Wie sieht es eigentlich mit Umsetzung der NIS-2-Richtlinie der Europäischen Union in Deutschland aus? Eigentlich hätte die bis Oktober 2024 umgesetzt werden müssen. Nachfolgend eine kurzer Überblick über den Status des Vorhabens und einige Einschätzung des neuesten Referentenentwurfs des zuständigen Ministeriums.
Was steckt hinter NIS-2?
Die NIS-2-Richtlinie (NIS steht für Network and Information Security) der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber Kritischer Infrastrukturen fest.
Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Was ist der aktuell Stand in Deutschland?
Die EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit (NIS-2), wurde bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.
NIS-2 trat bereits am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU hätten NIS-2 bis Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland erfolgt die Umsetzung durch das NIS-2UmsuCG.
Daher hätten von dieser Richtlinie betroffene Unternehmen die Maßnahmen bis Oktober 2024 umsetzen müssen. IT-Verantwortliche waren aufgefordert zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Links am Artikelende). Nachfolgende Folie zum Geltungsbereich stammt auch dem Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden.
Wer fällt unter NIS-2? Quelle: DV-Kontor, zum Vergrößern klicken
Problem bei NIS-2: Die Umsetzung durch das NIS-2UmsuCG ist durch den Bruch der vorherigen Regierungskoalition niemals von Bundestag und Bundesrat für Deutschland als Gesetz verabschiedet worden.
Die EU-Kommission hat, gemäß dieser Mitteilung, bereits Ende November 2024 ein Vertragsverletzungsverfahren gegen Deutschland und weitere 22 Mitgliedstaaten wegen fehlender Umsetzung der NIS-2-Richtlinie eingeleitet. Zum 7. Mai 2025 hat die EU-Kommission die zweite Stufe dieses Vertragsverletzungsverfahrens eingeleitet. Als betroffener Staat hat Deutschland zwei Monate Zeit, NIS-2 vollständig gesetzlich umzusetzen und dies der Kommission zu melden. Die EU-Kommission wird Deutschland andernfalls wegen Nichtumsetzung vor dem Europäischen Gerichtshof verklagen. Für Deutschland könnte es teuer werden, wenn eine Vertragsverletzungsstrafe verhängt wird.
Rheinland-Pfalz hat bereits am 8. Oktober 2024 eine Verwaltungsvorschrift zur Umsetzung der NIS-2-Richtlinie in der Landesverwaltung beschlossen, wie man hier mitteilte. Sie gilt für Einrichtungen der öffentlichen Verwaltung in Rheinland‑Pfalz, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte.
Neuer NIS-2 Referentenentwurf bekannt geworden
Die derzeitige Bundesregierung befindet sich in einer Gesetzesvorbereitung, um NIS-2 in nationales Recht umzusetzen. Die Tage wurde der aktuelle Referentenentwurf des BMI von Ende Juni 2025 bekannt. Die AG KRITIS hat sich hier zum aktuellen Referentenentwurf geäußert. Ich habe die 200 Seiten nicht durchgeackert – aber es gibt Medien, die das getan haben.
Prof. Dr. Dennis-Kenji Kipker weist in obigem Tweet auf seine Auswertung des Referentenentwurfs hin, die bei it-daily.de erschienen ist. Spannender fand ich aber den Artikel von heise mit einer Differenzanalyse zum vorherigen Entwurf. Kernpunkte in Kompaktform:
- Der Geltungsbereich wurde reduziert, so dass Unternehmen mit nur unwesentlichem Geschäftsanteil im KRITIS-Bereich nicht unter die NIS-2-Richtlinie fallen.
- Anhörungsrechte wurden reduziert, so dass Wissenschaft, KRITIS-Betreiber und ihre Verbände nicht mehr zu bestimmten Aspekten angehört werden müssen.
- Die Meldung eines wichtigen Sicherheitsvorfalls wird neu geregelt, eine bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime
der NIS-2-Richtlinie ersetzt. - BSI (Bundesamt für Sicherheit in der Informationstechnik) und BnetzA (Bundesnetzagentur) müssen nun zusammen arbeiten. Der IT-Grundschutz des BSI erhält Gesetzesrang.
Die Details lassen sich dem heise-Beitrag entnehmen. Die nächsten Schritte nach der Abstimmung des Referentenentwurfs dürften in einem Kabinettsbeschluss und der darauf folgenden Einleitung der Abstimmung im deutschen Bundestage und anschließend im Bundesrat bestehen. Wann das NIS-2UmsuCG im Bundesanzeiger als Gesetz veröffentlicht wird, ist m.W. bisher offen.
