Die Umsetzung der europäischen NIS2-Richtlinie schreitet in Deutschland voran – zumindest formal. Ein wichtiger Baustein ist das Registrierungsportal des Bundesamtes für Sicherheit in der Informationstechnik (BSI), über das betroffene Unternehmen ihre Daten hinterlegen müssen. Nach aktuellen Informationen des BSI sind Stand 16. März rund 13.700 Unternehmen im NIS2-Portal registriert. Das sind etwa 47 Prozent aller Unternehmen, die in den Geltungsbereich des deutschen NIS2-Umsetzungsgesetzes fallen. Damit ist die Zahl im Vergleich zu Berichten von Anfang März – zum 6. März hatten sich etwa 11.500 Unternehmen registriert – zwar gestiegen. Es zeigt sich aber auch: Ein großer Teil der künftig regulierten Organisationen ist bislang nicht erfasst.
Deutlich mehr Unternehmen von NIS2 betroffen
Mit der NIS2-Richtlinie weitet die Europäische Union den Kreis der im Cybersicherheitsumfeld regulierten Unternehmen erheblich aus. Während bisher vor allem Betreiber kritischer Infrastrukturen im Fokus standen, erfasst NIS2 künftig auch viele mittelständische Unternehmen aus unterschiedlichen Branchen.
Schätzungen gehen davon aus, dass rund 29.000 Unternehmen in Deutschland unter die neuen Vorgaben fallen. Dazu zählen unter anderem Organisationen aus Bereichen wie:
- Energie und Verkehr
- Lebensmittel
- Gesundheitswesen
- digitale Infrastruktur und IT-Dienstleistungen
- Abfallwirtschaft
„Die bisherigen Registrierungszahlen legen nahe, dass sich noch nicht alle potenziell betroffenen Organisationen aktiv mit dem Thema auseinandersetzen.“
Registrierung ist mehr als eine Formalität
Die Registrierung im BSI-Portal ist ein zentraler Bestandteil der neuen Regulierung. Unternehmen müssen dort unter anderem:
- ihre grundlegenden Unternehmensdaten hinterlegen
- Ansprechpartner für Sicherheitsfragen benennen
- ihre Zugehörigkeit zu einem relevanten Sektor angeben
Damit schafft das BSI die Grundlage für die Aufsicht über die betroffenen Einrichtungen und für eine schnelle Kommunikation im Fall schwerer IT-Sicherheitsvorfälle. Für Unternehmen ist die Registrierung daher ein wichtiger erster Schritt, um ihre regulatorische Einordnung transparent zu machen und Meldewege festzulegen.
Viele Unternehmen unterschätzen den Handlungsbedarf
„Die bisherigen Registrierungszahlen legen nahe, dass sich noch nicht alle potenziell betroffenen Organisationen aktiv mit dem Thema auseinandersetzen“, sagt Erich Josef Beer, Head of Legal und Mitglied im RC_NIS2-Team von Ratisbona Compliance. „In der Praxis zeigt sich häufig, dass Unternehmen ihre eigene Betroffenheit noch nicht abschließend geklärt haben oder davon ausgehen, nicht unter die Regulierung zu fallen.“ Diese Einschätzung kann sich jedoch als trügerisch erweisen. Durch die deutlich erweiterten Schwellenwerte und Branchenlisten werden künftig viele Unternehmen erfasst, die bisher nicht im Fokus der Cybersicherheitsregulierung standen.
Registrierung ist nur der Anfang
Wichtig ist außerdem: Die Registrierung allein erfüllt die Anforderungen der NIS2-Richtlinie noch nicht. Unternehmen müssen zusätzlich organisatorische und technische Maßnahmen etablieren, etwa:
- ein strukturiertes Risikomanagement für IT-Sicherheit
- Meldeprozesse für Sicherheitsvorfälle
- Notfall- und Wiederanlaufkonzepte
- Sicherheitsanforderungen entlang der Lieferkette
- eine stärkere Einbindung der Unternehmensleitung
Die Regulierung zielt damit auf eine systematische Steuerung von Cyberrisiken im Unternehmen – und angesichts der deutlich veränderten Bedrohungslage sowie den potenziellen Auswirkungen erfolgreicher Cyberattacken auf den Schutz der europäischen Wirtschaft und Gesellschaft.
Fazit
Die derzeit rund 13.700 registrierten Unternehmen im NIS2-Portal zeigen, dass das Thema in Bewegung ist. Gleichzeitig deutet die Zahl darauf hin, dass viele potenziell betroffene Organisationen ihre eigene Situation noch nicht abschließend geklärt haben. Für Unternehmen lohnt sich daher eine frühzeitige Prüfung der eigenen Betroffenheit. Wer rechtzeitig Klarheit schafft, kann nicht nur die organisatorischen Anforderungen der NIS2-Richtlinie strukturiert angehen, sondern stellt sich auch nachhaltig zukunftssicher auf. Denn: NIS2 wird zum Referenzrahmen für Cybersicherheit in Europa werden.