Institutionen und Unternehmen sollten nun handeln.
Betroffen sind Institutionen und Unternehmen, die den kritischen Infrastrukturen zugeschrieben werden. Dabei wurde der Umfang betroffener Institutionen und Unternehmen erheblich ausgeweitet. Unterschieden wird zwischen „Essential Entities“ und „Important Entities“. Für Important Entities gilt eine Größeneinstufung von mindestens 50 Mitarbeitern oder 10 Mio € Jahresumsatz.
Am 16.01.2023 ist die EU-Richtlinie 2022/2555 (NIS2) in Kraft getreten, die bis zum 18.10.2024 in nationales Recht umgesetzt werden muss. Das zuständige Bundesministerium des Innern und für Heimat hat bereits einen Entwurf mit dem sperrigen Namen „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) erarbeitet.
Institutionen und Unternehmen sollten nun prüfen, ob Sie betroffen sind und ggf. Maßnahmen ergreifen, um den Forderungen rechtzeitig nachkommen zu können. Es kann nötig sein, ein Managementsystem für Informationssicherheit aufzubauen und zu betreiben, was entsprechend Zeit und Ressourcen verlangt.