BEGIN:VCALENDAR
VERSION:2.0
METHOD:PUBLISH
PRODID:- PBCS IT-News //NONSGML Events //EN
CALSCALE:GREGORIAN
X-WR-CALNAME:ICAL-BLOG
BEGIN:VEVENT
UID:e2355dd7-e14a-4da9-b216-26d191900262
DTSTAMP:20260415T064832Z
CREATED:20260415T064832Z
SUMMARY:NIS2 – Sicherheits-Richtlinie ab Okt 2024
DESCRIPTION:https://wp.pbcs.de/nis2-sicherheits-richtlinie-ab-mitte-2024/ - Artikel vom: Do.\, 15. August 2024\, 22:11:10 - Die #NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung\, gewisse IT-Sicherheitsstandards zu erfüllen\, da ansonsten empfindliche Bußgelder verhängt werden.\n \nWährend die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf\, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.\n \n#Wichtig - So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme\, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt\, von der NIS2 betroffen. \n \nDie Umsetzung der EU-Richtline in deutsches Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG) muss bis zur Umsetzung des Gesetzes erfolgen. Der aktuelle Entwurf ist beim BMI einsehbar.\n \nÄnderungen nach nationaler Umsetzung des Gesetzes\n \n\n \nExperten schätzen\, das die Verabschiedung als Gesetz entweder zum 1.1.2025 erfolgt\, oder aber schon nach der Sommerpause des Bundesrates zum Oktober 2024. Das BSI spricht dann von einer Toleranzzeit von drei Monaten\, in denen eine Registrierung nachgeholt werden kann. Derzeit kann man sich beim BSI aber nur für KRITIS1 (besonders wichtige Unternehmen) registrieren. Die genaue Verfahrensweise\, wie es endgültig sein wird\, ist abzuwarten.\n \nDas BSI schreibt dazu: "[...] Bitte beachten Sie dazu aus den FAQ zu NIS2 (https://www.bsi.bund.de/dok/nis-2-faq) die Antwort zur Frage „Mein Unternehmen erfüllt die Kritierien\, um als besonders wichtige (essential entities) oder KRITIS-Betreiber oder wichtige Einrichtung (important entities) zu gelten. Welche Pflichten sind zu erfüllen?“ Hier insbesondere der Hinweis: „Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.“\n \nWer ist betroffen?\n \nZählt deren Branche zur kritischen Infrastruktur\, sind auch Kleinunternehmen betroffen. Neu ist\, dass auch für andere Geschäftszwecke Unternehmen\, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt\, unter die NIS2 fallen. Neu ist auch die Unterscheidung von "wesentlichen" (wie bisher KRITIS mit erweiterten Kriterien) und "wichtigen" Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.\n \n\n[] mindestens 50 Mitarbeiterinnen und Mitarbeitern.[] einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro.[] oder (KRITIS) einem Jahresumsatz >50 mio und einer Jahresbilanz von über 43 mio.und einer Tätigkeit aus den Folgenden:\n \n[] Herstellung\, Produktion und Vertrieb von Chemikalien.[] Lebensmittelproduktion\, -verarbeitung und -Vertrieb.[] Energie (Elektrizität\, Fernwärme\, Erdöl\, Erdgas\, Wasserstoff).[] Produktion (Herstellung von Medizinprodukten\, Maschinen\, Fahrzeugen).[] Gesundheit (Gesundheitsdienstleister\, EU Labore\, Medizinforschung\, Pharmazeutik\, Medizingeräte).[] Transport (Luftverkehr\, Schienenverkehr\, Schifffahrt\, Straßenverkehr).[] Bankwesen (Kreditinstitute).[] Finanzmarktinfrastruktur (Handelsplätze).[] Digitale Infrastruktur (Internet-Knoten\, Cloud Provider\, Rechenzentren\, Elektronische Kommunikation).[] Digitale Anbieter (Marktplätze\, Suchmaschinen\, soziale Netzwerke).[] Post- und Kurierdienste.[] Forschung.[] Weltraum (Bodeninfrastruktur).[] Öffentliche Verwaltungen.[] Trinkwasser (Wasserversorgung).[] Abwässer (Abwasserentsorgung).[] Abfallwirtschaft (Abfallbewirtschaftung).