NIS-2 FAQ

Was ist NIS-2 und ist mein Unternehmen betroffen?

Die NIS-2-Richtlinie der EU stellt eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 dar und regelt die Anforderungen an die Informationssicherheit betroffener Unternehmen und Organisationen.

Sie sind verpflichtet selbstständig zu prüfen, ob Ihr Unternehmen betroffen ist, und falls ja, in welche Kategorie (wichtige Einrichtung, besonders wichtige Einrichtung, Betreiber kritischer Anlagen) Ihr Unternehmen fällt.

Hinweis für Kommunen: Obwohl die NIS-2-Richtlinie auf die Kommunalverwaltung als solche nicht angewendet wird, ist unbedingt zu prüfen, ob kommunale Bertriebe, insbesondere kritische Infrastrukturen wie beispielsweise Wasserversorgung oder Kläranlagen betroffen sind.

Unter dem folgenden Link können Sie unverbindlich prüfen, ob Sie unter die NIS-2-Richtlinie fallen: https://betroffenheitspruefung-nis-2.bsi.de/ 

 

Was ist der Unterschied zwischen der europäischen Richtlinie und der deutschen Regelung?

Die NIS-2-Richtlinie der EU ist am 16.01.2023 in Kraft getreten und musste von Bund und Ländern in deutsches Recht überführt werden.

Die Umsetzung der NIS-2-Richtlinie in das Recht des Bundes ist mit Inkrafttreten des Gesetzes am 6. Dezember 2025 abgeschlossen. Mit Inkrafttreten des Gesetzes besteht für betroffene Unternehmen ein unmittelbarer Handlungsbedarf.

Das Gesetz unterscheidet zwischen den folgenden Kategorien:

  • wichtige Einrichtungen
  • besonders wichtige Einrichtungen

Betreiber kritischer Anlagen, die den besonders wichtigen Einrichtungen zugerechnet werden aber weitergehenden bundesrechtlichen Vorschriften unterliegen.

Welche Anforderungen ergeben sich aus dem Gesetz zur Umsetzung der NIS-2 Richtlinie für mein Unternehmen?

Prüfen Sie, ob Ihr Unternehmen betroffen ist. (Siehe dazu FAQ „Was ist NIS-2 und ist mein Unternehmen betroffen?“oben).

Gehen Sie die vorliegende Checkliste durch. Diese gibt einen Überblick über die wesentlichen gesetzlichen Neuerungen.

Prüfen Sie, welche Maßnahmen Sie bereits ergriffen haben und welche zusätzlich noch erforderlich sind.

Ab wann muss ein betroffenes Unternehmen die Maßnahmen umgesetzt haben?

Die Verpflichtung zur Umsetzung der geforderten Maßnahmen gilt ab dem Inkrafttreten des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, also zum 6. Dezember 2025.

Die Registrierung muss innerhalb von drei Monaten nach dem Inkrafttreten des Gesetzes bzw. nachdem ein Unternehmen oder eine Organisation erstmalig in eine der oben aufgeführten Kategorien fällt, erfolgt sein.

Für weitere Details empfehlen wir, das BSI-Gesetz und die BSI-Kritisverordnung (BSI-KritisV) heranzuziehen. Falls Sie darüber hinaus weitere Fragen haben, hilft Ihnen das LSI weiter.