Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

Die NIS 2-Richtlinie: Was Sie wissen müssen

SecTepe Redaktion
|
|
5 Min. Lesezeit

Die NIS-2-Richtlinie hebt die Cybersicherheitsanforderungen in der EU auf ein deutlich höheres Niveau. Sie erweitert den Adressatenkreis massiv, bindet die Geschäftsleitung persönlich in die Verantwortung ein – und verlangt konkrete technische wie organisatorische Maßnahmen. Dieser Artikel zeigt, worauf es für betroffene Unternehmen ankommt.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist Nachfolger der NIS-Richtlinie von 2016. Sie muss in nationales Recht überführt werden – in Deutschland über das geplante NIS2-Umsetzungsgesetz (NIS2UmsuCG). Ziel ist ein einheitlich hohes Sicherheitsniveau für Netzwerk- und Informationssysteme in der EU.

Wer ist betroffen?

NIS 2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen und gilt grundsätzlich für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem der genannten Sektoren:

  • Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur (Cloud, Rechenzentren, DNS, TLD), Weltraum, öffentliche Verwaltung.
  • Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau), digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.

Unabhängig von der Größe fallen auch Anbieter kritischer Dienste, qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister, DNS-Diensteanbieter und Teile der öffentlichen Verwaltung unter die Richtlinie.

Die zentralen Pflichten

  • Risikomanagementmaßnahmen: Mindestens Risikoanalysen, Vorfallsbearbeitung, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Kryptografie, Zugangskontrolle, Multi-Faktor-Authentifizierung und Schulungen.
  • Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung, innerhalb von 72 Stunden mit Bewertung und nach spätestens einem Monat mit Abschlussbericht an die zuständige Behörde gemeldet werden.
  • Verantwortung der Leitungsorgane: Die Geschäftsleitung muss die Maßnahmen billigen, ihre Umsetzung überwachen – und haftet persönlich. Regelmäßige Schulung ist Pflicht.
  • Registrierung: Betroffene Einrichtungen müssen sich bei der zuständigen nationalen Behörde registrieren (in Deutschland: BSI).
  • Bußgelder: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen) bzw. 7 Mio. € oder 1,4 % (wichtige Einrichtungen) – je nachdem, welcher Betrag höher ist.

So bereiten Sie Ihr Unternehmen vor

  1. Betroffenheit prüfen: Klärung, ob und in welcher Kategorie Ihr Unternehmen unter NIS 2 fällt.
  2. Gap-Analyse: Soll-Ist-Vergleich zwischen aktuellem Sicherheitsniveau und NIS-2-Anforderungen. Ein vorhandenes ISMS – insbesondere nach ISO 27001 – deckt viele Anforderungen bereits ab.
  3. Lieferketten erfassen: Kritische Dienstleister und deren Sicherheitsniveau dokumentieren, vertragliche Anforderungen nachziehen.
  4. Incident-Response-Prozess etablieren: 24/72-Stunden-Meldekette definieren, technische Detection-Fähigkeiten (SOC, EDR) schaffen.
  5. Leitungsorgane schulen: Regelmäßige, dokumentierte Schulungen für Geschäftsführung und Führungskräfte.
  6. Registrierung und Berichtswege: Zuständige Ansprechpartner benennen, Kommunikation mit dem BSI vorbereiten.

Fazit

NIS 2 ist kein Papiertiger: Der Adressatenkreis wächst stark, die Anforderungen werden präziser, und die persönliche Verantwortung der Geschäftsleitung ist neu – flankiert von spürbaren Bußgeldern. Unternehmen, die bereits ein gelebtes ISMS betreiben, haben einen klaren Vorsprung. Alle anderen sollten jetzt mit einer strukturierten Gap-Analyse starten und die Umsetzung priorisieren – statt auf die nationale Umsetzung zu warten.

Alle Artikel ansehen