Die auf europäischer Ebene 2023 verabschiedete NIS-2-Richtlinie (NIS = „Network and Information Security“) und das derzeit im Gesetzgebungsverfahren befindliche deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) haben das Ziel, den Schutz vor möglichen IT- und Cyberangriffen bei Unternehmen und Organisationen der kritischen Infrastruktur auszubauen.
Mit der neuen Gesetzgebung wurde sowohl die Anzahl der betroffenen Branchen als auch die Größen der ins Auge gefassten Unternehmen erweitert. Insbesondere können nun auch kleinere Unternehmen als bisher zum Geltungsbereich gehören.
Die NIS-2-Richtilinie bzw. der Referentenentwurf des NIS2UmsuCG findet auf solche private Einrichtungen Anwendung, die im Anhang/Anlage I oder II genannt werden und die gleichzeitig die Schwellenwerte für mittlere Unternehmen überschreiten.
Die Anlage II des NIS2UmsuCG definiert „Sektoren wichtiger Einrichtungen“ und führt unter Nr. 5.5 die Branche „Herstellung von Kraftwagen und Kraftwagenteilen“ auf. Unter diese Branchenkategorie fallen Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne des Abschnitts C Abteilung 29 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben.
Hersteller von Fahrzeugen, Anhängern und Aufbauten fallen unter die Abteilung 29 nach NACE Rev. 2, weshalb für diese Unternehmen – sofern sie mindestens 50 Mitarbeiter beschäftigen - die NIS-2-Richtlinie bzw. das NIS2UmsuCG relevant sein wird.
Unternehmen des Fahrzeughandels und der Fahrzeuginstandsetzung hingegen fallen nicht unter den Anwendungsbereich der NIS-2-Richtlinie.
Für Mitgliedsbetriebe, die im herstellenden und reparierenden Bereich tätig sind, stellt sich die Frage, ob sich die Mitarbeiterzahl auf das Gesamtunternehmen bezieht oder nur auf den betreffenden Unternehmensbereich. Eine entsprechende Anfrage hat der ZKF bereits über den ZDH platziert, jedoch noch keine verbindliche Rückmeldung erhalten können.
Eine Übersicht mit Fragen und Antworten zu NIS-2 stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website zur Verfügung.
Am 21. November 2024 wird ein Webinar des BSI zur Frage der Betroffenheit und notwendigen Maßnahmen stattfinden. Information und Anmeldung unter "NIS-2 für die Wirtschaft: Was wir schon sagen können".
Weil sich das NIS2UmsuCG derzeit im parlamentarischen Verfahren befindet, veranstaltet das BSI einen Online-Beteiligungsworkshop für Unternehmen und Betriebe, die voraussichtlich in den Geltungsbereich des NIS2UmSuCG fallen. Ziel ist es die künftig regulierten Unternehmen in Hinblick auf die Ausgestaltung der Registrierungs- und Meldeformulare und -wege einzubinden. Die Teilnehmerzahl ist auf 60-70 Unternehmen beschränkt. (DC)