Clever Blog

Was bringt das NIS2UmsuCG für deutsche Unternehmen mit sich? NIS steht für Network and Information Security. Demnach befasst sich das Regelwerk mit der Informations- und Cybersicherheit in Unternehmen. Das Ziel der NIS-2-Richtlinie ist es, Gefahren für KRITIS zu erkennen, geeignete Maßnahmen zur Abwehr zu etablieren und Notfallpläne zu entwickeln, die im Falle eines Angriffs ausgeführt werden. Die Richtlinie enthält verschiedene Pflichten sowie Vorgaben, die auch oder insbesondere die Kommunikation betreffen. Im Vergleich zu ihrem Vorgänger schließt sie deutlich mehr Unternehmen ein. Auch die Bußgelder, die bei Verstößen drohen, werden ausgeweitet: Sie können – abhängig von der Einstufung des betroffenen Unternehmens als „besonders wichtige Einrichtung“ oder "wichtige Einrichtung“ – bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes des betreffenden Unternehmens betragen. 

Insgesamt 18 Sektoren fallen in den Geltungsbereich der NIS-2 und zählen somit zu den im Gesetz genannten „wichtigen“ und „besonders wichtigen Einrichtungen“. Unternehmen aus diesen Bereichen mit mindestens 50 Beschäftigten oder einem Mindestjahresumsatz von 10 Millionen Euro müssen den Vorschriften folgen. Im Vergleich zur ersten Cybersecurity-Richtlinie, die sich zum Beispiel auf die Energieversorgung, das Gesundheitswesen und den Transport konzentrierte, gilt die NIS-2 für weitere Unternehmen aus den verschiedensten Branchen. Innerhalb der Bereiche gibt es bestimmte Unternehmen und Einrichtungen, die die infolge der EU-Richtlinie erlassenen Gesetze befolgen müssen. Schätzungen zufolge sind es etwa 30.000, was die Wahrscheinlichkeit deutlich erhöht, zu denjenigen zu gehören, die nun handeln müssen. 

NIS-2: Pflichten 

Das Bundesamt für Sicherheit in der Informationstechnik (BIS) bietet eine NIS-2 Betroffenheitsprüfung, mit deren Hilfe bestimmt werden kann, ob die eigene Organisation unter die Richtlinie fällt. Die Prüfung ist speziell vor dem Hintergrund sinnvoll, dass die NIS-2 eine Registrierungspflicht beinhaltet. Betroffene Unternehmen können also nicht warten, bis sie zur Tätigkeit aufgefordert werden, sondern müssen proaktiv auf das BSI zugehen und sich registrieren. 

Weitere Pflichten sind Meldepflichten, Unterrichtungspflichten sowie Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleiter. Die Meldepflicht besagt, dass Sicherheitsvorfälle innerhalb von 24 Stunden an die Aufsichtsbehörde kommuniziert werden müssen und innerhalb von 72 Stunden eine Bewertung des Vorfalls vorliegen muss. Ein Abschlussbericht muss innerhalb eines Monats erstellt werden. 

Die Unterrichtungspflicht besagt, dass wichtige und besonders wichtige Einrichtungen dazu verpflichtet werden können, „die Empfänger ihrer Dienste unverzüglich über diesen erheblichen Sicherheitsvorfall zu unterrichten“. 

NIS-2 nimmt zudem Führungskräfte deutlich mehr in die Pflicht als es bisher der Fall war. Diese sind verantwortlich für die Umsetzung der Maßnahmen und deren Überwachung. Darüber müssen sie regelmäßig an Schulungen teilnehmen, um jederzeit über aktuelle Risiken und passende Gegenmaßnahmen informiert zu sein. 

Maßnahmen, die nach NIS-2 umzusetzen sind

Der Gesetzesentwurf zur NIS-2-Richtlinie sieht Schutzmaßnahmen gegen Cyberangriffe vor. Die hierbei eingesetzten Systeme müssen dabei dem Stand der Technik entsprechen. Hintergrund ist, dass viele ältere Produkte den sich immer weiterentwickelnden Bedrohungen nicht mehr gewachsen und somit nicht NIS-2-konform sind. So werden sie zum Einfallstor für Kriminelle, die von dort aus etwa sensible Daten erbeuten oder die Produktionen sabotieren können. Deshalb sollten Einrichtungen, die in den Geltungsbereich des Gesetzes fallen, darauf achten, technologisch up to date zu bleiben. Neben optimierten Prozessen und mehr Bedienkomfort profitieren sie zusätzlich durch die modernen Sicherheitsfunktionen, die die entsprechenden Lösungen bieten. 

Das gilt auch für Kommunikationssysteme. Auerswald setzt seit jeher auf zuverlässige Produkte Made in Germany und entwickelt und produziert ausschließlich in Deutschland. So ist ein hoher Qualitätsstandard gesichert. Auch mit Blick auf die Cybersicherheit bieten unsere Lösungen das höchstmögliche Niveau. 

