NIS-2 Umsetzung: Plötzlich Hektik

Lorenz Hübsch, Chief Information Security Officer, SpaceNet AG, erklärt die plötzliche Hektik aufgrund von der NIS-2-Umsetzung <q>SpaceNet — Lorenz Hübsch, SpaceNet SpaceNet

Während die Umsetzung von NIS-2 in Deutschland eher schleppend vonstattengeht, gerät DORA inzwischen vielfach komplett aus dem Blickfeld. Dabei haben nach unserer Marktkenntnis noch längst nicht alle Unternehmen erkannt, dass auch für sie die entsprechenden Sicherheits-Verpflichtungen greifen können, sobald sie in der Lieferkette eines DORA-pflichtigen Unternehmens, also beispielsweise einer Bank, als Dienstleister tätig sind. Unserer Meinung nach bedeutet das im Klartext: Banken sind nicht nur seit Januar 2025 verpflichtet, die europäische DORA-Sicherheitsrichtlinie im eigenen Unternehmen umzusetzen, sondern müssen auch mit ihren Dienstleistern DORA-konforme Mindestinhalte vertraglich vereinbaren.

von Lorenz Hübsch, SpaceNet

Nach unserer Rechtsauffassung liegt die initiale Verantwortung für diese ergänzenden Vereinbarungen mit den Dienstleistern ganz klar beim Kunden – also beim Finanzdienstleister, der beispielsweise mit einem IT-Dienstleister in der Lieferkette zusammenarbeitet.“

DORA und NIS-2 haben die Lieferkette im Fokus

Dasselbe Prinzip greift auch beim deutschen NIS-2-Umsetzungsgesetz, das am 5. Dezember vergangenen Jahres in Kraft trat. Die eigens für den Finanzsektor geschaffene DORA-Regulierung, die auf EU-Ebene als Verordnung konzipiert wurde und deshalb bereits Anfang 2025 in allen EU-Mitgliedstaaten direkt anwendbar ist und federführend von der BaFin überwacht wird, schützt die Branche dabei nur teilweise vor weiterem Verwaltungsaufwand. Zwar weist der NIS-2-Gesetzestext explizit darauf hin, dass für betroffene Firmen, die bereits der DORA-Verordnung unterliegen, die zusätzliche NIS-2-Meldepflicht bei Sicherheitsvorfällen entfällt.

Wichtig zu beachten ist aber, dass dennoch eine initiale Registrierungspflicht im NIS-2-Portal besteht, wenn ein DORA-Unternehmen auch den Kriterien von NIS-2 entspricht.“

Zu beachten ist zusätzlich auch hier die Lieferkette. Für Unternehmen in der relevanten Größenkategorie (mehr als 50 Mitarbeiter oder Umsatz ab 10 Millionen Euro und einem der 18 „wesentlichen“ oder „wichtigen“ Sektoren zugeordnet) gilt: Nicht nur das eigene Unternehmen unterliegt den neuen Anforderungen an Cyber-Security-Compliance (was bereits durch DORA abgedeckt wird), sondern auch vertragliche Pflichten müssen an kleinere Unternehmen in der Lieferkette weitergegeben werden, die selbst nicht in eine der NIS-2-Kategorien fallen.

Für kleinere Dienstleister ist also zwar grundsätzlich keine Registrierung beim BSI erforderlich, aber Auftraggeber müssen risikoorientiert ihre NIS-2-Verpflichtungen in ihrer Lieferkette vertraglich weiterreichen und zum Beispiel ein entsprechendes, zeitnahes Reporting über Sicherheitsvorfälle fordern, um sich selbst bei Sicherheitsvorfällen abzusichern.“

Autor: Lorenz Hübsch, SpaceNet

Lorenz Hübsch, Chief Information Security Officer, SpaceNet AG <q>SpaceNet AG

Lorenz Hübsch ist ein Sicherheitsexperte mit über 30 Jahren Berufspraxis in Unternehmenssicherheit, Informationssicherheit sowie Governance, Risk & Compliance. Aktuell ist er bei der SpaceNet (Website) als Head of Governance, Risk & Compliance sowie als Chief Information Security Officer (CISO) tätig, wo er strategisch Sicherheits- und Compliance-Strukturen verantwortet. Zuvor war er über zwei Jahrzehnte bei der BSH Home Appliances Group in leitenden Funktionen tätig und prägte dort maßgeblich den Aufbau globaler Corporate- und Physical-Security-Strukturen. Ergänzend bringt er Erfahrung aus operativen Rollen bei Sicherheitsdienstleistern und der Bayerischen Polizei mit.

Zwar kann man davon ausgehen, dass das BSI bis auf Weiteres keine aktiven Prüfungen auf Basis von öffentlichen Unternehmensdaten durchführen wird. Problematisch wird es aber definitiv, sobald ein Sicherheitsvorfall im Unternehmen oder eben innerhalb seiner Lieferkette eintritt. Dann kann es zu unangenehmen Diskussionen mit den Behörden und auch mit der vielleicht abgeschlossenen Cybersicherheits-Versicherung kommen, die aufgrund mangelnder Umsetzung die Haftung verweigern könnte. Viele Verantwortliche wissen auch nicht, dass bei entstandenen Schäden sogar eine persönliche Haftung der Geschäftsführer greifen kann.

Dokumentierte Schulungen offenbar Pflicht

Auch das Thema „Schulungen“ spielt dabei eine wichtige Rolle. Geschäftsführung oder Vorstand müssen grundsätzlich ausreichend über Anforderungen, Konsequenzen und notwendige Eskalationsstufen, den IT-Risiko-Management-Prozess, Business Continuity und wesentliche Pflichten und Vorgaben der NIS-2-Regulatorik geschult werden. Eine kurze Präsentation im Führungskreis scheint hier nicht ausreichend zu sein.

Dem Vernehmen nach erwartet das BSI eine mehrstündige und klar dokumentierte NIS-2-Unterweisung auf Ebene der Unternehmensführung.“

Insgesamt kann festgehalten werden, dass die Einführung von NIS-2 in Deutschland bisher leider gründlich verstolpert wurde. Die Richtlinie wurde ohne weitere „Schonfrist“ mit erheblicher Verspätung zu geltendem Recht und zwingt nun etwa 30.000 Unternehmen unmittelbar zum Handeln. Bis zum Ablauf der Registrierungsfrist am 06.03.2026 hatten sich erst rund 38 Prozent der potenziell betroffenen Unternehmen auf der entsprechenden Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) registriert.

Im Zweifel Experten hinzuziehen

Das ist nicht einmal jedes sechste Unternehmen – die Lieferketten hier noch gar nicht betrachtet. Ab jetzt drohen empfindliche Strafen, denn Unternehmen in „wesentlichen“ oder „wichtigen“ Branchen (z. B. Gesundheit, Energie, digitale Infrastruktur) begehen ab jetzt eine Ordnungswidrigkeit, obwohl die Regelungen immer noch nicht klar genug definiert sind, die Haftung für eine korrekte Selbsteinschätzung aber bei den Unternehmen liegt. Hier wird mangelnde Planung und Vorbereitung der Politik wieder einmal auf dem Rücken der Unternehmen ausgetragen.

Wer sich nicht sicher ist, sollte unbedingt Experten zu Rate ziehen, denn die korrekte Einschätzung der Relevanz ist Aufgabe des Unternehmens, sie liegt nicht beim Staat.“

Wer keine eigene Governance-Abteilung hat, sollte deshalb eine Prüfung durch einen Experten in Erwägung ziehen. von Lorenz Hübsch, SpaceNet