Die Bundesregierung will die NIS2-Richtlinie der EU, die den verpflichtenden Schutz wichtiger Unternehmen und Einrichtungen vor Cyberangriffen regelt, bis Anfang 2026 in deutsches Recht umsetzen. Das berichtet das Handelsblatt unter Berufung auf Aussagen der Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner.
Was bedeutet das konkret für mittelständische Unternehmen?
Mit der Umsetzung der NIS2-Richtlinie wird der Kreis der betroffenen Unternehmen deutlich größer: Künftig sollen schätzungsweise rund 29.000 Unternehmen in Deutschland verpflichtet werden, bestimmte Maßnahmen zur Abwehr und Bewältigung von Cyberangriffen umzusetzen. Bisher waren es laut BSI nur etwa 4.500 Betreiber sogenannter kritischer Infrastrukturen.
Als „wichtige Einrichtung“ im Sinne der neuen Vorschriften gelten dabei nicht nur Unternehmen aus klassischen Bereichen wie Energie, Verkehr oder Telekommunikation, sondern auch Sektoren wie Trinkwasser, Abwasser oder Lebensmittelproduktion. Das Ziel: Angriffe, die ganze Lieferketten oder die Versorgung der Bevölkerung gefährden könnten, sollen wirksam verhindert werden.
Jetzt soll es schnell gehen
Eigentlich hätten alle EU-Mitgliedstaaten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht überführen müssen. Diese Frist hat Deutschland – ebenso wie viele andere EU-Staaten – verpasst. Ein erster Gesetzentwurf der Bundesregierung wurde zwar bereits im Juli 2024 beschlossen, fand nach dem Auseinanderbrechen der Ampel-Koalition aber keine Mehrheit mehr im Bundestag.
Jetzt soll es schnell gehen: „Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran“, betont BSI-Präsidentin Plattner im Handelsblatt. Ziel ist ein Inkrafttreten Anfang 2026 – ein ehrgeiziger Fahrplan, der viele Unternehmen vor Herausforderungen stellen wird.
Wachsende Bedrohungslage – und neue Pflichten
Die BSI-Chefin warnt weiter, dass viele betroffene Unternehmen die drohenden Pflichten noch nicht auf dem Schirm haben. Dabei steigt die Gefahr von Cyberangriffen spürbar: Besonders Angriffe auf Lieferketten nehmen zu. Immer häufiger geraten IT-Dienstleister, Ingenieurbüros oder andere Dienstleister ins Visier, um von dort aus an größere Ziele zu gelangen – Mittelständler, Großunternehmen, Behörden oder politische Institutionen.
Erst kürzlich zeigte ein massiver Hackerangriff auf den Gesundheitskonzern Ameos, wie schnell Angriffe ganze Organisationen lahmlegen können. Auch Internetseiten von Ministerien in Sachsen-Anhalt waren durch Überlastungsangriffe einer prorussischen Gruppe zeitweise nicht erreichbar.
Handlungsbedarf für den Mittelstand
Für mittelständische Unternehmen bedeutet die NIS2-Richtlinie: Sie müssen künftig verpflichtend Risikoanalysen durchführen, Sicherheitsvorfälle melden und wirksame IT-Sicherheitsmaßnahmen umsetzen. Wer jetzt nicht vorbereitet ist, riskiert nicht nur Bußgelder, sondern auch Betriebsunterbrechungen durch erfolgreiche Angriffe.
RC_NIS2: Wir bringen Ihr Unternehmen auf Kurs
Als Compliance-Dienstleister begleitet Ratisbona Compliance mittelständische Unternehmen bei der Umsetzung der NIS2-Richtlinie – mit RC_NIS2, unserer praxisnahen Lösung für mehr Cybersicherheit und nachhaltige Resilienz.