette gewährleisten.

Hierbei muss die Geschäftsleitung der Unternehmen vor allem sicherstellen, dass die Mindestmaßnahmen eingeführt und gewährleistet werden. Sollten die leitenden Personen ihren Verpflichtungen nicht nachkommen, können sie persönlich haftbar gemacht werden.

Außerdem müssen Unternehmen gegenüber einer noch einzurichtenden Meldestelle, Vorfälle innerhalb von 24 Std. ab Kenntnis melden und innerhalb von 72 Std. ab Kenntnis einen ausführlichen Bericht mit aktualisierten Informationen über den Vorfall vorlegen. Innerhalb eines Monats nach Übermittlung der ersten Meldung ist schließlich ein Abschlussbericht mit einer ausführlichen Beschreibung des Vorfalls, insbesondere inklusive des Schweregrads und der Auswirkungen sowie der getroffene Abhilfemaßnahmen vorzulegen.

Beachten müssen die Unternehmen auch die erweiterten Kontroll- und Sanktionsmaßnahmen der Behörden. Neben Sicherheitsüberprüfungen drohen den Unternehmen Bußgelder von bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes.

Da der Referentenentwurf enormen Handlungsbedarf für die Unternehmen mit sich bringt, sollten diese bereits jetzt alle notwendigen Maßnahmen ergreifen, um dessen Vorgaben sicherzustellen. Dafür geben wir Ihnen die nachfolgenden Handlungsempfehlungen mit auf den Weg:

  • Klären Sie, ob Sie vom Referentenentwurf betroffen sind; denn Sie werden hierüber nicht informiert
  • Legen Sie fest, wer für die Umsetzung der Regelungen in Ihrem Unternehmen verantwortlich ist; denn bei fehlerhafter Umsetzung haftet Ihre Geschäftsführung
  • Ermitteln Sie, welche Maßnahmen in Ihrem Unternehmen noch fehlen
  • Setzen Sie die notwendigen Maßnahmen um und richten Sie ein Meldeverfahren ein
  • Prüfen und bewerten Sie Ihre Maßnahmen regelmäßig und passen Sie sie bei Bedarf an

Sofern Sie Fragen zum Referentenentwurf oder zur Umsetzung der Vorgaben haben, beraten wir Sie dazu gerne.

Ihre Ansprechpartner: Markus Heinrich, Alexander Harfousch LL.M, Dr. Stefan Bischoff

Weitere Beiträge

Coffee Talk

Münster

Telefon: +49 251 9179988-0
Telefax: +49 251 9179988-855

Hafenweg 14
48155 Münster

Hamm

Telefon: +49 2381 92122-0
Telefax: +49 2381 92122-7000

Münsterstr. 1-3
59065 Hamm