Ähnliche Artikel:
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Praxisleitfaden zur NIS-2-Umsetzung
BSI will Unternehmen bei NIS-2 unterstützen
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
MVP: 2013 – 2016
Der Entwurf ist 'unverstehbar', Kommentar (1) spricht Bände.
Wo sind eigentlich hier die ständigen Mahner mit ihrem 'wir müssen Demokratie und Rechtsstaatlichkeit schützen', wenn es um kafkaeske Gesetzesmaterien geht, die vermutlich nur von einem Bruchteil der abstimmenden Parlamentarier auch nur ansatzweise verstanden werden?
–
(1) https://www.heise.de/forum/heise-online/Kommentare/NIS2-Aktueller-Referentenentwurf-geleakt/NIS2-ich-weiss-das-ich-nichts-weiss/posting-45282191/show/
Zitat:
"Der IT-Grundschutz des BSI erhält Gesetzesrang."
—
Schön und gut, aber dieses IT-Grundschutz-Kompendium des BSI ist mit 858 sehr lang und trotzdem recht allgemein formuliert.
Eine der wichtigsten Schutzfunktionen wird nur in einem einzigen Satz erwähnt (Seite 496):
"AppLocker SOLLTE aktiviert und möglichst strikt konfiguriert sein."
Wie genau man das aber macht und worauf man dabei achten muss wird nicht erwähnt.
Hier wäre eine Anleitung wesentlich wertvoller gewesen, denn es ist nicht trivial.
– Man muss sicherstellen, dass der Dienst Anwendungsintegrität überhaupt läuft
– Im Windows-Ordner haben Standardbenutzer in manchen Unterordnern Schreibberechtigung. Diese Ordner muss man im Applocker extra sperren. Siehe Liste weiter unten…
– Mock Ordner mit Betriebssystemnamen plus Leerzeichen müssen verhindert werden ("Windows ", "Program Files ", "Program Files (x86) ".
Deswegen Schreibrechte auf C: generell sperren.
– Wechseldatenträger (%HOT%, %REMOVABLE%) sollten extra gesperrt werden.
– Temp-Ordner und Desktop sollten extra gesperrt werden.
Nichts davon hat das BSI in seinem Kompendium auch nur mal ansatzweise erwähnt.
Dafür aber 858 Seiten recht allgemeines Geschwafel.
Zusätzlich gibt es noch 111 PDF Dateien und dazugehörige 111 Checklisten vom BSI mit detaillierten Beschreibungen zu einzelnen Themen.
Beispiel:
"OPS.1.1.4 Schutz vor Schadprogrammen.pdf.clean.pdf"
Darin wird der Applocker aber mit keinem einzigen Wort erwähnt.
Da klafft eine riesige Lücke beim "Bundesamt für Sicherheit in der Informationstechnik".
Im Januar hatte ich mal eine Anleitung zu Applocker geschrieben (Einstiegspunkt und Folgebeiträge):
borncity. com/blog/2025/01/13/billig-aliexpress-china-rj45-adapter-mit-sypware-oder-treiber-installer/#comment-205309
Würde man das überall so einrichten, dann hätte Ransomware etc auf normalem Weg keine Chance mehr.
Die Schädlinge müssten dann dateilos im RAM arbeiten und über ungefixte Sicherheitslücken ins System kommen.
P.S.
Die Liste der Windows-Unterordner, in denen ein Standardbenutzer sowohl Schreibrechte als auch Ausführungsrechte hat, wenn man sie nicht mit Applocker ausdrücklich sperrt (gilt für "Windows 10 IoT LTSC 2021"):
C:\Windows\debug\WIA\
C:\Windows\Registration\CRMLog\
C:\Windows\System32\FxsTmp\
C:\Windows\System32\spool\drivers\color\
C:\Windows\System32\spool\PRINTERS\
C:\Windows\System32\spool\SERVERS
C:\Windows\System32\Com\dmp
C:\Windows\System32\Tasks
C:\Windows\SysWOW64\FxsTmp\
C:\Windows\SysWOW64\Com\dmp
C:\Windows\SysWOW64\Tasks
C:\Windows\Tasks\
C:\Windows\tracing\
>>> "Der IT-Grundschutz des BSI erhält Gesetzesrang."
Dieser Anstrich ist ein wenig Clickbait. Der Heise-Artikel klärt auf:
Die Gesetzesbegründung zu § 44 (Vorgaben des Bundesamtes) Absatz 1 wurde geändert. Bislang erhielt der IT-Grundschutz lediglich für die Bundesministerien und das Bundeskanzleramt mittelbaren Gesetzesrang. Nun gilt das für alle Einrichtungen der Bundesverwaltung.
