Für NIS2, die Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der EU, läuft am 17. Oktober die Frist zur Umsetzung in deutsches Recht ab. Danach drohen Unternehmen, die von NIS2 betroffen sind, hohe Strafen, wenn sie den verschärften Anforderungen nicht nachkommen. Dennoch sind längst noch nicht alle betroffenen Unternehmen ausreichend vorbereitet. Für Unternehmen, die sich aufgrund der erweiterten KRITIS-NIS2-Definition noch nicht im Klaren darüber sind, ob ihr Wirtschaftszweig und somit konkret ihre Organisation überhaupt von den NIS2-Pflichten betroffen ist, hat der Bund eine kompakte und anonyme digitale Betroffenheitsprüfung zur Durchführung einer Ersteinschätzung erstellt.
(Bild: BSI)
Die NIS-2-Betroffenheitsprüfung stellt interessieren Unternehmen konkrete, am Gesetzentwurf orientierte Fragen, um ihr Unternehmen einzuordnen. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert. Wer den Fragenkatalog abgeschlossen hat, bekommt eine erste automatisierte Einschätzung, ob sein Unternehmen vom „NIS2UmsuCG“-Gesetz – dem deutschen Umsetzungsgesetzt – betroffen ist. Darin wir auch erläutert, was dieser Status bedeutet und welche Pflichten sich daraus ergeben sind.
Für circa 29.000 nach dem Gesetz “besonders wichtige” bzw. “wichtige” Einrichtungen ergeben sich durch NIS2 nämlich erstmals Registrierungs-, Nachweis- und Meldepflichten. Ab dem 18. Oktober 2024 sind betroffene Betriebe sofort verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten.
Eine wichtige Einschränkung ist zu beachten: Die Einschätzung des Betroffenheits-Checks ist lediglich eine Orientierungshilfe. Das automatisiert erstellte Ergebnis ist rechtlich nicht bindend und wird weder vom BSI oder anderen unabhängigen Stellen geprüft werden. Es besteht deshalb kein Anspruch auf Vollständigkeit und Richtigkeit der Inhalte.
Und noch etwas: Zurzeit basiert der Check noch auf dem Gesetzentwurf des NIS2UmsuCG. Das Gesetzungsverfahren läuft noch. Sobald das Umsetzungsgesetz final beschlossen und verabschiedet wurde, will das BSI die NIS-2-Betroffenheitsprüfung umgehend aktualisieren.