NIS2 und die digitale Infrastruktur

Betreiber kritischer Anlagen | Nachdem das IT-Sicherheitsgesetz 2.0 im Jahr 2021 in Kraft getreten ist, um die IT-Sicherheit in Deutschland zu stärken, folgt nun eine weitere Verordnung: Die NIS2-Richtlinie der Europäischen Union betrifft deutlich mehr Unternehmen, als es das IT-Sicherheitsgesetz oder die Vorgängerrichtlinie NIS getan haben.

Zudem sind die Anforderungen strenger, um die Informationssicherheit sowie Versorgungslage in kritischen Bereichen zu sichern.

Im Bereich Lebensmittel- und Getränkeherstellung müssen die Hersteller einen gewissen Schwellenwert überschreiten, um als Betreiber einer kritischen Anlage eingestuft zu werden. Dieser liegt etwa bei 350 Mio Liter Getränke. Die Meldepflicht liegt dabei bei den Versorgern selbst – diese müssen ihren Status beim BSI registrieren lassen und Informationen zu IT-Störungen, Angriffen oder Vorfällen an die zuständige Stelle melden. Zudem müssen die betroffenen Betriebe Prozesse zur IT-Sicherheit, zum Risikomanagement und zur Angriffserkennung implementieren.

Schutz der Lieferkette

Unternehmen müssen nicht nur ihre eigenen Anlagen und ihre Infrastruktur sichern, sondern auch sicherstellen, dass die externen Dienstleister, mit denen sie zusammenarbeiten, keinen Risikofaktor für ihren Betrieb darstellen. Das gilt gerade, wenn es um den Schutz der Lieferkette geht. NIS2 wird dabei nicht die letzte Richtline für mehr IT-Sicherheit sein – das KRITIS-Dachgesetz zur Umsetzung der EU-CER-Richtline folgt voraussichtlich 2026 und hält noch mehr Anforderungen für die Betreiber kritischer Anlagen bereit. Auch das sollten Unternehmen jetzt bereits im Hinterkopf haben, wenn sie sich auf die Umsetzung der NIS2-Richtlinie – die übrigens am 17. Oktober 2024 in Kraft tritt – vorbereiten.