Es gibt einen neuen Referentenentwurf des KRITIS-Dachgesetzes mit vom 21.12.23.
Die neue Version beinhaltet zahlreiche Änderungen zum bisher bekannten Entwurf vom 17.07.23. Das BMI hat eine Vergleichsversion erstellt, welche die Anpassungen darstellt. Weiterlesen
Ende September hat das Innenministerium den mittlerweile dritten Entwurf des NIS2-Umsetzungsgesetzes veröffentlicht (Bearbeitungsstand 27.09.2023). Diesmal beabsichtigt als „Diskussionspapier Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland“, um den beteiligten Verbänden die Möglichkeit der Stellungnahme zu bieten. Der Entwurf weist einige Änderungen und Erleichterungen für betroffene Unternehmen auf, insbesondere hinsichtlich der Nachweispflichten. Weiterlesen
Mit der NIS2-Richtlinie und dem NIS2umsuCG wurde eine Vielzahl neuer Definitionen und Begriffsbestimmungen eingeführt. bzw. werden bereits bestehende Definitionen aus dem IT-Sicherheitsgesetz konkretisiert.
(Stand: NIS2-Diskussionspapier 27.09.2023)
Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.
Konkretisierung der NIS2-Sektoren (Stand: NIS2-Diskussionspapier 27.09.2023)
– Tabelle aktualisiert um den Anhang des 3. Entwurf des NIS2UmsuCG.
Die alleinige Nennung der 18 im NIS2UmsuCG vorhandenen Sektoren reicht nicht aus, um betroffene Dienste eindeutig zu identifizieren. Das BMI (Bundesministerium des Innern und für Heimat) wird noch eine weitere Rechtsverordnung erlassen, die festlegt, welche Anlagen bzw. Einrichtungen im Detail erfasst sind (§57 NIS2 UmsuCG). Der Annex I und II der NIS2-Richtlinie ermöglicht aber bereits einen recht genauen Ausblick auf die kommende Verordnung. Auch finden sich erste Definitionen im Referentenentwurf des Umsetzungsgesetzes.
Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.
Mit dem NIS2UmsuCG wird die deutsche Umsetzung des der NIS2-Richtlinie erfolgen. Hinsichtlich der in der NIS-2 Richtlinie genannten Sektoren ergeben sich einige wichtige Unterschiede.
Die NIS2-Richtlinie kategorisiert Unternehmen in „Essential Entities“ und „Important Entities“. Die deutsche Übersetzung zu diesen Kategorien wird „besonders Wichtig“ (§28 (6)) und „Wichtig“(§28 (7)) lauten.
Die NIS2-Richtlinie soll zu einer Harmonisierung der Cybersicherheitsregulierung in der EU führen. Dazu zählt auch eine Vereinheitlichung der Identifikation der betroffenen Unternehmen. Bei der Umsetzung der ersten NIS-Richtlinie hatten die einzelnen EU-Mitgliedsstaaten relativ viel Handlungsspielraum, bzgl. der Identifikation der zu regulierenden Unternehmen. Beispielsweise erfolgt die bisherige Identifikation in Deutschland anhand der BSI-Kritisverordung (BSI-KritisV), welche mittels Schwellenwertformeln zur Berechnung eines Versorgungsgrads betroffene Unternehmen identifiziert, andere Mitgliedsstaaten haben direkt kritische Unternehmen benannt.
WeiterlesenDie Regelungen der NIS2 und des NIS2-Umsetzungsgesetz zur Betreiberidentifikation können verwirrend sein. Zur Hilfestellung haben wir einen Fragebogen entwickelt, der anhand weniger Angaben eine schnelle Ersteinschätzung zur Betroffenheit eines Unternehmens ermöglicht.
WeiterlesenDie EU RCE-Direktive (EU 2022/2557), auch bekannt als CER-Richtlinie (Critical Entities Resilience Directive), hat das Ziel die (physische) Resilienz von Kritischen Infrastrukturen innerhalb der Europäischen Union zu regulieren. Diese Direktive tritt an die Stelle der vorherigen European Critical Infrastructures Direktive von 2008. Ihr Hauptziel ist es, die Ausfallsicherheit von Betreibern kritischer Einrichtungen, auch als Critical Entities bezeichnet, zu gewährleisten.
Übersicht: Aktueller Stand KRITIS-Dachgesetz
WeiterlesenDie NIS2-Richtlinie (EU 2022/2555) ist eine europäische Rechtsvorschrift, die Mindeststandards für die Cybersicherheit von Unternehmen in der Europäischen Union festlegt. Sie ersetzt die bestehende NIS-Richtlinie von 2016 und erweitert sowohl die Anforderungen zur Informationssicherheit, als auch die von der Regulierung betroffenen Unternehmen erheblich. Die Cybersicherheit betrifft künftig nicht mehr nur „KRITIS-Betreiber“, sondern auch zahlreiche „wichtige Unternehmen ab bereits 50 Mitarbeitern.
Die bestehende Cybersicherheitsregulierung wird komplexer. Mit der bevorstehenden Umsetzung der NIS2-Richtlinie sind kommen neue Verpflichtungen auf ca. 30.000 Unternehmen in Deutschland zu. Weiterhin führt mit dem KRITIS-Dachgesetz,die Umsetzung der CER-Richtlinie zu zusätzlichen Anforderungen bzgl. der physischen Sicherheit von Unternehmen. Zusätzlich kommt der EU-Cyber-Resilience Act und bringt Cybersecuritypflichten für Hersteller von Produkten. Als wäre das nicht genug kommt noch eine Reihe von sektorspezifischen Gesetzgebungen hinzu.
Vor diesem Hintergrund möchten wir mit dieser Seite eine Hilfestellung für potenziell betroffene Unternehmen geben. Sei es bei der Betroffenheitsprüfung (Link) oder der Vorbereitung auf die auf diese zukommenden Anforderungen. Im Fokus stehen dabei kompakt zusammengefasste Inhalte, um eine pragmatische und ressourcenschonende Vorbereitung zu ermöglichen.
Wir freuen uns über Verbesserungsvorschläge und Feedback: info[ÄT]nis2-navigator.de