Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und stellt eine erhebliche Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 dar.
Das Ziel der NIS-2-Richtlinie ist die Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der gesamten Europäischen Union. Die Richtlinie reagiert auf die zunehmende Digitalisierung und die damit verbundenen Cyberbedrohungen, die kritische Infrastrukturen und essenzielle Dienste gefährden können.
Wichtig zu wissen:
Die NIS-2-Richtlinie ist seit dem 17. Oktober 2024 EU-weit in Kraft. Deutschland arbeitet aktuell an der Umsetzung in nationales Recht (NIS2UmsuCG). Betroffene Unternehmen müssen die Anforderungen bereits jetzt umsetzen, da die Richtlinie unmittelbare Wirkung entfaltet.
Wer ist von NIS-2 betroffen?
Die NIS-2-Richtlinie erweitert den Anwendungsbereich erheblich. In Deutschland werden künftig rund 30.000 Organisationen unter NIS-2 fallen – aktuell sind es weniger als 2.000. Die Richtlinie unterscheidet zwischen zwei Kategorien von Einrichtungen:
Besonders wichtige Einrichtungen (Essential Entities)
Diese Organisationen spielen eine zentrale Rolle für Wirtschaft und öffentliche Sicherheit. Für sie gelten die strengsten Anforderungen und intensivste behördliche Aufsicht:
Energie
Strom, Gas, Öl, Fernwärme/-kälte, Wasserstoffversorgung, E-Ladeinfrastruktur
Transport & Logistik
Luft-, Schienen-, Straßen- und Schifffahrtsverkehr, Reedereien, Hafenbetreiber
Finanzwesen
Banken, Handelsplattformen, Marktinfrastrukturen, Versicherungen
Gesundheitswesen
Krankenhäuser, Forschungseinrichtungen, Pharmaunternehmen, Medizintechnik
Wasserversorgung
Trink- und Abwasserwirtschaft
Digitale Infrastruktur
DNS-Dienste, Betreiber von Top-Level-Domains
Öffentliche Verwaltung
Behörden und staatliche Einrichtungen
Raumfahrtindustrie
Betreiber bodengestützter Infrastrukturen
Wichtige Einrichtungen (Important Entities)
Nicht als kritisch eingestuft, aber dennoch mit klaren Compliance-Pflichten:
Größenkriterien für betroffene Unternehmen
Ob ein Unternehmen unter die NIS-2-Richtlinie fällt, hängt neben dem Sektor auch von der Unternehmensgröße ab:
Mittelgroße Unternehmen:
- 50-249 Mitarbeiter
- 10-50 Mio. EUR Jahresumsatz
- Weniger als 43 Mio. EUR Bilanzsumme
Große Unternehmen:
- 250 oder mehr Mitarbeiter ODER
- Über 50 Mio. EUR Jahresumsatz UND
- Über 43 Mio. EUR Bilanzsumme
Wichtig: Auch kleinere Unternehmen können betroffen sein, wenn sie Teil der Lieferkette kritischer Infrastrukturen sind oder besonders kritische Dienstleistungen erbringen.
Die zentralen Pflichten der NIS-2-Richtlinie
Die NIS-2-Richtlinie verpflichtet betroffene Unternehmen in vier zentralen Bereichen. Wer nicht compliant ist, riskiert hohe Bußgelder und behördliche Konsequenzen.
1. Risikomanagement: Cyber-Resilienz stärken
Die NIS-2-Anforderungen verlangen umfassende Sicherheitsmaßnahmen zur Minimierung von Cyber-Risiken:
2. Verantwortung auf Führungsebene: Cybersecurity ist Chefsache
Mit NIS-2 wird Cybersicherheit zur Führungsaufgabe, inklusive persönlicher Haftung:
Zitat BSI-Präsidentin Claudia Plattner: "Die NIS-2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen."
3. Meldepflichten: Schnelle Reaktion ist Pflicht
NIS-2 macht klare Vorgaben zur Meldung von Sicherheitsvorfällen:
24 Stunden
Frühwarnung bei schwerwiegenden Vorfällen
72 Stunden
Vollständiger Bericht mit Details und Gegenmaßnahmen
30 Tage
Abschlussbericht mit langfristigen Maßnahmen
Wichtig: Verspätete Meldungen können zu Bußgeldern und zusätzlicher behördlicher Aufsicht führen.
4. Business Continuity: Auch im Krisenfall handlungsfähig bleiben
Organisationen müssen auf schwerwiegende Cyberangriffe vorbereitet sein:
Bußgelder und Sanktionen bei Verstößen
Die Strafen bei Verstößen gegen die NIS-2-Richtlinie sind empfindlich und sollen Unternehmen zur Einhaltung der Vorschriften bewegen:
Besonders wichtige Einrichtungen
oder
(je nachdem, was höher ist)
Wichtige Einrichtungen
oder
(je nachdem, was höher ist)
Zusätzliche Konsequenzen:
Schritt für Schritt zur NIS-2-Compliance
Die Umsetzung der NIS-2-Anforderungen kann auf den ersten Blick komplex wirken. Mit einem strukturierten Vorgehen lassen sich die Anforderungen jedoch systematisch erfüllen:
Betroffenheitsprüfung durchführen
Prüfen Sie, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt. Berücksichtigen Sie Sektor, Unternehmensgröße und Rolle in der Lieferkette.
Gap-Analyse erstellen
Identifizieren Sie Schwachstellen in Ihrem aktuellen Sicherheitskonzept. Wo fehlen Prozesse, Technologien oder Dokumentation?
Risikomanagement-Strategie entwickeln
Implementieren Sie regelmäßige Risikobewertungen, starke Zugangskontrollen, Verschlüsselung und Patch-Management.
Governance und Verantwortlichkeiten stärken
Binden Sie die Geschäftsführung ein, definieren Sie klare Verantwortlichkeiten und etablieren Sie regelmäßige Schulungen.
Incident-Response- und Meldeprozess etablieren
Erstellen Sie einen klaren Reaktionsplan mit definierten Meldefristen (24h, 72h, 30 Tage) und testen Sie diesen regelmäßig.
Lieferkette absichern
Prüfen Sie die Sicherheitsstandards Ihrer Dienstleister und verankern Sie Compliance-Anforderungen vertraglich.
Audit-Vorbereitung
Pflegen Sie eine lückenlose Dokumentation, führen Sie interne Audits durch und halten Sie Ihre Sicherheitsmaßnahmen aktuell.