IT-Sicherheitsrecht: Neue Pflichten zum Jahresende

Die Umsetzung der NIS2-Richtlinie nimmt wieder Fahrt auf: Noch vor der Sommerpause kommt der Regierungsentwurf, im Herbst dann das parlamentarische Verfahren. Zum Ende des Jahres soll das Umsetzungsgesetz in Kraft treten.

Die NIS2-Richtlinie bringt umfassende Pflichten für ein angemessenes Risikomanagement in den Unternehmen, u.a. ist ein Informationsmanagementsystem zu etablieren und die Sicherheit in der Lieferkette zu gewährleisten. Unternehmen müssen evaluieren, wie es um ihre IT-Sicherheit steht, die Risiken identifizieren und Abhilfemaßnahmen bestimmen.

Adressiert werden rund 30.000 Unternehmen – bisher waren nur rund 3.000 Betreiber von KRITIS-Anlagen (Anlagen der kritischen Infrastruktur) von den allgemeinen Vorschriften zur IT-Sicherheit erfasst. Die Zahl verzehnfacht sich. Adressiert werden auch etliche Unternehmen, die dies auf den ersten Blick vermutlich nicht denken – Mittelständler im Bereich Maschinenbau, Fahrzeughersteller inklusive Fahrradherstellern und etliche Unternehmen aus dem herstellenden Gewerbe. Eine Betroffenheitsanalyse macht hier stets Sinn, erste Checklisten bietet das Bundesamt für die Sicherheit in der Informationstechnik (BSI) unter folgendem Link.

Bei alledem sind die Leistungsorgane am Steuer, Cybersecurity ist Chefsache: Das Gesetz verpflichtet die Leitungsebene, die IT-Sicherheit „umzusetzen und zu überwachen“. Dafür müssen sie die notwendigen Kenntnisse nachweislich erwerben, damit sie Risiken erkennen und einschätzen und die passenden Risikomanagementmaßnahmen implementieren können. Selbstverständlich geschieht das stets im Team, mit IT und Informationssicherheit.

Aber: Rund 300.000 Leitungspersonen sind in Deutschland laut Gesetzesbegründung zu schulen, regelmäßig, also mindestens alle 3 Jahre. Voraussichtlich ab Januar 2026 muss die Schulungsteilnahme auch nachgewiesen werden. Ein angepasstes Schulungsprogramm, kompakt und spezifisch auf das nach dem neuen Gesetz notwendigen Wissen fokussiert bieten wir Ihnen in der Bitkom Akademie an: Der nächste Termin wird der 24. November 2025 in Berlin sein, weitere Informationen finden Sie hier: Exklusivseminar Cyber-Vorstand

Ihre Referenten