NIS-2: IT-Risikomanagement wird für viele Unternehmen verpflichtend

Die Bundesregierung hat einen Gesetzentwurf zur Umsetzung der europäischen NIS-2-Richtlinie vorgelegt.

Damit soll das deutsche IT-Sicherheitsrecht deutlich ausgeweitet werden. Zentrale Neuerung ist die Erweiterung des bisherigen Anwendungsbereichs: Statt wie bisher rund 4.500 sollen künftig etwa 29.500 Organisationen unter die Regelungen des novellierten BSI-Gesetzes fallen. Neben Betreibern Kritischer Infrastrukturen zählen dazu nun auch sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen.

Gesetzentwurf erweitert IT-Sicherheitsvorgaben

Diese Einrichtungen müssen künftig umfassende Maßnahmen zum IT-Risikomanagement umsetzen. Dazu gehören unter anderem Meldepflichten bei Sicherheitsvorfällen, Risikoanalysen, Pläne zur Vorfallsbewältigung, Schulungen und sichere Kommunikation.

Die Verantwortung dafür liegt bei den Geschäftsführungen, die gesetzlich verpflichtet werden sollen, sich mit Cyberrisiken auseinanderzusetzen und entsprechende Maßnahmen aktiv zu steuern und zu überwachen.

Auch Einrichtungen der Bundesverwaltung müssen künftig verbindlich definierte IT-Sicherheitsstandards, wie den IT-Grundschutz des BSI, erfüllen.

Neue Anforderungen für Wirtschaft und Verwaltung

Zur Unterstützung betroffener Einrichtungen stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Informationsmaterial und Beratungsangebote bereit. Eine interaktive Online-Prüfung auf der Webseite des BSI soll Unternehmen dabei helfen, zu ermitteln, ob sie von dem neuen Gesetz betroffen sind. Ziel sei es laut BSI, die Umsetzung möglichst praktikabel zu gestalten.

Erste Reaktionen gibt es vom eco – Verband der Internetwirtschaft e. V. sowie vom Bitkom e. V.

Fahrzeuge ohne Fahrer? Deutschland macht es jetzt möglich

Die neue Straßenverkehr-Fernlenk-Verordnung (StVFernLV) schafft erstmals einen rechtlichen Rahmen für den Betrieb ferngelenkter Kraftfahrzeuge im öffentlichen Straßenverkehr in Deutschland. Dabei…

30. Juli 2025 | Jetzt lesen →