Der "IT-Grundschutz des BSI" rennt der Realität Monate wenn nicht Jahre hinterher und müsste theoretisch nach jedem einzelnen Windows Update zeitnah neu angepasst werden.
In der Praxis (ausser für Leute, die stur einmal im Jahr o.ä. irgendwelche Haken in irgendwelche Listen machen und sich dann sicher fühlen) im Grunde sinnfrei, leider.
Danke für den Input. Was mich jetzt ein bisschen verwirrt ist das folgende Zitat aus dem Heise-Artikel zu den Änderungen:
"Die Gesetzesbegründung zu § 44 (Vorgaben des Bundesamtes) Absatz 1 wurde geändert. Bislang erhielt der IT-Grundschutz lediglich für die Bundesministerien und das Bundeskanzleramt mittelbaren Gesetzesrang. Nun gilt das für alle Einrichtungen der Bundesverwaltung."
So wie ich verstehe hat diese Anpassung nur auf Ebene der Bundesverwaltung eine Auswirkungen. Bei privaten Unternehmungen dürfte der IT-Grundschutz hingegen keinem Gesetzesrang haben oder wurde dies an anderer Stelle festgelegt?
> "AppLocker SOLLTE aktiviert und möglichst strikt konfiguriert sein."
Wo finde ich diesen in meinem Debian GNU/Linux?
Und die ganzen aufgezählten Verzeichnisse?
Frage für einen Freund :-P
Bitte einsteigen per:
– https://www.debian.org/doc/manuals/debian-handbook/sect.selinux.en.html
– https://www.debian.org/doc/manuals/debian-handbook/sect.apparmor.en.html
Gerne geschehen.
"Wie genau man das aber macht und worauf man dabei achten muss wird nicht erwähnt."
Das ist auch das große Problem bei solchen Sachen, aus meiner Sicht auch bei regulären Gesetzen. Für Standardfälle gibt es halt keine Blaupause, obwohl das total Sinn machen würde.
Teil dieser Richtlinien müsste auch ein riesiger aktueller Katalog von Einstellungen sein, was man wie in welcher Software einstell(en sollte). Das sind halt Sachen, die dann zehntausende bzw. eigentlich Millionen von Kommunen/Landkreisen/Firmen/Personen machen könnten. Einfach weil es eine Anleitung gibt, die dann in gerade bei einigen diesen Akteuren intern auch geben sollte.
Jede von diesen Akteuren müsste separat intern sowas führen, aktualisieren und auch selber recherchieren…. Das vernichtet alles massiv Arbeitszeit/Geld/Wortschöpfung.
naja wie auch DSGVO gut gedacht, schlecht umgesetzt und mit dem neuen Entwurf zieht man schon im Vorfeld die Zähne bevor es überhaupt erflogreich umgesetzt wurde…
also alles so wie man es von unserer Regierung erwartet hat: unfähig in allen Punkten!
Das kommt halt dabei raus wenn die Politiker eher den Lobbygeldköfferchen verpflichtet sind als ihrem Souverän!
Ich weis bis heute nicht ob ich mit meiner Firma darunter falle:
(ich denke nicht) aber
>= 50 Mitarbeitende oder –> 30 Angestellte also nein
>= 10 Mio. € Umstaz –> Ja
>= 10 Mio. € Jahresbilanzsummer –> Ja
Zugehörigkeit wesentliche Sektoren –> Nein
Zugehörigkeit wichtige Sektoren –> ??? verarbeitendes Gewerbe / Herstellung von Waren… da gehört ja wohl jedes Unternehmen welches Waren herstellt dann dazu…
warten wir es halt ab… vieles ist auch so umgesetzt, ohne die NIS2 Vorschrifte zu beachten.
Solange Regierungen augenscheinlich andere Ziele verfolgen als sie im Wahlkampf vorher versprechen und grosse Teile der Wähler ignorieren, ist es nur eine logische Schlussfolgerung, dass auch Dinge wie NIS-2 auf der Strecke bleiben. Die Minister legen zwar einen Amtseid ab mit u.a. "meine Kraft dem Wohle des Volkes widmen", das ist aber schwer zu sehen in diesen Tagen.
Naja wenn es danach ginge müsste die Halbe Belegschaft im Bundestag wegen Meineid im Knast sitzen! ;-P
Ich denke, die Diskussion sollte hier enden. Die Referentenentwürfe sind in Abstimmung, Deutschland steht von Seiten der EU unter Zeitdruck. Das Gesetz wird kommen.
