NIS-2-Registrierung: 11.500 Unternehmen erfüllten Cybersicherheitspflicht
NIS-2-Registrierung: 11.500 Unternehmen erfüllten Pflicht

NIS-2-Registrierung: 11.500 Unternehmen erfüllten Cybersicherheitspflicht

Ein seit Dezember geltendes Gesetz verpflichtet schätzungsweise mehr als 29.000 Unternehmen in Deutschland, sich gegen Cyberangriffe und andere gravierende IT-Vorfälle zu schützen. Doch die Bilanz nach Ablauf der Registrierungsfrist zeigt ein gemischtes Bild: Nur etwa 11.500 Unternehmen und Institutionen sind der Verpflichtung bisher nachgekommen.

Registrierungspflicht als Teil der EU-Richtlinie

Die Registrierungspflicht ist ein zentraler Bestandteil der NIS-2-Richtlinie der Europäischen Union für die Cybersicherheit kritischer Infrastrukturen. Ziel ist es, Unternehmen und Bundesbehörden, die für die Versorgung der Bevölkerung essenziell sind, zu stärkeren Schutzmaßnahmen zu verpflichten. Dazu gehören nicht nur die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), sondern auch umfassende Schulungen für Mitarbeiter sowie die Meldung erfolgreicher Hackerangriffe und anderer IT-Sicherheitsvorfälle.

Claudia Plattner, Präsidentin des BSI, betont die Bedeutung dieser Maßnahmen für die Widerstandsfähigkeit der deutschen Wirtschaft. Die Behörde mit Sitz in Bonn ist für Cybersicherheitsfragen zuständig, während das Innenministerium die politische Verantwortung trägt und das neue Digitalministerium die Digitalisierung der Verwaltung vorantreibt.

Breites Pickt-Banner — kollaborative Einkaufslisten-App für Telegram

Signifikanter Anstieg in der Schlussphase

Eine Sprecherin des BSI teilte mit, dass allein in der letzten Woche vor Ablauf der Frist mehr als 4.000 Registrierungen neu hinzugekommen sind. „Die signifikante Steigerung der Registrierungen in den letzten Tagen lässt darauf schließen, dass kurzfristig viele weitere Registrierungen erfolgen werden“, sagte die Sprecherin. Trotz der aktuell niedrigen Zahlen zeigt sich die Behörde daher optimistisch hinsichtlich der generellen Bereitschaft zur Erfüllung der neuen Regelungen.

Die Bundesregierung schätzt, dass fast 30.000 Firmen in Deutschland von den neuen Vorgaben betroffen sind. Ob die Richtlinie für ein Unternehmen gilt, hängt unter anderem vom Geschäftsfeld, der Größe und dem Umsatz ab. Das BSI bietet online eine Betroffenheitsprüfung an, um Unternehmen bei der Einschätzung zu unterstützen.

Konsequenzen bei Nichtbeachtung

Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie trat am 6. Dezember in Kraft und sieht strenge Meldefristen vor:

  • Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden
  • Aktualisierte Informationen sind innerhalb von 72 Stunden bereitzustellen
  • Eine Abschlussmeldung muss nach einem Monat eingereicht werden

Bei schwerwiegenden Verstößen drohen den Unternehmen Bußgelder. Viele Firmen zögern jedoch mit der Meldung von Vorfällen, da sie Reputationsschäden befürchten.

Praktische Auswirkungen und Unterstützung

Welche konkreten Auswirkungen IT-Sicherheitsvorfälle haben können, zeigte sich im vergangenen Herbst, als ein Flughafen-Dienstleister Opfer eines Cyberangriffs wurde. Betroffen waren mehrere Flughäfen in Europa, darunter der Flughafen Berlin-Brandenburg (BER), wo elektronische Systeme für die Passagier- und Gepäckabfertigung lahmgelegt wurden.

Das BSI ist sich bewusst, dass die Prüfung der Betroffenheit und die zweistufige Registrierung im Einzelfall aufwendig sein können. „Für Konzernregistrierungen und für die Registrierung kritischer Komponenten werden wir daher in Kürze weitere Hilfestellungen veröffentlichen“, heißt es aus dem Bundesamt. Daten zu einzelnen Sektoren – zur kritischen Infrastruktur zählen etwa große Energieversorger, Banken und IT-Dienstleister – wird das BSI zu einem späteren Zeitpunkt veröffentlichen.

Pickt After-Article-Banner — kollaborative Einkaufslisten-App mit Familien-Illustration