Suche
Contact
NIS2: Hand von nicht erkennbarer Person tippt auf Tablet
18.11.2024 | KPMG Law Insights

NIS 2 umsetzen: So müssen Unternehmen sich vor Cyberattacken schützen

Die NIS-2-Richtlinie der EU soll für mehr Cybersicherheit für die wesentlichen Infrastrukturen sorgen und diesbezüglich ein einheitliches und deutlich höheres Schutzniveau in Europa schaffen. Die Mitgliedsstaaten sollten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Der deutsche Gesetzgeber ist dieser Pflicht zwar noch nicht nachgekommen. Ein Entwurf des Umsetzungsgesetzes (NIS2UmsuCG) liegt aber seit Juli 2024 vor. Auch die kommende Regierung wird jedenfalls für die Umsetzung der Richtlinie Sorgen zu tragen haben. Die Richtlinie schreibt den wichtigen Infrastrukturunternehmen bestimmte Risikomanagement-Maßnahmen wie Tests vor und verschärft die Meldepflichten.

NIS-2 erweitert Umfang der verpflichteten Unternehmen enorm 

Maßnahmen für Cybersicherheit waren auch bisher schon vorgeschrieben. Die NIS-2-Richtlinie dehnt allerdings den Kreis der betroffenen Unternehmen deutlich aus. Die kritischen Sektoren im Vergleich zur im Jahr 2016 verabschiedeten NIS-Richtlinie wurde um elf Sektoren erweitert. Betroffen sind neben Betreibern wesentlicher Dienste nun auch Anbieter digitaler Dienste, die zuvor nicht unter die Regelungen fielen. Dazu zählen zum Beispiel Anbieter von Cloud-Diensten, Rechenzentren und Online-Marktplätzen. Letztlich kann künftig fast jedes größere Unternehmen in den Anwendungsbereich fallen. Hinzu kommt: Ob ein Unternehmen betroffen ist, ist dabei nicht immer auf den ersten Blick ersichtlich. Insbesondere in Konzernstrukturen kann durch Beteiligungen auch die Konzernmutter verpflichtet sein.

Unternehmen müssen ihre Betroffenheit selbst ermitteln

Die NIS-2-Richtlinie bzw. das NISUmsuCG richten sich an Betreiber kritischer Infrastruktur, an besonders wichtige Einrichtungen und an wichtige Einrichtungen. In den letzten beiden Kategorien richtet sich die Betroffenheit nach dem Sektor sowie nach Kriterien wie Jahresumsatz und Jahresbilanzsumme.  Ob eine Einrichtung von NIS 2 bzw. dem NISUmsuCG betroffen ist, muss es selbst ermitteln. Das Bundesamt für Sicherheit und Informationstechnik (BSI) bietet zur ersten Orientierung eine NIS-2-Betroffenheitsprüfung an.

Grundsätzlich können Unternehmen die Betroffenheit von NIS 2 in fünf Schritten bewerten:

NIS2 Betroffenheitsprüfung

So sollen Unternehmen ihre Cybersicherheit erhöhen

In Umsetzung der Richtlinie soll in Deutschland eine Reihe von Gesetzen geändert werden. Die meisten Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG). Geplant sind vor allem strengere Cybersicherheitsanforderungen. Unternehmen sollen nicht nur technische, sondern auch organisatorische Maßnahmen ergreifen müssen, um den Schutz ihrer IT-Infrastruktur sicherzustellen. Insbesondere kommen diese zusätzlichen Pflichten auf die betroffenen Unternehmen zu:

  • Risikomanagement-Maßnahmen

Das Umsetzungsgesetz definiert einige Maßnahmen zum Risikomanagement. Dazu gehören unter anderem Konzepte zu Risikoanalysen, Backups, Tests, Verschlüsselungen und Schulungen.

  • Meldepflichten 

Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen Sicherheitsvorfälle an eine Meldestelle melden.

  • Registrierungspflicht

Betroffene Unternehmen müssen sich selbstständig als solche registrieren lassen.

  • Unterrichtungspflicht

Bei Sicherheitsvorfällen müssen betroffene Unternehmen andere von dem Vorfall betroffene Einrichtungen informieren.

  • Überwachung durch Geschäftsleitung

Mitglieder der Geschäftsleitung werden persönlich verpflichtet, die Umsetzung der Risikomanagementmaßnahmen zu überwachen.

Für Betreiber kritischer Infrastrukturen gelten zusätzliche Nachweispflichten.

Die Geschäftsleitung haftet persönlich

Wenn betroffene Einrichtungen die Anforderungen nicht erfüllen, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Besonders brisant ist die persönliche Haftbarkeit der Geschäftsleitung.

Der Haftungsmaßstab des aktuellen Entwurfs des deutschen Umsetzungsgesetzes entspricht den Vorgaben der NIS-2 Richtlinie. Bereits jetzt haften die Geschäftsleitungen, wenn sie sorgfaltswidrig gegen Pflichten zur Sicherstellung der IT-Sicherheit verstoßen und es dadurch zu Schäden gekommen ist. Durch NIS 2 erhöht sich das faktische Haftungsrisiko für die Geschäftsleitungen signifikant: Leitungsorgane müssen die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und ihre Umsetzung überwachen. Für Verstöße können sie haftbar gemacht werden. Der aktuelle Regierungsentwurf des NIS2UmsuCG verschärft die Verantwortung der Geschäftsleitungen dem Wortlaut nach womöglich noch, indem diese über die Überwachung hinaus die Risikomanagementmaßnahmen sogar umzusetzen haben.

