NIS2UmsuCG/IT-Sicherheitsgesetz » Das bedeutet es für dein Unternehmen

Min. Lesezeit
In einer zunehmend digitalisierten Welt ist die Cybersicherheit zu einem zentralen Anliegen für Unternehmen aller Branchen geworden. Besonders im E-Commerce, wo täglich große Mengen sensibler Daten verarbeitet werden, sind robuste Sicherheitsmaßnahmen unerlässlich. Mit der Einführung der NIS2-Richtlinie, deren Umsetzung in deutsches Recht in Form des NIS2UmsuCG sowie das IT-Sicherheitsgesetz, welches den Grundgedanken flankiert, stehen Unternehmen nun vor neuen Herausforderungen und Anforderungen. 

In diesem Ratgeber erfährst du, welche konkreten Maßnahmen und Anpassungen erforderlich sind, um den neuen gesetzlichen Vorgaben gerecht zu werden und wie du dein Unternehmen optimal auf die verschärften Sicherheitsanforderungen vorbereiten kannst.

Entwicklung, Ziel, Inhalte

Die NIS2-Richtlinie und das IT-Sicherheitsgesetz wurden entwickelt, um die Cybersicherheit innerhalb der EU zu verbessern. Ziel ist es, die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberbedrohungen zu stärken und ein hohes Sicherheitsniveau in der digitalen Welt zu gewährleisten. Die NIS2-Richtlinie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie und umfasst mehr Sektoren, darunter Gesundheitswesen und digitale Infrastrukturen. 

tip
Bedeutung NIS

NIS steht für "Network and Information Systems" (Netz- und Informationssysteme). Die NIS-Richtlinie, beziehungsweise NIS-2-Richtlinie, bezieht sich somit auf die Sicherheit von Netz- und Informationssystemen.


Weil die NIS2-Richtlinie anders als eine europäische Verordnung nicht direkt gilt, muss sie in deutsches Recht umgewandelt werden. Das passiert gerade durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG), welches sich im Gesetzgebungsverfahren befindet. Es betrifft eine größere Anzahl von Unternehmen und schließt nun auch digitale Dienste wie Online-Marktplätze und Suchmaschinen ein. Die Umsetzung des NIS2UmsuCG in Deutschland erfordert von betroffenen Unternehmen strengere Sicherheitsmaßnahmen, regelmäßige Risikobewertungen und eine erhöhte Meldepflicht bei Sicherheitsvorfällen. Aufgrund des noch laufenden Gesetzgebungsverfahrens muss die finale Ausgestaltung des NIS-2-Umsetzungsgesetzes abgewartet werden, bevor finale Aussagen zum Anwendungsbereich und zu den konkreten Unternehmenspflichten möglich sind. 

Das IT-Sicherheitsgesetz (IT-SiG) hingegen wurde erstmals im Juli 2015 in Deutschland eingeführt, um die Cybersicherheit zu stärken und kritische Infrastrukturen (KRITIS) besser zu schützen. Es wurde 2021 durch das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) erweitert, um auf die zunehmenden Bedrohungen durch Cyberangriffe zu reagieren und die Sicherheitsstandards weiter zu erhöhen. Das Hauptziel des IT-Sicherheitsgesetzes ist es, die IT-Sicherheit in Deutschland zu verbessern und kritische Infrastrukturen vor Cyberbedrohungen zu schützen. Dies umfasst den Schutz von Einrichtungen und Diensten, die für das Funktionieren der Gesellschaft und der Wirtschaft essenziell sind, wie z.B. Energieversorgung, Wasserversorgung, Gesundheitswesen und Telekommunikation.

Die NIS2-Richtlinie legt in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) folgende erforderliche Maßnahmen fest, die Unternehmen ergreifen müssen, um Sicherheitsvorfälle wie Hackerangriffe zu verhindern:

Risikomanagement und Sicherheitsmaßnahmen

  1. Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu bewältigen.
  2. Dies umfasst Maßnahmen zur Verhinderung und Abwehr von Cyberangriffen sowie zur Erkennung und Behebung von Sicherheitsvorfällen.

Meldepflichten

  1. Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich an die zuständige nationale Behörde zu melden.
  2. Die Meldung muss Informationen über den Vorfall, die betroffenen Systeme und die ergriffenen Maßnahmen enthalten.

Sicherheitsaudits und Prüfungen

  1. Regelmäßige Sicherheitsüberprüfungen und Audits sind erforderlich, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten.
  2. Unternehmen müssen auf Anfrage der zuständigen Behörden Berichte und Nachweise über ihre Sicherheitsmaßnahmen vorlegen.

Sicherheitsrichtlinien und -verfahren

  1. Unternehmen müssen interne Sicherheitsrichtlinien und -verfahren entwickeln und umsetzen, die den Anforderungen der NIS2-Richtlinie entsprechen.
  2. Dies umfasst Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter im Bereich Cybersicherheit.

Krisenmanagement und Notfallpläne

  1. Unternehmen müssen Pläne für das Krisenmanagement und die Bewältigung von Notfällen im Bereich der Cybersicherheit erstellen.
  2. Diese Pläne sollen sicherstellen, dass im Falle eines Sicherheitsvorfalls schnelle und effektive Maßnahmen ergriffen werden können.

Zusammenarbeit und Informationsaustausch

  1. Unternehmen müssen mit den zuständigen nationalen Behörden und anderen relevanten Akteuren zusammenarbeiten und Informationen über Sicherheitsvorfälle und Bedrohungen austauschen.
  2. Dies fördert die gemeinsame Abwehr von Cyberangriffen und die Verbesserung der allgemeinen Sicherheitslage.

Rechenschaftspflicht und Sanktionen

  1. Unternehmen müssen die Einhaltung der gesetzlichen Anforderungen nachweisen und sind gegenüber den zuständigen Behörden rechenschaftspflichtig.
  2. Bei Verstößen gegen die Sicherheitsanforderungen können Bußgelder und andere Sanktionen verhängt werden.

Diese Maßnahmen sollen dazu beitragen, die Resilienz von Netz- und Informationssystemen zu erhöhen und die Cybersicherheit in der gesamten EU zu stärken.


Datenschutz-Paket Pro

bei jährliche Zahlweise für 290,90 Euro* mtl.

  1. Externer Datenschutzbeauftragter
  2. Anwaltliches Beratungsgespräch
  3. Rechtssichere Datenschutzdokumente
  4. Persönliche Datenschutzschulung
Mit einem Experten sprechen

* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.

Im Falle eines Sicherheitsvorfalls sehen Richtlinie und Umsetzungsgesetz ein dreistufiges Meldesystem vor, das sicherstellt, dass Vorfälle zeitnah gemeldet werden, um angemessen darauf reagieren zu können.

Meldepflichten anhand eines dreistufigen Meldungssystems

Im Falle eines Sicherheitsvorfalls gelten folgende Meldepflichten:

  1. Erstmeldung unverzüglich, spätesten innerhalb von 24 Stunden nach Kenntniserlangung des Vorfalls,

  2. Detailmeldung (erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen innerhalb), unverzüglich, spätestens innerhalb von 72 Stunden,

  3. Abschlussmeldung spätestens einen Monat nach der Bestätigungs- und/oder Aktualisierungsmeldung.

Unternehmen im E-Commerce müssen diese Vorgaben einhalten, um Datenverluste und Cyberangriffe zu verhindern. In Deutschland sind etwa 30.000 Unternehmen von den neuen Regelungen betroffen.


Bin ich betroffen?

Das NIS-2UmsuCG und das IT-Sicherheitsgesetz gelten hauptsächlich für Betreiber kritischer Infrastrukturen (z. B. Stromversorger, siehe KRITIS-Dachgesetz), wesentliche und wichtige Einrichtungen sowie digitale Dienste wie Online-Marktplätze, Suchmaschinen und Cloud-Dienste.

Außerdem gilt NIS 2 für Unternehmen mit einer Größe von 50 bis 249 Beschäftigten und zehn bis 50 Millionen Euro Jahresumsatz oder bis zu 43 Millionen Euro Jahresbilanzsumme. Für bestimmte Sektoren ist die Unternehmensgröße allerdings irrelevant: So soll NIS 2 ihre Wirkung unabhängig von der Größe gegenüber Unternehmen von besonderer Bedeutung entfalten (z. B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen).

 

  • 2016

    NIS1-Richtlinie (EU 2016/1148)

    1. Verabschiedung: Juli 2016
    2. Inkrafttreten: August 2016
    3. Umsetzungsfrist: Mitgliedstaaten hatten bis Mai 2018 Zeit, die Richtlinie in nationales Recht umzusetzen.
  • 2017

    IT-Sicherheitsgesetz 1.0 (Deutschland)

    1. Inkrafttreten: Juli 2015 (erste Version)
    2. Umsetzungsfrist: Bis 2017 mussten betroffene Unternehmen erste Anforderungen erfüllen, wie z.B. die Meldung von Sicherheitsvorfällen.
  • 2023

    NIS2-Richtlinie (EU 2022/2555)

    1. Inkrafttreten: Januar 2023
    2. Umsetzungsfrist: Die Mitgliedstaaten haben bis 17. Oktober 2024 Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen.
  • 2023

    IT-Sicherheitsgesetz 2.0 (Deutschland)

    1. Inkrafttreten: Mai 2021
    2. Umsetzungsfrist: Unternehmen hatten bis 2023 Zeit, die neuen Anforderungen zu erfüllen, darunter erweiterte Meldepflichten und stärkere Schutzmaßnahmen.
  • 2024

    NIS2-Richtlinie (EU 2022/2555)

    1. Umsetzungsfrist für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) läuft am 17. Oktober 2024 ab.

 

Entwicklung: Wo liegen die Unterschiede zwischen NIS1- und NIS2-Richtlinie?

Die erste Version beschränkte sich noch auf bestimmte kritische Sektoren wie Energie oder Transport. Nun wurde der Geltungsbereich auf andere Sektoren erweitert, einschließlich öffentlicher Verwaltung, Abfallwirtschaft, Lebensmittelproduktion, chemische Industrie, und digitale Dienste wie Online-Marktplätze, Suchmaschinen und soziale Netzwerke.

Die NIS-2 legt strengere und detailliertere Sicherheitsanforderungen fest, einschließlich Risikomanagement und Lieferkettensicherheit. Meldepflichten für Sicherheitsvorfälle sind präziser, mit einer 24-Stunden-Frist zur Erstmeldung und detaillierter Nachberichterstattung innerhalb von 72 Stunden. Die Aufsicht und Durchsetzung werden verschärft, mit regelmäßigen Audits und erheblichen Sanktionen. Zudem betont die NIS-2 die Verantwortung der Geschäftsführung für Cybersicherheit sowie die Schulung der Mitarbeiter.


Bezug zum Online-Handel

Die NIS-2-Richtlinie und das IT-Sicherheitsgesetz haben auch Auswirkungen auf Online-Händler. Durch die Erweiterung des Geltungsbereichs auf digitale Dienste wie Online-Marktplätze und Plattformen sind nun auch kleinere Online-Händler verpflichtet, strengere Sicherheitsmaßnahmen umzusetzen und Sicherheitsvorfälle zu melden. Beispielsweise kann es Auswirkungen auf die Nutzung eines Seller-Accounts bei Amazon geben.

Einige Unternehmen im Online-Handel könnten auch als Betreiber kritischer digitaler Infrastrukturen eingestuft werden, wenn sie beispielsweise Dienste im Gesundheitswesen anbieten.

Der Umgang mit sensiblen Daten wird hierbei besonders wichtig, da die Anforderungen der DSGVO weiterhin gelten. Online-Händler müssen daher generell sicherstellen, dass Kundendaten geschützt sind und Cybersicherheitsstrategien implementiert werden. Dies umfasst auch die Verlinkung von Sicherheitsleistungen und -produkten, um die gesetzlichen Anforderungen zu erfüllen und das Vertrauen der Kunden zu stärken.

Das könnte dich auch interessieren

  1. SecureCommerce: Schutz vor Cyberbedrohungen
  2. Hilfe mit der DSGVO inkl. Checkliste
  3. ePrivacy-Verordnung (ePV) » Schutz personenbezogener Daten
  4. Löschung personen­bezogener Daten » Löschkonzept DSGVO
  5. Personen­bezogene Daten – Wichtige Regelungen im Datenschutz
  6. Digital Markets Act: Gesetz über digitale Dienste & Märkte
Kommentare
Lass uns gern einen Kommentar da
hb-iconset-hb-logo
Alles für Online-Händler

Du willst im E-Commerce Erfolge feiern? Mit unseren Lösungen unterstützen wir dich als Online-Händler bei den täglichen Herausforderungen des E-Commerce.

E-Commerce-Lösungen entdecken
hb-iconset-rechtsberatung
Rechtsberatung vom Profi

Du hast rechtliche Fragen? Wir beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen dir bei rechtlichen Fragen gern zur Seite.

Zur Rechtsberatung
hb-iconset-video-audio-1
Mehr Tipps gibt es auf YouTube

Der Händlerbund YouTube-Kanal hält noch viele weitere Informationen und Tipps bereit, um das Thema Online-Handel erfolgreich und rechtssicher zu gestalten.

Praxistipps entdecken