News

NIS-2-Richtlinie: Der Stand der Entwicklung

26. März 2025 von Marek Röhner
NIS-2-Richtlinie
©BashirIrshad- Adobe Stock

5
(1)

Im Januar 2023 trat die NIS-2-Richtlinie in Kraft. Sie stellt eine Aktualisierung der ursprünglichen NIS-Richtlinie von 2016 dar und zielt darauf ab, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme innerhalb der Europäischen Union zu gewährleisten.

Aufmerksame Leser*innen unseres Blogs wissen: Wir haben bereits über die wichtigsten Änderungen und Auswirkungen von NIS-2 für Unternehmen berichtet. Denn eigentlich sollte die neue Richtlinie hierzulande auch schon längst in Kraft sein. Doch die ursprünglich bis 17. Oktober 2024 vorgesehene Frist zur Umsetzung in nationales Recht wurde von Deutschland nicht eingehalten. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) soll aber noch in diesem Jahr in Kraft treten. Wir geben Ihnen einen Überblick über die Richtlinie selbst und den aktuellen Stand.

Überblick: Das ist die NIS-2-Richtlinie

Die NIS-2-Richtlinie ist eine überarbeitete Version der ersten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) aus dem Jahr 2016. Sie definiert Mindeststandards für die Cybersicherheit, um eine einheitliche und effektive Sicherheitsstruktur innerhalb der EU zu erreichen.

Die NIS-2-Richtlinie erweitert den Anwendungsbereich ihrer Vorgängerin auf zusätzliche Sektoren und verpflichtet sowohl öffentliche als auch private Einrichtungen, angemessene Sicherheitsmaßnahmen zu implementieren und Sicherheitsvorfälle zu melden. Betroffen sind unter anderem Unternehmen aus den Bereichen Energie, Transport, Gesundheit, Trinkwasserversorgung, digitale Infrastruktur sowie Anbieter von öffentlichen elektronischen Kommunikationsdiensten.

Eine detaillierte Übersicht über diese Richtlinie können Sie auch unserem Blogbeitrag NIS-2-Richtlinie: Das ändert sich für Unternehmen“ (https://www.psw-group.de/blog/nis2-richtlinie-das-aendert-sich-fuer-unternehmen-ab-oktober-2024/?srsltid=AfmBOorMDprQPq8MV7lNFW5Ew-PzHxSOw2833petnVRLy_eioHtAEpTV) entnehmen.

NIS-2-Richtlinie: So ist der aktuelle Stand

Bereits im Dezember 2022 wurde die NIS-2-Richtlinie auf EU-Ebene veröffentlicht. Schon im Januar 2023 trat sie in Kraft und die EU-Mitgliedstaaten wurden verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Diese Frist hat Deutschland jedoch verpasst. Ursprünglich war das Inkrafttreten des NIS 2 Umsetzungsgesetzes (NIS2UmSuCG) für März 2025 geplant. Aufgrund der vorgezogenen Bundestagswahl und der anschließenden Regierungsbildung ist es jedoch realistischer, mit einer Umsetzung nicht vor dem Sommer 2025 zu rechnen.

Tatsächlich ist aber Deutschland bei Weitem nicht das einzige Land, das hinterherhinkt. Neben Deutschland wurden Ende November 2004 22 weitere EU-Mitgliedstaaten von der Europäischen Kommission schriftlich aufgefordert, die NIS-2-Richtlinie vollständig in nationales Recht umzusetzen.

ISO/IEC 27001: Die Grundlage für NIS-2

Trotz der verzögerten Umsetzung in deutsches Recht sollten Unternehmen aber nicht abwarten, sondern sich schon mit den neuen Vorgaben vertraut machen und ihre Informationssicherheitsmaßnahmen entsprechend anpassen.

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 spielt dabei eine wesentliche Rolle, um NIS-2-Compliance zu erreichen. Dieser international anerkannte Standard bietet eine strukturierte Vorgehensweise, um Informationssicherheit nachhaltig zu verbessern und Cyber-Bedrohungen wirksam zu begegnen.

Wie funktioniert die ISO/IEC 27001?

Ein zentrales Konzept der ISO/IEC 27001 ist das Informationssicherheits-Managementsystem (ISMS). Ein ISMS ist ein strukturierter Ansatz, der sicherstellt, dass Informationssicherheit in die Geschäftsprozesse eines Unternehmens integriert wird. Es umfasst:

Risikoanalyse und Risikomanagement
Zunächst müssen potenzielle Risiken für die Informationssicherheit identifiziert und bewertet werden. Unternehmen sollten analysieren, welche Bedrohungen bestehen (könnten) und wie schwerwiegend die Auswirkungen auf das Unternehmen sein könnten.

