NIS2 Leitfaden: Was Unternehmen jetzt wissen müssen
Praxisorientierter Leitfaden zur NIS2-Richtlinie: Wer ist betroffen, welche Pflichten gelten und wie Sie die Umsetzung strukturiert angehen.
Was ist NIS2?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und stellt deutlich verschärfte Anforderungen an die Cybersicherheit von Unternehmen und Organisationen in der EU.
In Deutschland wird NIS2 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.
Wer ist betroffen?
Der Anwendungsbereich wurde erheblich erweitert. Betroffen sind Unternehmen in 18 Sektoren, unterteilt in:
Sektoren mit hoher Kritikalität
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- ICT Service Management (B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie
- Lebensmittel
- Verarbeitendes Gewerbe
- Digitale Dienste
- Forschung
Schwellenwerte: In der Regel ab 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz. Einige Sektoren (z.B. digitale Infrastruktur) fallen unabhängig von der Größe unter die Regulierung.
Die wichtigsten Pflichten
1. Risikomanagement (Art. 21)
Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu beherrschen. Dazu gehören:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Maßnahmen
- Cyberhygiene und Schulungen
- Kryptografie und Verschlüsselung
- Zugangssteuerung und Asset Management
- Multi-Faktor-Authentifizierung
2. Meldepflichten (Art. 23)
Bei erheblichen Sicherheitsvorfällen gelten strikte Meldefristen:
| Frist | Meldung |
|---|---|
| 24 Stunden | Frühwarnung an die zuständige Behörde (BSI) |
| 72 Stunden | Aktualisierte Meldung mit Bewertung und Auswirkungen |
| 1 Monat | Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen |
3. Governance & Geschäftsleiterhaftung (Art. 20)
Die Geschäftsleitung muss:
- Die Cybersicherheitsmaßnahmen billigen und deren Umsetzung überwachen
- An Schulungen teilnehmen
- Persönlich haften bei Pflichtverletzungen
4. Sanktionen (Art. 34)
Bei Verstößen drohen empfindliche Bußgelder:
- Wesentliche Einrichtungen: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
Der Weg zur Compliance: 5 Schritte
Schritt 1: Betroffenheitsanalyse
Klären Sie, ob Ihr Unternehmen unter NIS2 fällt und als “wesentliche” oder “wichtige” Einrichtung eingestuft wird.
Schritt 2: Readiness Assessment
Führen Sie eine strukturierte Bestandsaufnahme gegen alle NIS2-Anforderungen durch. Identifizieren Sie Gaps und priorisieren Sie Handlungsbedarfe.
Schritt 3: ISMS-Aufbau
Bauen Sie ein Informationssicherheits-Managementsystem (ISMS) auf, das die NIS2-Anforderungen abdeckt. ISO 27001 ist hier ein bewährtes Framework.
Schritt 4: Implementierung
Setzen Sie die identifizierten Maßnahmen um – technisch, organisatorisch und prozessual. Schulen Sie Ihre Mitarbeiter.
Schritt 5: Audit-Readiness
Bereiten Sie sich auf Prüfungen vor. Stellen Sie sicher, dass alle Nachweise lückenlos dokumentiert sind.
Fazit
NIS2 ist keine optionale Empfehlung, sondern eine verbindliche Regulierung mit erheblichen Konsequenzen bei Nicht-Einhaltung. Der Schlüssel liegt in einer strukturierten, frühzeitigen Herangehensweise. Unternehmen, die jetzt mit einem Readiness Assessment beginnen, verschaffen sich den nötigen Vorlauf für eine planvolle Umsetzung.
Brauchen Sie Unterstützung bei der NIS2-Umsetzung? Vereinbaren Sie ein unverbindliches Erstgespräch – wir bewerten gemeinsam Ihren Handlungsbedarf.