Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.
DE EN

NIS-2-Umsetzung in Deutschland – Was jetzt?

07.02.2025
PDF download

Seit letzter Woche ist es offiziell: Die deutsche Umsetzung der Richtlinie (EU) 2022/2555 (sog. NIS-2-Richtlinie) zur Erhöhung der IT-Sicherheit in den EU-Mitgliedstaaten ist vorerst gescheitert. Dies führt dazu, dass viele zukünftig von NIS-2 betroffene Unternehmen weiterhin im Unklaren darüber sind, welche konkreten Maßnahmen sie in der Zukunft ergreifen müssen. Im Folgenden möchten wir etwas Orientierung dazu bieten:

Mindestanforderungen nach der NIS-2- Richtlinie

Am 16. Januar 2023 ist auf Europäischer Ebene die NIS-2-Richtlinie in Kraft getreten. Sie löste die Richtlinie (EU) 2016/1148 (sog. NIS-1-Richtlinie) ab. Im Zentrum der NIS-2-Richtlinie steht der Aufbau eines kohärenten Cybersicherheitssystems innerhalb der EU. Dabei sind im Vergleich zur NIS-1-Richtlinie deutlich mehr Einrichtungen und Unternehmen vom Anwendungsbereich der Richtlinie betroffen. Während die NIS-1-Richtlinie ca. 2000 Unternehmen erfasste, sollen nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) künftig bis zu 30.000 Organisationen unter die Richtlinie fallen. Neben den bereits von der NIS-1-Richtlinie abgedeckten Sektoren wie Energie, Verkehr und Gesundheitswesen umfasst die NIS-2-Richtlinie nun auch zusätzliche Bereiche wie digitale Dienste, Post- und Kurierdienste, Abwasser- und Abfallbewirtschaftung, Hersteller kritischer Produkte sowie die öffentliche Verwaltung. Auf die betroffenen Unternehmen, die in der Richtlinie in wesentliche und wichtige Einrichtung unterteilt werden, kommen deutlich umfassendere und spezifischere Cybersicherheitsmaßnahmen zu. Unter anderem:

  • Neue Mindestanforderungen an die Sicherheit von Netz- und Informationssystemen;

  • Ausweitung der Berichtspflichten bei Cybersicherheitsvorfällen;

  • Erhöhte Verantwortlichkeit der Geschäftsführung.

Für Verstöße gegen die beschriebenen Mindestsicherheitsanforderungen und Berichtspflichten sollen nach Art. 34 NIS-2-Richtlinie abhängig von der Kritikalität der Einrichtung Höchststrafen von bis zu 2 % des weltweiten Jahresumsatzes vorgeschrieben werden.

Verspätete Umsetzung in Deutschland

Deutschland ist vorerst an einer fristgemäßen Umsetzung der NIS-2- Richtlinie gescheitert. Zwar hatte das Bundesinnenministerium im Sommer 2024 einen Entwurf für ein Umsetzungsgesetz (das NIS2UmsuCG) vorgelegt. Dieser Entwurf, der in einzelnen Punkten noch über die beschriebenen Mindestanforderungen von NIS-2 hinausging, hat nach dem Aus der Ampelregierung jedoch keine Mehrheit mehr im deutschen Bundestag gefunden. Für betroffene Einrichtungen und Unternehmen bleibt die Rechtslage dadurch vorerst unverändert: Denn ohne einen nationalen Umsetzungsakt begründet die Richtlinie selbst keine unmittelbaren Verpflichtungen für Einzelne. Auch wenn der Europäische Gerichtshof in der Vergangenheit eine unmittelbare Wirkung von Richtlinien anerkannt hat, geschah dies ausschließlich zugunsten privater Parteien. Kurzum: Bußgelder durch die Nichtumsetzung der durch NIS-2-Richtlinie vorgeschriebene neuen Cybersicherheitsanforderungen drohen den von der Richtlinie erfassten Unternehmen derzeit nicht.

Anders sieht dies für die deutsche Bundesregierung aus, gegen die von der Europäischen Kommission ein Vertragsverletzungsverfahren wegen der verspäteten NIS-2-Umsetzung eingeleitet wurde. Schon deshalb und natürlich auch wegen des unbestreitbar hohen Handlungsbedarfs im Bereich der IT-Sicherheit, wird die zukünftige Bundesregierung die Umsetzung von NIS-2 deshalb zeitnah angehen müssen. Es ist allerdings noch offen, ob die zukünftige Regierung innerhalb ihres Umsetzungsspielraums auf den bereits vorhandenen Entwurf aufbauen wird. So warb die CDU/CSU-Fraktion, die voraussichtlich Teil der neuen Bundesregierung sein wird, bislang für eine 1:1 Umsetzung der NIS-2-Richtlinie in deutsches Recht und hatte sich gegen den bisherigen (darüber stellenweise hinausgehenden) Entwurf zur NIS-2 Umsetzung positioniert.

Handlungsempfehlung für zukünftig von der NIS-2 betroffene Einrichtungen und Unternehmen

Angesichts der weiterhin absehbaren Gesetzesänderungen im deutschen IT-Sicherheitsrecht sollten sich Unternehmen zumindest in Bezug auf die Mindestvorgaben der NIS-2-Richtlinie frühzeitig vorbereiten. Als Ausgangspunkt dafür kann eine vom BSI bereitgestellte NIS-2-Betroffenheitsprüfung herangezogen werden, mit der vorgeprüft werden kann, ob das eigene Unternehmen in den Anwendungsbereich der Richtlinie fällt und welche Pflichten es zukünftig beachten muss. Durch die verspätete Umsetzung in Deutschland bleibt jetzt aber insgesamt noch etwas Zeit für damit verbundene unternehmensinterne Anpassungen.

BLOMSTEIN wird die weiteren Entwicklungen bei der NIS-2-Umsetzung aufmerksam verfolgen. Wenden Sie sich bei Fragen zum Umgang mit den Entwicklungen im deutschen IT-Sicherheitsrecht jederzeit gerne an Christopher Wolters, Leonard von Rummel und Moritz Schuchert.

Weitere Neuigkeiten

EU – US Trade War

US Tariffs Spark EU Countermeasures – What Businesses Need to Know

Forced Labour Ban