So sollten Unternehmen sich vorbereiten

Betroffene Unternehmen sollten sich auch schon vor Inkrafttreten eines Umsetzungsgesetzes mit NIS 2 beschäftigen und angemessene und verhältnismäßige Maßnahmen ergreifen, die auf einem nachvollziehbaren Risikomanagement basieren. Alle Maßnahmen sollten auf einem ganzheitlichen und bedrohungsorientierten Management-Ansatz beruhen, der darauf abzielt, Sicherheitsvorfälle zu vermeiden oder deren Auswirkungen zu minimieren. Wir empfehlen folgende Schritte:

 

  • Zunächst sollten alle Unternehmen eine Betroffenheitsanalyse durchführen.
  • Ist es betroffen, ist der nächste Schritt ein Readiness Assessment. Unternehmen sollten prüfen, wie das Unternehmen in Bezug auf die IT-Sicherheit aufgestellt ist und welche Maßnahmen in Bezug auf NIS 2 noch notwendig sind.
  • Aus dieser Analyse leitet es dann die noch notwenigen Maßnahmen ab und setzt diese um.
  • Zur Sicherstellung aller Maßnahmen sollten Unternehmen eine NIS-2-Governance aufstellen.
  • Unternehmen sollten die Geschäftsleitung und ihre Mitarbeitenden schulen (lassen), insbesondere in den Bereichen Recht, Datenschutz, Audit / Revision, CyberSecurity und Technologie.
  • Schließlich sollte ein Prozess zu der verpflichtenden Berichterstattung an die Aufsichtsbehörde aufgesetzt werden.
  • Die gesamte Umsetzung sollte einem regelmäßigen Monitoring unterzogen werden.

Explore #more

25.07.2025 | Dealmeldungen

KPMG Law berät BETOMAX, ein Unternehmen der INDUS Holding AG, beim Erwerb der TRIGOSYS GmbH

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die BETOMAX systems GmbH & Co. KG, ein Unternehmen der INDUS Holding AG, beim Erwerb aller Anteile…

24.07.2025 | Dealmeldungen

KPMG Law und KPMG beraten die Q.ANT GmbH bei einer Series-A-Finanzierungsrunde über 62 Millionen Euro

Die KPMG Law Rechtsanwaltsgesellschaft (KPMG Law) und KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben mit einem service-übergreifenden Team die Q.ANT GmbH bei einer Series-A-Finanzierungsrunde mit einem Volumen…

23.07.2025 | KPMG Law Insights

Steuerhinterziehung durch Influencer:innen: Warum jetzt die Selbstanzeige helfen kann

Weitere Autor:innen und Ansprechpartner: innen: Dr. Anne Schäfer, Marco Strootmann, Anastasia Podolak Die Finanzverwaltung nimmt das Influencer-Marketing ins Visier. Aktuell ermitteln Behörden…

22.07.2025 | KPMG Law Insights

Gesetz zur Umsetzung der RED III beschleunigt Genehmigungsverfahren für den Windenergieausbau

Das Gesetz zur Umsetzung der Erneuerbare-Energie-Richtlinie kann zeitnah in Kraft treten, nachdem der Bundestag dem Entwurf am 10. Juli und der Bundesrat am 11. Juli…

22.07.2025 | KPMG Law Insights

BGH: Baukostenzuschüsse bei Batteriespeichern weiterhin zulässig

Elektrizitätsverteilernetzbetreiber dürfen bei Netzanschlüssen von Batteriespeichern Baukostenzuschüsse erheben. Das hat der Bundesgerichtshof (BGH) am 15. Juli 2025 entschieden (Az EnVR 1/24). Die Höhe der…

21.07.2025 | In den Medien

FAZ Beitrag zum Thema Steuerhinterziehung von Influencern mit KPMG Law Statement

Nordrhein-Westfalen greift hart durch gegen Influencer, die mutmaßlich Steuern hinterziehen.  Auch Unternehmen, die Influencer beauftragen, stehen in der Pflicht. In einem Beitrag auf FAZ.net ordnen…

18.07.2025 | In den Medien

KPMG Law Statement im Handelsblatt: Hürden für internationale Fachkräfte

Deutschland hat einiges getan, um die Zuwanderung von Fachkräften zu erleichtern, zuletzt mit dem neuen Fachkräfteeinwanderungsgesetz aus dem Jahr 2023. Bei der Vergabe der sogenannten…

15.07.2025 | In den Medien

JUVE: KPMG Law Experte zu Top-Trends für mehr Effizienz in Rechtsabteilungen und Kanzleien

Die siebte Legal Operations Konferenz von JUVE und NWB hat gezeigt, wie tiefgreifend künstliche Intelligenz den Rechtsmarkt verändert. KPMG Law war wie in den letzten…

09.07.2025 | KPMG Law Insights

Restrukturierung mit Personalabbau: Auf die Vorbereitung kommt es an

Die Verkleinerung oder Schließung eines Unternehmensteils macht häufig auch Personalabbau erforderlich. Bei einem Personalabbau ist je nach Zahl der betroffenen Arbeitnehmer:innen der Betriebsrat zu beteiligen.…

08.07.2025 | Dealmeldungen

KPMG Law advises Finish Finnfoam Group on the acquisition of the Phonotherm business of insolvent BOSIG Baukunststoffe GmbH

KPMG Law advised Finnfoam Group (Salo/Finland) on the acquisition of the business unit „Phonotherm“ from BOSIG Baukunststoffe GmbH via the newly founded Warmotech GmbH as…

Kontakt

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

Tel.: +49-69-951195770
fheynike@kpmg-law.com

Dr. Daniel Taraz

Senior Manager

Fuhlentwiete 5
20355 Hamburg

Tel.: +49 40 360994-5483
danieltaraz@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll