Gesetz zur Cybersicherheit in Kraft

Foto: piick/shutterstock.com

NIS-2 ist eine europäische Richtlinie für Netzwerk- und Informationssicherheit, die die erste Version aus dem Jahr 2016 weiterentwickelt. Sie soll die Cyber-Resilienz in der EU stärken, bisherige Cybersicherheits-Regelungen der Länder durch EU-weite Standards harmonisieren und die Zusammenarbeit in Sachen IT-Sicherheit auf europäischer Ebene und innerhalb der Länder verbessern.

Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen jetzt unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Ob ein Betrieb betroffen ist, zeigt eine Online-Fragenkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI)  

Betroffene Unternehmen müssen drei zentralen Pflichten nachkommen: Sie sind gesetzlich verpflichtet, sich mit einem “Unternehmenskonto” beim BSI als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren.

Das BSI empfiehlt, den Account bei "Mein Unternehmenskonto" bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 damit beim für NIS-2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und dient als Meldestelle für erhebliche Sicherheitsvorfälle. Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular.