Beratungstermin

Was ist die NIS2-Richtlinie?

  • Datenschutz

Die neue EU-Richtlinie NIS2 verpflichtet ab 2024 deutlich mehr Unternehmen zu erhöhter Cyber- und Informationssicherheit. Kritische Branchen sowie viele mittelständische Betriebe müssen künftig strengere IT-Schutzmaßnahmen umsetzen und Cybervorfälle zeitnah an die Behörden melden. Bei Nichteinhaltung drohen hohe Bußgelder – es ist daher ratsam, sich frühzeitig auf die neuen Pflichten vorzubereiten.

Was ist die NIS2-Richtlinie?

NIS2 steht für “Network and Information Security”, also Netzwerk- und Informationssicherheit. Es handelt sich um eine EU-Richtlinie, die im Januar 2023 in Kraft trat und das Ziel verfolgt, ein hohes, einheitliches Niveau der Cybersicherheit in Europa sicherzustellen. Dazu verpflichtet NIS2 Unternehmen und Institutionen, ihre IT-Systeme besser gegen Cyberangriffe zu schützen und Sicherheitsvorfälle frühzeitig zu melden. Die Richtlinie ist der Nachfolger der ersten NIS-Richtlinie von 2016 und wurde als Reaktion auf die wachsende Bedrohung durch Hackerangriffe und digitale Sabotage deutlich verschärft.

Im Unterschied zur Datenschutz-Grundverordnung (DSGVO), die als Verordnung unmittelbar gilt, muss diese Richtlinie von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Alle Staaten hatten bis zum 17. Oktober 2024 Zeit, entsprechende Gesetze zu erlassen. Deutschland konnte diese Frist wegen politischer Verzögerungen nicht einhalten. Ein nationales NIS2-Umsetzungsgesetz befindet sich aber in Vorbereitung und soll voraussichtlich Ende 2025 oder Anfang 2026 in Kraft treten. Trotz der ausstehenden Umsetzung ist NIS2 für deutsche Unternehmen bereits relevant, da EU-Richtlinien nach Ablauf der Frist teilweise unmittelbare Wirkung entfalten können. Unternehmen sollten sich also jetzt schon mit den neuen Vorgaben vertraut machen.

Wen betrifft NIS2? – Erweiterter Anwendungsbereich

Die NIS2-Richtlinie richtet sich an Betreiber kritischer Dienste und wichtiger Infrastrukturen in insgesamt 18 Sektoren. Erstmals werden dabei weit mehr Branchen erfasst als bisher. Die Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen (Essential vs. Important Entities). Wesentliche Einrichtungen umfassen zum Beispiel:

  • Energie – Versorgung mit Strom, Gas, Öl, Wasserstoff und Fernwärme sowie Ladestationen für E-Mobilität
  • Verkehr – Straßen-, Schienen-, Luft- und Schifffahrt, einschließlich Flughäfen, Hafenanlagen und Reedereien
  • Wasserversorgung – Trinkwasserversorgung und Abwasserentsorgung
  • Digitale Infrastruktur – Rechenzentren, Cloud-Dienste, Internetknoten, öffentliche Telekommunikationsnetze und -dienste
  • Finanz- und Kreditwesen – Banken, Börsen, Zahlungsverkehr, Finanzmarkt-Infrastruktur und Versicherungen
  • Gesundheitswesen – Krankenversorgung, pharmazeutische Industrie, medizinische Geräte-Hersteller und Gesundheitsforschung
  • Öffentliche Verwaltung – zentrale und lokale Behörden sowie Verwaltungen
  • Raumfahrt – Einrichtungen der Raumfahrttechnik und Satelliteninfrastruktur

Wichtige Einrichtungen (zweite Kategorie) sind unter anderem:

  • Abfall- und Entsorgungswirtschaft
  • Post- und Kurierdienste
  • Chemische Industrie – Produktion und Vertrieb chemischer Erzeugnisse
  • Lebensmittel – Produktion und Vertrieb von Lebensmitteln
  • Hersteller wichtiger Güter – z. B. in den Bereichen Computer und Elektronik, Optik, Maschinenbau, Kraftfahrzeug- und Verkehrsmittelequipment
  • Große Online-Dienste – z. B. Betreiber von Suchmaschinen, sozialen Netzwerken und Online-Marktplätzen
  • Forschungseinrichtungen – Institute und Einrichtungen, die für Wirtschaft und Gesellschaft bedeutende Forschung betreiben

Ob ein Unternehmen die NIS2-Vorgaben einhalten muss, hängt neben der Branche auch von der Unternehmensgröße ab. Grundsätzlich fallen mittlere und große Unternehmen in den Anwendungsbereich – in der Regel also Betriebe mit mehr als 50 Mitarbeitern und über 10 Millionen Euro Jahresumsatz. Durch diese weite Definition wird der Kreis der verpflichteten Firmen erheblich ausgeweitet: Statt nur einigen tausend klassischen KRITIS-Betreibern (kritische Infrastruktur) werden in Deutschland nun Schätzungen zufolge rund 30.000 Unternehmen unter NIS2 fallen. Erstmals sind damit auch viele mittelständische Unternehmen aus den oben genannten Branchen von gesetzlichen Cybersecurity-Pflichten betroffen.

Wichtig ist, dass Unternehmen eigenverantwortlich prüfen müssen, ob sie unter die NIS2-Kategorien fallen – es erfolgt keine automatische Benachrichtigung durch Behörden. Nach Inkrafttreten des deutschen Umsetzungsgesetzes wird zudem eine Registrierungspflicht gelten: Betroffene Einrichtungen müssen sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, sobald das Gesetz wirksam ist (bzw. ab Feststellung ihrer Betroffenheit).

Welche Anforderungen stellt NIS2?

NIS2 schreibt umfassende technische und organisatorische Maßnahmen vor, um die IT-Sicherheit der betroffenen Unternehmen zu erhöhen. Die Vorgaben zielen darauf ab, Cyber-Risiken aktiv zu managen, Angriffe frühzeitig zu erkennen, geeignete Schutzmechanismen einzuführen und die Betriebsfähigkeit auch im Krisenfall zu gewährleisten. Konkret müssen Unternehmen ein Bündel von Sicherheitsmaßnahmen umsetzen – dazu gehören unter anderem:

  • Dokumentierte Risikoanalysen und Schutzkonzepte für alle wichtigen IT- und Netzwerksysteme
  • Notfall- und Incident-Response-Pläne, um auf Sicherheitsvorfälle angemessen reagieren zu können
  • Verfahren zur Aufrechterhaltung des Betriebs (Business Continuity), z. B. regelmäßige Backups, Wiederherstellungsübungen und ein etabliertes Krisenmanagement
  • Maßnahmen zur Sicherung der Lieferkette, d. h. Anforderungen an die Cybersicherheit auch bei wichtigen Zulieferern und Dienstleistern
  • Sichere Entwicklung, Beschaffung und Wartung von IT-Systemen – einschließlich systematischem Schwachstellen-Management (z. B. zeitnahes Einspielen von Security-Patches, regelmäßige Penetrationstests)
  • Überprüfung der Wirksamkeit der eigenen Sicherheitsmaßnahmen durch Audits und kontinuierliches Monitoring
  • Etablierung einer grundlegenden “Cyberhygiene” im Unternehmen – also bewährte IT-Sicherheitsroutinen wie regelmäßige Updates, starke Passwörter und verpflichtende Mitarbeiter-Schulungen zu Cyberrisiken
  • Klare Zugriffskontrollen und Berechtigungsverwaltung (Need-to-know-Prinzip, begrenzte Admin-Zugänge) sowie Inventarisierung der IT-Assets
  • Einsatz moderner Kryptografie – insbesondere Verschlüsselung sensibler Daten und Kommunikation
  • Nutzung von Multi-Faktor-Authentifizierung (MFA) für Zugriffe und Aufbau gesicherter Kommunikationswege, inkl. gegebenenfalls Notfall-Kommunikationssysteme für Krisensituationen

All diese Maßnahmen sollen dazu beitragen, die Widerstandsfähigkeit (Cyber-Resilienz) der Unternehmen zu erhöhen. Geschäftsleitungen sind angehalten, entsprechende Verantwortlichkeiten intern festzulegen und ausreichend Ressourcen bereitzustellen, um die Anforderungen umzusetzen. NIS2 etabliert in diesem Zusammenhang auch den Begriff der „Cyberhygiene“ – gemeint ist der routinemäßige sichere IT-Betrieb (z. B. sofortiges Einspielen von Updates, Sensibilisierung der Beschäftigten), um Risiken durch menschliches Versagen oder Nachlässigkeit zu minimieren.

Meldepflichten bei Sicherheitsvorfällen

Neben präventiven Maßnahmen führt NIS2 strenge Meldepflichten für IT-Sicherheitsvorfälle ein. Unternehmen, die unter die Richtlinie fallen, müssen signifikante Cybervorfälle innerhalb klar definierter Fristen an die zuständige Behörde melden (in Deutschland wird dies das BSI sein). Konkret ist ein gestuftes Verfahren vorgesehen:

  • Innerhalb von 24 Stunden nach Entdeckung des Vorfalls: Abgabe einer ersten Meldung (“Early Warning”) mit den wichtigsten ersten Informationen.
  • Innerhalb von 72 Stunden: Erstattung eines detaillierten Incident-Berichts, der u. a. eine erste Einschätzung der Vorfallsursache und der bisherigen Auswirkungen enthält.
  • Spätestens nach 1 Monat: Abschlussbericht mit umfassenden Angaben, z. B. einer vollständigen Beschreibung des Vorfalls, der Art der Bedrohung, der ergriffenen Gegenmaßnahmen und der eventuell grenzüberschreitenden Auswirkungen.

Durch diese gestaffelten Berichte soll einerseits eine sofortige Alarmierung erfolgen und andererseits innerhalb kurzer Zeit ein genaueres Lagebild des Angriffs geliefert werden. Die Meldepflichten bedeuten für viele Unternehmen einen erheblichen neuen Aufwand – sie dienen jedoch dazu, Reaktionszeiten zu verkürzen und einen Informationsaustausch mit den Behörden sicherzustellen, um weitere Schäden möglichst zu begrenzen.

Sanktionen und Haftung bei Verstößen

Die NIS2-Richtlinie unterstreicht ihren verpflichtenden Charakter durch empfindliche Strafandrohungen. Bei Verstößen gegen die Vorgaben drohen hohe Bußgelder, gestaffelt nach Unternehmensart:

  • Wesentliche Einrichtungen (kritische Sektoren) – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist).
  • Wichtige Einrichtungen – bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (ebenfalls whichever higher).

Neben Geldstrafen können die Aufsichtsbehörden im Ernstfall auch weitere Maßnahmen verhängen, etwa verbindliche Handlungsanordnungen oder in extremen Fällen die Aussetzung von betrieblichen Diensten, bis festgestellte Sicherheitsmängel beseitigt sind. Von großer Bedeutung ist zudem die persönliche Haftung der Geschäftsführung: Mitglieder der obersten Leitungsebene können zur Verantwortung gezogen werden, wenn sie die Cybersecurity-Pflichten ihres Unternehmens vernachlässigen. Konkret haften Geschäftsleitende unter Umständen persönlich für entstandene Schäden, falls sie nachweislich ihre gesetzlichen Sorgfaltspflichten in Bezug auf IT-Sicherheit verletzt haben. Diese verschärfte Managerhaftung erhöht den Druck auf Unternehmen, NIS2-Compliance ernst zu nehmen und wirklich von oben nach unten umzusetzen.

Umsetzung und Fristen – was Unternehmen bis 2026 wissen müssen

EU-weit ist NIS2 bereits gültig, doch die praktische Umsetzung erfolgt national. In Deutschland wurde die vorgeschriebene Frist Oktober 2024 versäumt. Die Bundesregierung arbeitet jedoch daran, das NIS2-Umsetzungsgesetz so schnell wie möglich zu verabschieden – angestrebt ist ein Inkrafttreten Ende 2025 oder Anfang 2026. Die Präsidentin des BSI warnte jüngst, dass „die Zeit drängt“: Ab 2026 sollen tausende weitere Unternehmen gesetzlich zum Cyber-Schutz verpflichtet sein, und viele Betroffene hätten die kommenden Anforderungen noch nicht ausreichend auf dem Schirm. Übergangsfristen sind im deutschen Gesetzentwurf voraussichtlich nicht vorgesehen. Das bedeutet, die Pflichten gelten ab dem Startdatum unmittelbar und vollumfänglich. Unternehmen sollten daher jetzt aktiv werden, auch wenn das nationale Gesetz noch in der Schwebe ist. Zum einen kann eine EU-Richtlinie nach Ablauf der Umsetzungsfrist in Teilen direkt wirksam werden, zum anderen fordern Geschäftspartner in anderen EU-Ländern mitunter schon Nachweise der NIS2-Konformität ein. Warten Sie also nicht auf letzte Minute:

Prüfen Sie frühzeitig, ob Ihr Unternehmen aufgrund seiner Branche und Größe unter NIS2 fällt (z. B. mittels öffentlich verfügbarer Kriterien oder Online-Tools). Falls ja, sollten umgehend interne Projekte gestartet werden, um die beschriebenen Sicherheitsmaßnahmen umzusetzen. Legen Sie Verantwortlichkeiten fest – etwa durch Bestellung eines Informationssicherheits-Beauftragten oder die Einrichtung eines ISMS (Information Security Management Systems). Schulen Sie Ihre Mitarbeiter in den neuen Prozessen und schärfen Sie das Bewusstsein für Cyber-Gefahren. Etablieren Sie außerdem regelmäßige Überprüfungen (Audits), um Lücken aufzudecken, bevor es die Aufsichtsbehörde tut. Gegebenenfalls ist es sinnvoll, externe fachkundige Unterstützung hinzuzuziehen. Spezialisierte Dienstleister für Datenschutz und IT-Sicherheit können dabei helfen, eine NIS2-Compliance-Strategie zu erarbeiten, passende technische Lösungen zu implementieren und die nötige Dokumentation vorzuhalten. Nutzen Sie die verbleibende Zeit bis 2025/2026, um Ihr Unternehmen auf die neuen Regeln vorzubereiten – so stellen Sie sicher, dass Sie die NIS2-Richtlinie erfüllen und zugleich Ihr eigenes Risiko, Opfer eines erfolgreichen Cyberangriffs zu werden, deutlich senken.

Zurück

Sichern Sie Ihr Unternehmen ab!

Sie haben Fragen zum Thema Datenschutz? Dann kontaktieren Sie uns oder machen Sie direkt online unseren Datenschutz Check für Ihr Unternehmen

Das könnte Sie auch interessieren:

Opt-In- und Opt-Out-Verfahren im Datenschutz

  • Datenschutz

Heutzutage sind klare Opt-In- und Opt-Out-Verfahren unverzichtbar, um datenschutzkonform zu handeln und das Vertrauen Ihrer Kunden zu erhalten. Dieser…

Weiterlesen

Was ist ein AV-Vertrag?

  • Datenschutz

Der Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein zentrales Instrument der DSGVO. Er regelt, wie Dienstleister mit personenbezogenen Daten…

Weiterlesen

Löschkonzept nach DSGVO in Unternehmen

  • Datenschutz

Ein wirksames Löschkonzept nach DSGVO ist mehr als nur eine gesetzliche Pflicht. Es unterstützt Unternehmen dabei, Datenbestände transparent zu…

Weiterlesen

Meldung Datenschutzbeauftragter

  • Datenschutz

Die Benennung und Meldung eines Datenschutzbeauftragten ist für viele Unternehmen gesetzlich vorgeschrieben. Erfahren Sie, wann die Pflicht greift,…

Weiterlesen
Cookie Extension Logo