Festlegung von Sicherheitsmaßnahmen
Nachdem die Risiken ermittelt wurden, müssen geeignete Sicherheitsmaßnahmen definiert werden. Diese reichen von technischen Maßnahmen wie der Implementierung von Firewalls oder Verschlüsselungssystemen bis hin zu organisatorischen Maßnahmen wie der Schulung von Mitarbeitern oder der Erstellung von Notfallplänen.

Kontinuierliche Überwachung und Verbesserung
Die ISO/IEC 27001 verlangt, dass Unternehmen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen, um sicherzustellen, dass sie auch in Zukunft effektiv bleiben. Geeignete Maßnahmen sind regelmäßige Audits, Risikoanalysen und die Überwachung von Sicherheitsvorfällen.

Dokumentation und Berichterstattung
Eine wichtige Anforderung der ISO/IEC 27001 ist die lückenlose Dokumentation aller Prozesse und Maßnahmen im Bereich der Informationssicherheit. Diese Dokumentation dient nicht nur der internen Kontrolle, sondern ist auch Voraussetzung für eine erfolgreiche Zertifizierung.

Vorteile der ISO/IEC 27001-Zertifizierung

Logischerweise schützt die ISO/IEC 27001-Zertifizierung Sie zuallererst vor Cyber-Bedrohungen. Sie bringt Ihnen aber auch noch eine Reihe weiterer Vorteile:

Strukturierte Prozesse, um IT-Risiken nachhaltig reduzieren:
Die Zertifizierung stellt sicher, dass Sicherheitsprozesse standardisiert und kontinuierlich optimiert werden. So können Bedrohungen frühzeitig erkannt und geeignete Maßnahmen ergriffen werden, um Risiken zu minimieren.

Vertrauensbildung bei Kunden und Partnern durch nachweisbare Sicherheitsstandards:
Die ISO/IEC 27001-Zertifizierung signalisiert, dass man höchste Sicherheitsanforderungen erfüllt. Dies stärkt das Vertrauen von Kunden und Partnern und kann vor allem in Branchen, in denen Datenschutz und IT-Sicherheit eine zentrale Rolle spielen, ein echter Wettbewerbsvorteil sein.

Erleichterte NIS-2-Compliance:
Die Anforderungen der NIS-2-Richtlinie überschneiden sich in vielen Punkten mit den Sicherheitsstandards der ISO/IEC 27001. Wer zertifiziert ist, hat einen klaren Vorteil bei der Umsetzung der neuen gesetzlichen Vorgaben und muss nur noch kleinere Anpassungen vornehmen.

Schulungen durch die PSW GROUP

Um Unternehmen gezielt auf die Herausforderungen der NIS-2-Richtlinie und die Umsetzung der ISO/IEC 27001 vorzubereiten, bieten wir praxisorientierte Schulungen mit Expertentipps an. Diese vermitteln nicht nur theoretisches Wissen, sondern liefern konkrete Handlungsempfehlungen für die praktische Umsetzung der neuesten Sicherheitsstandards. Bitte sprechen Sie uns an oder informieren Sie sich auf unserer Homepage.

Fazit: Bereiten Sie Ihr Unternehmen vor

Obwohl die gesetzliche Umsetzung der NIS-2-Richtlinie in Deutschland verspätet kommt, stehen die neuen Sicherheitsanforderungen fest – voraussichtlich im Sommer 2025 ist es dann soweit und das nationale Gesetz wird Inkrafttreten.

Machen Sie sich bewusst: Es gibt keine Übergangsfrist! Sobald das nationale Gesetz in Kraft tritt, gelten die Pflichten sofort.

Unternehmen sollten deshalb jetzt Maßnahmen zur Stärkung ihrer IT-Sicherheit ergreifen. Diese Maßnahmen ist kein Selbstläufer, sondern sie erfordert sowohl technische als auch organisatorische Anpassungen. Die ISO/IEC 27001-Zertifizierung bietet eine bewährte Möglichkeit, die Anforderungen der NIS-2-Richtlinie systematisch und effizient zu erfüllen.

Nutzen Sie unsere Expertise, um Ihr Unternehmen optimal auf die kommenden Anforderungen vorzubereiten. Wir unterstützen Sie mit digitalen Zertifikaten für kryptografische Anforderungen (www.psw-group.de), Beratung zur ISO 27001-Umsetzung (www.psw-consulting.de) und Schulungen und Qualifizierungen für Ihr Fachpersonal(www.psw-training.de). Handeln Sie jetzt und sichern Sie Ihr Unternehmen für die Zukunft ab!

 

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 1

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu