Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Ein NIS-2-Umsetzungsgesetz ist noch nicht erlassen, ein Termin kann heute noch nicht genannt werden. Die Umsetzung der NIS-2 Richtlinie bleibt weiterhin vordringlich.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Unternehmen sollten sich vor allem auf die NIS-2-Regulierung vorbereiten, indem sie ihre Informationssicherheit verbessern und konkrete technisch-organisatorische Maßnahmen umsetzen. Unbenommen der zu erwartenden gesetzlichen Regulierung durch die Änderungen des BSI-Gesetzes aufgrund der Umsetzung der NIS-2-Richtlinie empfiehlt das BSI auf Grund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.

Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht.

Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Ein NIS-2-Umsetzungsgesetz ist noch nicht erlassen.

Das aktuell gültige BSI-Gesetz findet sich auf Gesetze-im-Internet.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Wir bitten um Verständnis, dass das BSI vor Abschluss des Gesetzgebungsverfahrens grundsätzlich nur äußerst begrenzt Auskunft zu den möglichen Regelungen eines zukünftigen BSI-Gesetzes nach Umsetzung der europäischen NIS-2-Richtlinie der EU geben kann und auf den Abschluss des Gesetzgebungsverfahrens angewiesen ist. Eine individuelle Rechtsberatung ist dem BSI darüber hinaus nicht möglich.

Das BMI ist zuständige Behörde im laufenden Gesetzgebungsverfahren.

Von dem laufenden Gesetzgebungsverfahren abgesehen, können sich Unternehmen mit Ihren Fragen zur Cyber- und Informationssicherheit natürlich gerne an das BSI wenden.

Unternehmen sind von der Umsetzung der NIS-2-Richtlinie erfasst, wenn sie unter eine oder mehrere Einrichtungsdefinitionen der Anhänge I und II der Richtlinie fallen und zudem die durch die Richtlinie festgesetzten Größenschwellen für Mitarbeiterzahl und Umsatz erreichen oder überschreiten.

Unabhängig von ihrer Größe werden von der NIS-2-Richtlinie auch bestimmte Einrichtungen erfasst, etwa wenn die Dienste erbracht werden von:

• Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
• Vertrauensdiensteanbietern;
• Namensregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;

Darüber hinaus enthält die NIS-2-Richtlinie weitere Sonderfälle.

Ob Sie als Betreiber einer kritischen Anlage gelten, ist wie bisher anhand der BSI-Kritisverordnung zu prüfen.

Zu den Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Abschluss des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie Auskunft gegeben werden.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Ob Ihr Unternehmen voraussichtlich unter den Anwendungsbereich der NIS-2-Richtlinie der EU fallen wird, können Sie mit der NIS-2-Betroffenheitsprüfung unverbindlich und selbständig prüfen. Zusätzlich veröffentlicht ist der Entscheidungsbaum, der der NIS-2-Betroffenheitsprüfung zugrunde liegt.

Die Begriffe der NIS-2-Richtlinie (englische Version / deutsche Version) wurden für das NIS2UmsuCG wie folgt ins Deutsche übertragen worden:

important entities / wichtige Einrichtungen → wichtige Einrichtungen
essential entities / wesentliche Einrichtungen → besonders wichtige Einrichtungen

Von besonders wichtigen (essential entities) und wichtigen Einrichtungen (important entities) werden gemäß einem zukünftigen BSI-Gesetz nach Umsetzung der europäischen NIS-2-Richtlinie voraussichtlich verschiedene, je nach Einrichtungsart abgestufte, Pflichten zu erfüllen sein, wie beispielsweise

• sich zu registrieren,
• erhebliche Sicherheitsvorfälle (in Bezug auf Cyber- und Informationssicherheit) zu melden,
• Risikomanagementmaßnahmen zu ergreifen,
• am Informationsaustausch teilzunehmen,
• Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen umzusetzen.

Sollten Sie zudem Betreiber einer kritischen Anlage sein, werden Sie voraussichtlich erweiterte Risikomanagementmaßnahmen zu ergreifen und die Erfüllung von Nachweispflichten umzusetzen haben.

Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden.

Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der europäischen NIS-2-Richtlinie wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.

Für alle Anlagen, die aktuell Kritische Infrastrukturen gemäß BSIG sind, ergeben sich bzgl. der Nachweisfristen zum jetzigen Zeitpunkt keine Änderungen. Zu evtl. Neuregelungen und der Ausgestaltung des Übergangs wird das BSI nach Verabschiedung eines zukünftigen Gesetzes informieren.

Neue Verpflichtungen auf Basis eines zukünftigen nationalen Umsetzungsgesetzes/BSI-Gesetzes nach Umsetzung der NIS-2-Richtlinie der EU gelten ab Inkrafttreten eines zukünftigen nationalen Umsetzungsgesetzes, mit den dort ggf. genannten Fristen.

Unternehmen, die unter die DORA-Regulierung fallen, beachten bitte auch die Antwort auf die Frage 10 der sektorspezifischen FAQ.

Ja, ausschlaggebend ist, ob ein Unternehmen in der Bundesrepublik Deutschland niedergelassen ist (vgl. Artikel 26 Absatz 1 der NIS-2-Richtlinie).

Der NACE-Code ist auf der in der NIS-2-Richtlinie referenzierten Gliederungsebene der Abteilungen bzw. Kategorien identisch mit der WZ-Nummer der Klassifikation der Wirtschaftszweige, Ausgabe 2008 (WZ 2008), wie sie etwa bei Statistikmeldungen zum Einsatz kommt.

Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2)

Klassifikation der Wirtschaftszweige, Ausgabe 2008 (WZ 2008)

Ja, auch Verbundene Unternehmen, die nicht in Deutschland oder der EU tätig sind, werden bei der Berechnung der Size-Cap-Kennzahlen einbezogen, vgl. Artikel 3 der NIS-2-Richtlinie sowie die darin referenzierte Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S. 36).

Beide Unternehmen werden erfasst und unterliegen den Anforderungen der NIS-2-Richtlinie. Zu beachten ist jedoch, ob im Einzelfall die Voraussetzungen der Artikel 3 der NIS-2-Richtlinie sowie der darin referenzierten Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S. 36). vorliegen.

Die Prüfung der Betroffenheit ist voraussichtlich durch die eventuell Betroffenen selbst durchzuführen. Als rechtlich unverbindliche Hilfestellung nutzen Sie gerne die NIS-2-Betroffenheitsprüfung.

Eine Registrierung gemäß der NIS-2-Richtlinie ist erst nach Umsetzung der Richtlinie in nationales Recht möglich.

Nein. Die NIS-2-Richtlinie ist eine unionsrechtliche Richtlinie, welche in nationales Recht umgesetzt werden muss. Adressaten der NIS-2-Richtlinie sind die EU-Mitgliedstaaten, nicht Bürger oder Unternehmen. Sie gibt also vor, welche Ziele umgesetzt werden müssen, überlässt die Gesetzgebung zu deren Erreichung aber den EU-Mitgliedsstaaten. Als EU-Richtlinie ist sie nicht unmittelbar wirksam und verbindlich, bis ein Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft tritt, gibt aber dessen Rahmen bereits vor.

Eine Registrierung als "besonders wichtige Einrichtung" (essential entity) oder "wichtige Einrichtung" (important entity) wird erst nach Inkrafttreten eines zukünftigen BSIG möglich sein. Das BSI plant eine digitalisierte Online-Portallösung zur Registrierung.

Die Mindestanforderungen an Einrichtungen, die als "besonders wichtige Einrichtung" (essential entity) oder "wichtige Einrichtung" (important entity) gelten, ergeben sich aus der NIS-2-Richtlinie. Hierunter fallen bspw. geeignete Risikomanagementmaßnamen (Artikel 21 der Richtlinie), die Pflicht, IT-Störungen zu melden (Artikel 23 Absatz 1 der Richtlinie) und weitere Anforderungen. Eine Unternehmenszertifizierung alleine ist nicht ausreichend, um sämtliche Anforderungen der Richtlinie zu erfüllen, kann aber ein Baustein für die Umsetzung der Risikomanagementmaßnahmen nach Artikel 21 der Richtlinie sein.

Artikel 20 Absatz 2 der NIS-2-Richtlinie sieht vor, dass Mitglieder der Leitungsorgane regelmäßig an Cybersicherheitsschulungen teilnehmen. Eine Konkretisierung des Umfangs oder der Periodizität ist dort nicht enthalten.

Bei verschiedenen Einrichtungsarten beispielsweise in den Sektoren Gesundheit oder Produktion, Herstellung und Handel mit chemischen Stoffen werden die NACE-Codes verwendet, um zu konkretisieren, bei welchen Produkten Betroffenheit besteht. (s. auch die Frage: "Wie bestimme ich den NACE-Code meines Unternehmens?")