Check so ist es,
die ein, zwei oder auch 20 Details, sind vollkommen irrelevant, wer sich mal die englische EU Fassung anschaut die wiederum von Deutschland erwartet wird, wird im besten Fall auf nationaler Ebene etwas Lockerung verspüren, aber ich erwarte nicht das maßgebliche Dinge rausfliegen, denn dann könnte die EU ja wieder meckern gegen Deutschland.
Hinzu kommt noch das quasi die vielen anderen EU Gesetze (CRA/RED/DORA/ etc…) alles zusammen mit der NIS2 am Ende: ein großes ganzes Gesamtpaket ergeben, wo die Teile aufeinander aufbauen oder sich ergänzen.
Ab hier lösche ich alle Rants, speziell von anonymen Kommentatoren, auf Gesetzgebungsverfahren oder "untätige Abgeordnete", "gebrochene Wahlversprechen", usw., da im obigen Kontext nicht relevant!
Schau mal hier:
https://www.openkritis.de/it-sicherheitsgesetz/sektor_verarbeitendes_gewerbe-industrie-produktion.html
Dort gibt es recht umfangreiche Listen, welche Produkte den einzelnen Sektoren zugeordnet werden. Hier mal Beispiel für Machinenbau:
https://www.openkritis.de/eu/eu-nis-2-nace_wirtschaft-produkte.html#c28
Naja ist halt gewissermaßen Definitionssache…
*******************
Wenn mittlere und Großunternehmen bestimmte Produkte nach NACE produzieren, werden sie zu wichtigen Einrichtungen.
*******************
den eigentlich zähle ich noch zu den Kleinunternehmen und wäre somit raus, je nach Definition gälte aber evtl. auch schon mittlere Unternehmen dann wäre ich mit NACE C27/28 evtl wieder drin… aber selbst das ist nicht klar definiert.
Wie gesagt kann mir noch keiner wirklich sicher sagen…
warten wir ab, erst muss das mal in Gesetzestücher gegossen sein…
vieles ist eh schon aus Eigeninteresse umgesetzt, die Details werden wir dann sehen, wenn die Gesetze stehen.
Selbst wenn du KEINER der NACE Gruppen angehörst, und auch weder den notwendigen Umsatz noch die notwendige Bilanzsumme oder gar die Mitarbeitergrenze erfüllst, kann die NIS2 dich dennoch hart treffen.
Warum ? und wann?
Beliefere mal einen KRITIS oder NIS2 unterliegenden Kunden :-), da wird dir schlecht, was der plötzlich von dir fordern wird, denn er hat seine Lieferkette SAUBER zu halten, samt NACHWEIS.
Dann heißt es Welcome to NIS2 über Umwege (Lieferkette)
hey luzifer,
von den Grundvoraussetzungen her, welcome to the club, wg. Umsatz UND Bilanzsumme,
sofern du jetzt noch in NACE 26-30 fällst!.
Ob du in NACE 26-30 fällst lässt sich schnell klären, entweder frag einfach mal bei deiner zuständigen IHK, unter welchem Wirtschaftszweig-Schwergewicht du geführt wirst,
oder guck bei OpenKritis nach, machst du Produkte in dem Bereich?, bist du wohl mit im Boot.
Hier findest die maßgeblichen NACE Bereiche auf NIS2 bezogen
https://www.openkritis.de/eu/eu-nis-2-nace_wirtschaft-produkte.html
Hier etwas umfangreicher, aber halt auch mit den NICHT-betroffenen Gewerbe-Arten
https://nacecode.de/c-verarbeitendes-gewerbe
Kleiner SideTipp, sofern du betroffen bist, fang besser gestern damit an, der Aufwand ist enorm,
und auch wenn noch die finalen Details unklar sind, die Grundlegenden Dinge werden sicher kommen,
Die großen wie z.B. Siemens, ABB, etc.. sind alle schon fleißig am Umstellen wg. NIS2.
Hier schon gewesen? > https://betroffenheitspruefung-nis-2.bsi.de/
Wo kein Kläger, da kein Richter. Will man ein Unternehmen platt machen, finden sich genug § und staatliche Willkür. Schmiert das Unternehmen gut / zahlt Steuern / verkehrt in den richtigen Netzwerken, kann es im Grund tun was es will – siehe z.B. VW.
Ich denke NIS2 ist ein Papiertiger und Gummigesetz wie so viele – man sollte sich da nicht verrückt machen lassen. Braucht die EU mal wieder Geld, wird halt einem Unternehmen was man auch nicht so leiden kann, irgendein NIS2 Vergehen aufs Auge gedrückt. Man sollte das ganze Thema minder rational angehen.
Der Beitrag soll den Stand umreißen. Wenn die deutsche Richtlinie als Gesetz verabschiedet wurde, lässt sich mehr sagen.