Praxiswissen auf den Punkt gebracht.
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww
  • · Fachbeitrag · Gesetzgebung

    Anforderungen zum Schutz vor Cyberkriminalität werden konkreter ‒ auch für den Mittelstand

    Cyberkriminalität ist eines der bedeutendsten Wirtschaftsrisiken. Mit der „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rats vom 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148“ (NIS-2-Richtlinie), die am 16.1.2023 in Kraft trat, möchte die EU die Cyberresilienz kritischer Infrastrukturen ausweiten. Die Umsetzung in nationales Recht soll bis zum 17.10.2024 erfolgen. Der seit 7.2.2024 vorliegende Referentenentwurf „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz/NIS2UmsuCG) gibt ‒ in Erweiterung bestehender IT-Sicherheitsgesetze sowie im Gleichklang mit einer Änderung des sog. KRITIS-Dachgesetzes ‒ einen ersten Einblick in die Anforderungen, die auch den Mittelstand betreffen.

     

    Schutz kritischer Infrastrukturen durch NIS-1-/NIS-2-Richtlinien

    2016 wurde die Richtlinie zur Netzwerk- und Informationssicherheit (Richtlinie (EU) 2016/1148/NIS-1-Richtlinie) eingeführt, die in Deutschland für Betreiber kritischer Infrastruktur (KRITIS-Anlagenbetreiber) Anwendung findet. Dies sind „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ (BSI 2024: Kritische Infrastrukturen [KRITIS], www.iww.de/s10939), in Summe rund 1.119 Betreiber aus Bereichen wie Energie, Informationstechnik und Telekommunikation, Gesundheit oder Finanz- und Versicherungswesen.

     

    Die NIS-2-Richtlinie strebt eine nächste Stufe zum Schutz und zur Stärkung der Resilienz relevanter Einrichtungen (bspw. der Bundesverwaltung) und Unternehmen an. Auch soll eine Vereinheitlichung der Definition kritischer Infrastrukturen und der Anforderungen an ein gemeinschaftliches Cybersicherheitsniveau erfolgen, u. a. indem ein größerer Kreis an Betroffenen strengere Standards und mehr Verpflichtungen einhalten ‒ laut Deutscher Industrie- und Handelskammer sind mindestens 30.000 Unternehmen in Deutschland betroffen (Stellungnahme DIHK, Diskussionspapier des Bundesministeriums des Innern und für Heimat: Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland, Berlin 20.10.23).