Neben den gesetzlich vorgeschriebenen Pflichtmeldungen können auch freiwillige Meldungen an das BSI vorgenommen werden. Dies kann sinnvoll sein, wenn diese meldewürdig sind und deren Kenntnis beispielsweise andere Betreiber vor einer erheblichen Störung bewahren könnten. Die Meldung an das BSI entbindet das Unternehmen jedoch nicht von ggf. vorliegenden Meldepflichten in anderen EU-Mitgliedstaaten.

Ein allgemeines Zertifikat zum Nachweis der Anforderungen gibt es nicht. "Besonders wichtige Einrichtungen" (essential entities) und "wichtige Einrichtungen" (important entities) werden sicherstellen müssen, dass sie technische und organisatorische Maßnahmen ergreifen, um Störungen bei der Erbringung ihrer Dienste zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dazu werden mindestens die Maßnahmen gemäß der NIS-2-Richtlinie zu berücksichtigen sein. Die Einrichtungen müssen sich im Zuge dieser Verpflichtungen auch mit den Risiken durch Dienstleister befassen. Sie können hierbei eine ISO-27001-Zertifizierung berücksichtigen.

Eine Registrierung als "besonders wichtige Einrichtung" (essential entity) oder "wichtige Einrichtung" (important entity) wird erst nach Inkrafttreten eines zukünftigen BSIG möglich sein. Das BSI plant, zu diesem Zeitpunkt eine digitalisierte Online-Portallösung bereitzustellen. Hierauf werden nach erfolgter Registrierung auch die Abgabe von Meldungen und der Erhalt von Lage- und Warninformationen möglich sein.

Das BSI steht dazu im Austausch mit anderen EU-Mitgliedstaaten und der ENISA und ist bestrebt, die entsprechenden Formulare europaweit zu vereinheitlichen. Eine darüber hinausgehende europäische Lösung ist derzeit nicht absehbar und in der NIS-2-Richtlinie auch nicht vorgesehen.

Ein allgemeines Zertifikat zum Nachweis der Anforderungen gibt es nicht. Einrichtungen werden sicherstellen müssen, dass sie technische und organisatorische Maßnahmen ergreifen, um Störungen bei der Erbringung ihrer Dienste zu vermeiden. Dazu sind mindestens die Maßnahmen gemäß Artikel 21 der NIS-2-Richtlinie umzusetzen und die Maßnahmen sollen den Stand der Technik einhalten. Europäische und internationale Normen sollen dazu berücksichtigt werden. Auch die ISO 27001 kann hier berücksichtigt werden, muss aber von jeder Einrichtung individuell im Rahmen ihres Risikomanagements beurteilt werden.

Wir begrüßen aktuelle Vorstöße der Wirtschaft, einen einheitlichen Fragenkatalog für Lieferanten zu erarbeiten, der die Erfüllung der Anforderungen belegt. Auf diese Weise kann ein hohes Sicherheitsniveau mit angemessenem Dokumentationsaufwand erreicht werden.

Erste Orientierung bietet auch die Veröffentlichung Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen der UP KRITIS.

So, wie Unternehmen Anforderungen an die Funktionsfähigkeit oder Wirtschaftlichkeit stellen, sollten sie auch möglichst konkrete Anforderungen an die Cybersicherheit der eingesetzten Software-/Hardware-Produkte oder der beauftragten Dienstleister stellen. Idealerweise sollten die Cybersicherheitseigenschaften durch den Hersteller, Vertreiber oder Auftragnehmer belegbar sein. Dazu können europäische und internationale Normen genutzt werden.

Wir begrüßen aktuelle Vorstöße der Wirtschaft, einen einheitlichen Fragenkatalog für Lieferanten zu erarbeiten, der die Erfüllung der Anforderungen belegt. Auf diese Weise kann ein hohes Sicherheitsniveau mit angemessenem Dokumentationsaufwand erreicht werden.

Erste Orientierung bietet auch die Veröffentlichung Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen der UP KRITIS.

Ausschließlich im Falle von Einrichtungen gemäß Artikel 26 der NIS-2-Richtlinie kann dies der Fall sein, sobald ein nationales Umsetzungsgesetz in Kraft getreten ist.

Die Pflichten, die sich durch die nationalen Umsetzungen der NIS-2-Richtlinie in den jeweiligen Mitgliedstaaten für dort tätige Unternehmen ergeben, gelten unabhängig von der deutschen Umsetzung. Demnach sind die Registrierungspflichten in mehreren EU-Ländern zu erfüllen, sofern andere nationale Gesetze dies vom Unternehmen fordern.