\n\n \nWas ist zu tun?\n \nBSI Betroffenheit prüfen\n \nDas #BSI hat im Juli 2024 ein vorläufiges (vorbehaltlich Änderungen bei Gesetzeslegung) Prüf-Tool – veröffentlicht\, mit dem Sie ermitteln können\, in welchen Bereich und Kreis Sie im Rahmen NIS2 betroffen sind\n \n[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html?nn=1116326#Pruefung" label="BSI Prüf-Tool Stand Juli 2024"]\n \nWeitere Schritte\n \n#Wichtig - da zu erwarten ist\, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird\, prüfen Sie\, anhand der Richtlinie\, ob Sie zu den Betroffenen gehören\, indem Sie in der Richtlinie nachlesen\, ob die genannten Kriterien für Sie zutreffen.\n \nWenn ja\, ist die Vorgehensweise leider nicht geregelt\, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind\, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.\n \nDennoch müssen bei den genannten Anforderungen mindestens ausgewählte Themen der BSI Grundschutz-Standards 200-1 und -2 UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) betrachtet und dokumentiert sein.\n \nBei genossenschaftlich geprüften Unternehmen kommen dann noch die ISA DE 315 (Prüfung durch die Wirtschaftsprüfer) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen)\, ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall.\n \nDarüber hinaus müssen regelmäßige Audits sicherstellen\, dass die Maßnahmen erfüllt sind. Man geht im "best practice" von jährlichen Audits aus.\n \nZusätzlich ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell\, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an\, das Vorfälle erkennen und Meldungen automatisieren soll.\n \nRegistrierung im BSI Meldeportal\n \nWährend sich derzeit nur KRITIS Unternehmen im Meldeportal registrieren müssen\, ist zu erwarten\, dass auch der erweiterte Kreis unter NIS2 innerhalb von 24 Stunden eine Erstmeldung abgeben muss und innerhalb von 72 Stunden die Meldung. Dazu wird man sich in einem BSI-Portal registrieren müssen. Genauere Details wird das BSI nach Verabschiedung des Gesetzes bekannt geben.\n \nCheckliste des BSI\n \nDas Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste\, was zu tun ist\, veröffentlicht:\n \n[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html" label="Checkliste zur Vorgehensweise vom BSI"]\n \nBeispiele für Verstöße\n \n\nInternetzugang durch eine Firewall der ersten Generation oder nur einen Router\n \nkeine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten\, auf denen Geld bewegt wird\n \nPersonal ist nicht Umgang mit IT-Risiken (nachweislich) geschult\n \nkein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware\n \nKein Meldewesen bei erkannten Vorfällen\n\n \nFazit\n \n\nÄhnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar\, einen Mindestschutz zu erreichen. Erst mit Verabschiedung des Gesetzes wird NIS2 in deutsches Recht umgesetzt\, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.\n \nUnabhängig davon\, ob Sie unter die genannten Unternehmen fallen\, sind die Erfüllung wichtiger Themen aus dem BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Mängeln häufig Grund von Versicherungen\, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind davon abhängig.
LOCATION:https://wp.pbcs.de
CATEGORIES:Gelbe Kategorie
TRANSP:TRANSPARENT
X-MICROSOFT-CDO-BUSYSTATUS:FREE
SEQUENCE:0
CLASS:PUBLIC
PRIORITY:1
DTSTART:20260415T070000Z
DTEND:20260415T080000Z
BEGIN:VALARM
TRIGGER:-PT30M
ACTION:DISPLAY
DESCRIPTION:Reminder for NIS2 – Sicherheits-Richtlinie ab Okt 2024
END:VALARM
END:VEVENT
END:VCALENDAR