Deutschlands bevorstehendes NIS2UmsuCG (Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundsätze des Informationssicherheitsmanagements in der Bundesverwaltung) markiert eine deutliche Verschärfung der Cybersicherheitsregeln für Unternehmen und öffentliche Institutionen. Basierend auf der NIS-2-Richtlinie der EU wird das Gesetz das derzeitige BSI-Gesetz ersetzen und die Verpflichtungen weit über das bisherige KRITIS-Regime hinaus erweitern. Anstatt nur über 800 Betreiber kritischer Infrastrukturen zu betreffen, erwartet man, dass es auf bis zu 30.000 Organisationen in 18 Sektoren Anwendung findet, darunter Energie, Transport, Gesundheit, digitale Infrastruktur, Telekommunikation, Banken, öffentliche Verwaltung, Ernährung, Chemie, Abfallmanagement, Fertigung und zentrale digitale Dienste.

Im neuen Rahmenwerk werden Einheiten als „besonders wichtig“ oder „wichtig“ eingestuft, basierend auf Sektor und Größe. Große Unternehmen in Sektoren gemäß Anhang 1 und Betreiber kritischer Einrichtungen gelten allgemein als besonders wichtig, während mittelgroße Firmen und Unternehmen in Sektoren gemäß Anhang 2 als wichtig eingestuft werden können. Einige digitale Dienstleister und Infrastrukturbetreiber sind unabhängig von ihrer Größe abgedeckt, wenn ihre Dienste systemkritisch sind. Auch kleinere Lieferanten, insbesondere IT- und Managed-Service-Anbieter in der Lieferkette, können betroffen sein, wenn sie auf kritische Systeme oder sensible Bereiche zugreifen. Alle betroffenen Organisationen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und auf Anfrage die Einhaltung nachweisen.

Das Gesetz führt umfassende Pflichten ein: Unternehmen müssen ein risikobasiertes Informationssicherheitsmanagementsystem etablieren und aufrechterhalten; regelmäßige Risikobewertungen durchführen; technische und organisatorische Maßnahmen wie Schwachstellen- und Patch-Management, Backup und Recovery, Zugangskontrollen, Multi-Faktor-Authentifizierung, sichere Kommunikation und Supply-Chain-Sicherheit implementieren; und Vorfallserkennung, -meldung und -reaktion sicherstellen. Zeitkritische Meldepflichten gelten, einschließlich einer ersten Meldung schwerwiegender Vorfälle innerhalb von 24 Stunden, eines Folgeberichts innerhalb von 72 Stunden und eines Abschlussberichts nach einem Monat. Regelmäßige Wirksamkeitsprüfungen des Risikomanagements werden verpflichtend sein, und Betreiber kritischer Einrichtungen werden alle drei Jahre von der BSI geleitete Audits durchlaufen.

Entscheidend ist, dass NIS2UmsuCG keine "weiche" Richtlinie ist. Sie sieht wesentlich stärkere Durchsetzung und Sanktionen vor, einschließlich Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Vorstände und Geschäftsführer sind persönlich für die Einhaltung verantwortlich und können individuelle Konsequenzen, einschließlich Verboten von Managementpositionen, bei schwerwiegenden Verstößen erwarten. Da das Gesetz voraussichtlich Ende 2025 oder Anfang 2026 in Kraft treten wird und keine langen Übergangsfristen geplant sind, wird den Unternehmen geraten, jetzt zu handeln: Überprüfen Sie, ob sie zu den kritischen Kategorien gehören, beginnen Sie mit dem Aufbau oder der Aufrüstung eines ISMS nach ISO 27001, binden Sie Mitarbeiter auf allen Ebenen ein und beziehen Sie frühzeitig Lieferanten mit ein.

Für viele Organisationen, insbesondere jene, die neu in den Geltungsbereich einbezogen wurden, wird es zu spät sein, zu warten, bis das Gesetz verabschiedet ist. Die Botschaft der Experten ist eindeutig: NIS-2 ist nicht nur eine weitere Compliance-Übung, sondern ein struktureller Wandel hin zu einer stärkeren Cybersicherheit in der europäischen Wirtschaft. Unternehmen, die frühzeitig handeln, können nicht nur Sanktionen vermeiden, sondern auch ihre Widerstandsfähigkeit stärken, ihren Betrieb schützen und Vertrauen bei Kunden und Partnern in einer zunehmend feindlichen Cyberumgebung aufbauen.