NIS2 / NIS2UmsuCG
Die EU-Richtlinie zur Cybersicherheit und ihr deutsches Umsetzungsgesetz, das tausende Unternehmen zu nachweisbaren Schutzmaßnahmen verpflichtet.
NIS2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. In Deutschland wird sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.
Betroffen sind Unternehmen aus 18 Sektoren — Energie, Gesundheit, Verkehr, Banken, digitale Infrastruktur, Verarbeitendes Gewerbe, öffentliche Verwaltung und weitere — sobald sie mindestens 50 Mitarbeitende oder 10 Mio. € Jahresumsatz erreichen. Die Einstufung erfolgt durch das Gesetz selbst; es gibt keine behördliche Einladung.
Drei Pflichten sind für die E-Mail-Sicherheit zentral:
- § 30 — Risikomanagement: angemessene technische und organisatorische Maßnahmen. E-Mail-Authentifizierung gilt als Stand der Technik.
- § 32 — Berichtspflichten: erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden. Ohne DMARC-Reporting bemerkt man Domain-Missbrauch zu spät.
- § 38 — Haftung der Geschäftsleitung: Vorstände und Geschäftsführer müssen die Maßnahmen billigen und überwachen — und haften bei Pflichtverletzung persönlich.
Ein laufendes DMARC-Reporting ist nicht die ganze NIS2-Konformitaet, aber ein gut belegbarer Baustein.