Einzige Ausnahmen sind die in Artikel 26 der NIS-2-Richtlinie aufgeführten Einrichtungen, für die eine zentrale Registrierung, Meldepflicht und Zuständigkeit in dem EU-Mitgliedstaat, in dem das betroffene Unternehmen seine Hauptniederlassung hat, vorgesehen ist (DNS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke).

Grundsätzlich verfolgt das BSI den Ansatz Schnelligkeit vor Vollständigkeit. Dieser Ansatz lässt sich auch in Artikel 23 der NIS-2-Richtlinie wiederfinden, da dort neben den festen Fristen zu Meldungen klargestellt wird, dass diese unverzüglich abzugeben sind. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur IT-Störung gemacht werden, ist die Meldung als Erstmeldung zu kennzeichnen. Sobald fehlende Informationen bekannt sind, sind eine Folgemeldung und letztendlich eine Abschlussmeldung vorzulegen. Liegen Erkenntnisse vor, die zu einer geänderten Bewertung des Vorfalls führen, können diese im Rahmen der Folgemeldungen mitgeteilt werden.

Mit "Kenntnisnahme" ist gemeint, dass eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung innerhalb der Arbeitszeit Kenntnis über einen erheblichen Sicherheitsvorfall erlangt. Im Zweifelsfall ist die Meldung nachrangig gegenüber der Eindämmung der akuten Folgen der IT-Störung. Gemäß Artikel 6 der NIS-2-Richtlinie ist "Sicherheitsvorfall" definiert als "ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt". Ein erheblicher Sicherheitsvorfall zeichnet sich darüberhinausgehend dadurch aus, dass er

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann (vgl. Artikel 23 Absatz 3 der NIS-2-Richtlinie).

Ja, es ist geplant, dass Unternehmen auch stellvertretend andere Unternehmen registrieren können. Wichtig ist, dass alle betroffenen Einrichtungen innerhalb einer Konzernstruktur registriert werden.

Nein, nicht alle Beteiligten der Sicheren Lieferkette (§9a LuftSiG) gelten automatisch als Teil der Kritischen Infrastrukturen (KRITIS) im Sinne des BSIG i.V.m der BSI-KritisV. Innerhalb der Sicheren Lieferkette (§9a LuftSiG) können sowohl KRITIS- als auch nicht-KRITIS-Unternehmen beteiligt sein. Ob ein bestimmtes Unternehmen innerhalb der Sicheren Lieferkette (§9a LuftSiG) tatsächlich Betreiber einer Kritischen Infrastruktur ist, hängt davon ab, ob das Unternehmen in einem der genannten Sektoren über den Schwellenwert aus der BSI-KritisV bei der Erbringung der kritischen Dienstleistung des Sektors kommt oder nicht. Im Kontext der Luftsicherheit nach dem LuftSiG können somit bestimmte Teilnehmer der Sicheren Lieferkette (§9a LuftSiG) als Betreiber einer Kritischen Infrastruktur gelten. Typischerweise sind diese in der Branche Luftfahrt oder Logistik zu finden.

Die Anzahl der Beschäftigten sowie die Höhe des Umsatzvolumens bezieht sich auf das gesamte Unternehmen. Ein einzelner (Filial-) Betriebe ist nur dann nicht hinzuzurechnen, wenn er ein eigenständiges Partner- oder verbundenes Unternehmen ist und unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig ist. (vgl. die Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003)

Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist.

Für die Beratung im Rahmen von NIS2 besteht gemäß der europäischen NIS-2-Richtlinie keine verpflichtende Vorgabe für eine Zertifizierung. Schulungen und Zertifizierungen, können jedoch eine sinnvolle Ergänzung sein. Sie sind aktuell jedoch nicht zwingend erforderlich, um Kundenanfragen zu NIS2 zu bedienen.

Zu den Anforderungen an die Durchführung von Prüfungen im Rahmen von NIS 2 kann erst nach Abschluss des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie Auskunft gegeben werden.

Anders verhält es sich bei der Durchführung von Prüfungen, die im Rahmen von § 8a BSIG erforderlich sind. Hier gibt es bestimmte Anforderungen, die unter anderem in den „Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN)“ sowie in der „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ definiert sind. Eine dieser Anforderungen ist, dass im Prüfteam mindestens ein Prüfer mit nachweislicher Kompetenz für § 8a-Prüfungen vorhanden sein muss.

Der Nachweis dieser Kompetenz kann entweder durch eine entsprechende Schulung oder alternativ durch eine Selbsterklärung erfolgen.

