Der Bundestag hat das Cybersicherheitsgesetz zur Umsetzung der EU-NIS-2-Richtlinie verabschiedet. Für Unternehmen im Bereich digitaler Dienstleistungen entstehen damit neue Pflichten. Betroffen sind vor allem Anbieter, die kritische oder wichtige Dienste erbringen – von Cloud-Infrastrukturen über Verwaltungsportale bis zu IT-Security-Services.
Die NIS-2-Richtlinie erweitert den Kreis regulierter Unternehmen erheblich. Anders als bei NIS-1 reicht künftig nicht mehr allein die Einordnung als kritische Infrastruktur. Auch mittlere und große Unternehmen mit mehr als 50 Mitarbeitenden und einem Jahresumsatz über zehn Millionen Euro können erfasst werden, wenn sie in einem der definierten Sektoren tätig sind. Dazu zählen digitale Dienste, Telekommunikation, öffentliche Verwaltung und weitere Bereiche.
Für betroffene Unternehmen ergeben sich konkrete Handlungspflichten. Sie müssen ein Risikomanagement-System aufbauen, das technische und organisatorische Maßnahmen zur Abwehr von Cyberbedrohungen umfasst. Dazu gehören unter anderem Verschlüsselung, Zugangskontrollen, Incident Response und regelmäßige Sicherheitsaudits. Verstöße gegen diese Anforderungen können Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes nach sich ziehen.
Eine zentrale Neuerung ist die persönliche Haftung der Geschäftsführung. Leitungsorgane müssen Risikomanagement-Maßnahmen genehmigen, deren Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Bei Verstößen drohen Bußgelder gegen die verantwortlichen Personen. Diese Regelung verschärft den Druck auf Entscheider erheblich und erfordert eine klare Dokumentation der Compliance-Maßnahmen.
IT-Dienstleister sollten zunächst prüfen, ob sie unter die neuen Regelungen fallen. Die Einstufung erfolgt entweder aufgrund der Größe und des Sektors oder durch behördliche Benennung. Relevant ist auch die Frage, ob Dienstleistungen für Cybersicherheit oder die digitale Souveränität erbracht werden. Betroffene Unternehmen müssen sich bis zum Inkrafttreten der nationalen Umsetzungsfrist registrieren und ein Meldesystem für Sicherheitsvorfälle aufbauen. Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls muss eine Erstmeldung an das BSI erfolgen.
Die Umsetzung stellt viele Unternehmen vor Herausforderungen. Branchenverbände empfehlen, externe Expertise einzubinden und frühzeitig mit dem BSI Kontakt aufzunehmen. Auch Anbieter von Governikus und Bundesdruckerei bieten Unterstützung bei der Einhaltung von Compliance-Anforderungen. Parallel verschärfen sich die Anforderungen an Cyberbedrohungen generell, wie der aktuelle BSI-Lagebericht zeigt. Unternehmen sollten daher nicht nur reaktiv handeln, sondern proaktiv ihre IT-Sicherheitsarchitektur auf den Prüfstand stellen.
