Die NIS-2 Direktive der EU wird allein in Deutschland rund 30000 Organisationen betreffen.
Es geht um einen verbesserten Umgang mit Cyber-Bedrohungen sowohl auf internationaler wie auch auf nationaler Ebene.
Die Direktive wurde nötig, weil die ursprüngliche NIS-Richtlinie, die dasselbe Ziel verfolgte, nicht die gewünschten Effekte zeitigte.
Die deutsche Umsetzung, das NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird wahrscheinlich erst im Verlauf von 2025 in Kraft treten. Nach allerlei Debatten wurde manche sinnvolle aber schmerzhafte Passage verwässert (weitere „Verdünnungen“ stehen uns eventuell noch bevor) und nun klar scheint zu sein:
Die Kriterien für betroffene Organisationen setzen sehr weit unten an – es gibt im drei Größenkategorien: wichtige, besonders wichtige Einrichtungen und Betreiber kritischer Infrastrukturen. Entscheidend sind dabei wird nach Mitarbeiteranzahl und Umsatz bzw. Bilanzsumme, für den „Einstieg“ genügen 50 Mitarbeiter und 10 Mio EUR Umsatz bzw. Bilanzsumme.
Ein weiteres Betroffenheitskriterium ist die Tätigkeit in einem von 11 Bereichen, was ein sehr weites Spektrum abdeckt.
Manche Organisationen (wie Domänen-Registrare) zählen unabhängig von allen anderen Kriterien stets dazu, andere (aktuell z.B. Gemeinen, wegen Kompetenzfragen zwischen Bund und Ländern) sind immer außerhalb der Betrachtung.
Was müssen die betroffenen Organisationen tun?
Es ist eine Liste von zehn Forderungen, die von sehr abstrakten bis zu sehr konkreten Vorgaben reichen. Der Kern ist eine umfassende Risikobetrachtung inklusive daraus abgeleiteter Maßnahmenliste – diese sind natürlich umzusetzen.
Eine der sehr abstrakten Forderungen ist die nach Regelungen zum Umgang mit Kryptografie.
Zu den sehr konkreten Forderungen gehören:
§30 Satz 10: „Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung„
Eine komplette Liste der Kernforderungen findet sich hier:
https://cloudauditor.de/alles/kernforderungen-des-nis2umsucg/
Zu den Besonderheiten dieser Gesetzgebung wird eine verschärfte Regelung bei Nichtkonformität inklusive persönlicher Haftung der Organisationsleitung gehören.
Stichtag ??.??.2025
Der Gesetzesentwurf zum NIS2umsuCG ist hier verfügbar:
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf?__blob=publicationFile&v=2