Weitere Informationen finden Sie in den folgenden Dokumenten:

• Grundsätzliche Anforderungen im Nachweisverfahren (GAiN)
• Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG

Die Auslegung des Sektors Bankwesen ergibt sich elementar aus der NIS-2-Richtlinie. Dieser können Sie in Anhang I Nr. 3 entnehmen, dass mit dem Sektor Bankwesen "Kreditinstitute im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) Nr. 57572013 des Europäischen Parlaments und des Rates" abgedeckt werden.

Weitere Informationen für Finanzunternehmen, die unter DORA fallen, finden Sie hier in Bezug auf:

• die europäischen NIS-2-Richtlinie:
  siehe Frage und Antwort Nr. 10 unter „Sektorspezifische Fragen und Antworten zu NIS-2“
• die Abgabe von KRITIS-Meldungen zu Störungen gem. § 8b Abs. 4 BSIG:
  siehe Frage und Antwort Nr. 20 unter „Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz“
• die Abgabe eines KRITIS-Nachweises gemäß § 8a Absatz 3 BSIG:
  siehe Frage und Antwort Nr. 15 unter „Nachweise gemäß § 8a Absatz 3 BSIG“

Ein DSL-Anschluss, der keine statische IP-Adresse hat, ist ebenfalls anzugeben. Dieser mit dem Hinweis, dass es sich um eine dynamische IP-Adresse handelt und dementsprechend ohne IP-Adresse.

Das BSI ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Auch in Bezug auf die europäische NIS-2-Richtlinie fungierte das BSI als kompetenter Ansprechpartner und Berater für Ihre Fragen zur Cyber- und Informationssicherheit.

Informationen und Unterstützungsmöglichkeiten des BSI zu NIS2 werden über die regelmäßig aktualisierten Veröffentlichungen des BSI, z.B. die FAQ zu NIS2, allen betroffenen Unternehmen gleichermaßen zur Verfügung gestellt.

Daher verweisen wir auf die stetig erweiterten Seiten des BSI, wo kontinuierlich weitere Informationspakete zur Verfügung gestellt werden.

Alle derzeit verfügbaren Informationen rund um das Thema NIS-2 und Unterstützungsangebote für die Wirtschaft finden Sie hier:

• Die NIS-2-Betroffenheitsprüfung ist das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der NIS-2-RL in Deutschland erfasst sein wird.

• Die NIS-2-FAQ bieten eine Sammlung von Antworten auf die am häufigsten gestellten Fragen zur NIS-2-RL.

• Die Seite "NIS-2 - Was tun?" enthält Hinweise, was wichtige und wesentliche Einrichtungen jetzt schon tun können.

Das BSI kann entsprechend seinem gesetzlichen Auftrag weder Einzelfallberatungen leisten, noch eine Rechtsberatung durchführen. Rechtsberatung bleibt aufgrund des Rechtsberatungsgesetzes den dort zugelassenen Berufsgruppen vorbehalten.

Da aufgrund der vorgezogenen Wahlen das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden konnte, ist ein NIS-2-Umsetzungsgesetz noch nicht erlassen. Zu den Regelungen eines zukünftigen BSI-Gesetzes kann das BSI erst nach Inkrafttreten eines Gesetzes zur Umsetzung der NIS-2-Richtlinie Auskunft geben.

Aktuelle Informationen zum Gesetzgebungsverfahren finden Sie darüber hinaus auf den Webseiten des BMI.

Von dem Gesetzgebungsverfahren abgesehen, können sich Unternehmen mit Ihren Fragen zur Cyber- und Informationssicherheit natürlich gerne an das BSI wenden.

Nein. Im Anwendungsbereich liegen ausschließlich diejenigen Stoffe, die in Artikel 3 Nummer 1 der Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Rates definiert sind UND zu einer der in NACE-Code 20 aufgeführten chemischen Erzeugniskategorie zählen.

Tipps und Informationen, was wichtige und wesentliche Einrichtungen bereits jetzt tun können, finden Sie auf der Seite "NIS-2 - Was tun?". 

Da aufgrund der vorgezogenen Wahlen das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden konnte, ist ein NIS-2-Umsetzungsgesetz noch nicht erlassen. Ein Termin kann heute auch noch nicht genannt werden.

Nach Umsetzung der europäischen NIS-2-Richtlinie und Abschluss des Gesetzgebungsverfahrens wird das BSI auf seinen Webseiten konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.

Weitere Informationen rund um das Thema NIS-2 und Unterstützungsangebote für die Wirtschaft