So sind die neuen COMtrexx-Systeme jeweils mit einem Sicherheitstool gegen Brute-Force-Angriffe ausgestattet. Das Tool schützt sehr effektiv vor Einbrüchen auf die Soft-PBX-Plattform, indem es Angreifer identifiziert Angreifer und sie blockiert. 

Auch die All-In-ONE Telefonanlage aus der Cloud von Auerswald, COMuniq ONE, bietet den technologisch neuesten Stand. Cloudlösungen, auf die von überall aus zugegriffen werden kann, unterstützen hybride Arbeitsmodelle und erleichtern das Aufrechterhalten der Business Continuity. Die gewonnene Flexibilität birgt jedoch auch Gefahren, sodass führende Systeme über besonders hohe Schutzstandards verfügen. So auch COMuniq ONE, die sowohl einen Schutz vor Brute-Force-Angriffen als auch eine Mehr-Faktor-Authentifizierung bietet. 

Wer zögert, riskiert empfindliche Strafen 

Mit der Umsetzung der NIS-2-Richtlinie der Europäischen Union in nationales Recht gilt es, die praktische Umsetzung der Pflichten und Maßnahmen in Angriff zu nehmen. Die Investition in neue technologische Lösungen mag gerade für KMU zunächst einen großen Aufwand bedeuten. Doch mit der neuen Richtlinie gehören viele von ihnen zu den betroffenen Einrichtungen und sind damit bei Nichtbeachtung von hohen Strafzahlungen bedroht, die die Kosten für sichere Technologien weit übersteigen. Es lohnt sich also, die Umsetzung der NIS-2 in Angriff zu nehmen. 

Im Kurz-Interview beantwortet Oliver Martin, Director of Development & IT und Experte für Cybersicherheit bei Auerswald drei grundlegende Fragen rund um NIS-2.:

Frage: Was ist die NIS-2-Richtlinie? 

Oliver Martin: Die NIS-2-Richtlinie dient der Aufrechterhaltung der IT-Sicherheit in Europa. Sie ist die Weiterentwicklung der ersten NIS, die 2016 eingeführt wurde und die in Deutschland in das IT-Sicherheitsgesetz geflossen ist. Die jetzige Richtlinie stellt sozusagen die nächste Stufe dar, und die Zahl der von ihr betroffenen Einrichtungen ist deutlich größer. Ebenso sind die geforderten Maßnahmen schärfer und die möglichen Bußgelder höher. Dabei geht es nicht nur um die Summen, sondern zum Beispiel auch darum, dass die Verantwortlichen auf der Managementebene persönlich haftbar gemacht werden können, sollte ihnen ein Verstoß nachgewiesen werden. Das alles entspricht dem Bedrohungsszenario, das in den letzten Jahren ebenfalls stark gewachsen ist. 

Wie sieht die Umsetzung aus? 

Oliver Martin: Bei Cybersecurity denkt man im ersten Moment natürlich an die IT, die bedroht wird. Jedoch müssen Unternehmen und Einrichtungen den Sicherheitsaspekt ganzheitlich betrachten. Speziell der Faktor Mensch, aber auch die physische Umgebung, in der eine IT-Infrastruktur betrieben wird, müssen beachtet werden. Einfach ausgedrückt hilft mir die beste Firewall nicht, wenn der Raum, in dem ein PC steht, nicht abgeschlossen und der PC nicht gesperrt ist. 

Es gilt also, die Aufmerksamkeit aller Beschäftigten und übrigens auch zum Beispiel Zulieferern für das Thema zu schärfen. 

Darüber hinaus müssen Prozesse auf ihre Sicherheit hin überprüft und gegebenenfalls angepasst werden. Um den Melde- und Unterrichtungspflichten nachzukommen, müssen entsprechende Abläufe etabliert werden und es bedarf fester Aufgaben- und Rollenzuweisungen. 

Bei all dem gibt es keine allgemeinen Übergangsfristen: Die Pflichten, wie Risikomanagement, Meldeprozesse, Schulung der Geschäftsleitung oder die  Registrierung beim BSI gelten seit dem 06.12.2025.

Was ist mit Blick auf den „Stand der Technik“ zu beachten? 

Oliver Martin: Der Ausdruck besagt, dass die Umsetzung des angekündigten Gesetzes niemals vollständig beendet sein wird, da sich der „Stand der Technik“ stetig weiterentwickelt. Daher sollten sich die Betroffenen so aufstellen, dass sie flexibel auf künftige Neuerungen reagieren können. Denn auch Kriminelle setzen auf modernste Technologien, um ihre Ziele zu erreichen, wie sich aktuell am Beispiel KI zeigt. Wir bei Auerswald wissen um diese Gefahren und entwickeln unsere Produkte dementsprechend. Gerade die Kommunikationskanäle eines Unternehmens können gefährdet sein, da sie sowohl Zugriffe von außen als auch von innen ermöglichen. Unternehmen und Einrichtungen, die bisher noch auf ältere Kommunikationslösungen setzen, sollten daher deren NIS-2-Konformität prüfen, um keine bösen Überraschungen zu erleben.