THINK SAFE. THINK ICS.
NIS2 erklärt: Bin ich betroffen, was gilt und was ist zu tun?
Die NIS2-Richtlinie ist eine EU-weite Vorgabe zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen. Ziel ist, dass Unternehmen Cyberrisiken strukturiert identifizieren, Sicherheitsmaßnahmen umsetzen und ihre Systeme sowie Prozesse dauerhaft resilient gegen Cyberangriffe aufstellen.
Die NIS2-Richtlinie verpflichtet betroffene Unternehmen dazu:
| Cyberrisiken systematisch zu identifizieren und zu bewerten |
| Geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen |
| IT- und OT-Systeme gegen Cyberangriffe abzusichern |
Die wichtigsten Fragen zur NIS2-Richtlinie verständlich erklärt
Was ist die NIS2-Richtlinie? Die NIS2-Richtlinie (EU 2022/2555) ist ein EU-weites Gesetz zur Stärkung der Cyberresilienz kritischer und wichtiger Einrichtungen. Im Vergleich zur bisherigen NIS1 ist sie deutlich umfassender, für weit mehr Unternehmen relevant, und mit strengeren Auflagen und höheren Bußgeldern verbunden.
In Deutschland wird NIS2 durch das NIS2UmsuCG umgesetzt, mit Inkrafttreten voraussichtlich 2025. Änderungen im Gesetzgebungsverfahren sind übrigens noch möglich.
Bin ich von NIS2 betroffen?
Die Betroffenheit richtet sich nach:
- Unternehmensgröße (Mitarbeitende, Umsatz, Bilanzsumme)
- Branche (gemäß Anhängen I & II der NIS2)
- Kritikalität der Dienstleistung
Typische Schwellenwerte:
|
Einrichtung |
Mitarbeitende |
Umsatz + Bilanzsumme |
|
Besonders wichtig |
≥ 250 |
> 50 Mio. € & > 43 Mio. € |
|
Wichtig |
≥ 50 |
> 10 Mio. € & > 10 Mio. € |
Welche Branchen sind von NIS2 betroffen?
Kritische Versorgungsinfrastruktur
• Energie
• Wasser/Abwasser
• Abfall
• Banken/Versicherungen
• Verkehr
• Kommunen
Gesundheit und öffentliche Verwaltung
• Gesundheitswesen
• Verwaltung
• Justiz
• Hochschulen
Digitale Infrastruktur und IT-Dienstleistungen
• IT-Dienstleister
• Cloud
• Hosting
• Rechenzentren
• Digitalisierung
Industrie und produzierende Wirtschaft
• Maschinenbau
• Lebensmittel
• Chemie
• Pharma
• Raumfahrt
Welche Pflichten gelten nach Inkrafttreten?
Wichtig: Die Pflichten aus der NIS2-Richtlinie greifen nicht erst nach einer offiziellen Prüfung oder behördlichen Einstufung, sondern ab dem Zeitpunkt, an dem ein Unternehmen objektiv als „betroffen“ gilt. Jedes betroffene Unternehmen muss sich aktiv mit Informationssicherheit beschäftigen.
Auch wenn bereits ein ISMS (Informationssicherheits-Managementsystem) vorhanden ist, kann es sein, dass zusätzliche Maßnahmen nötig sind – zum Beispiel, wenn das ISMS nur einen Teilbereich abdeckt. Denn: NIS2 gilt für das gesamte Unternehmen und schreibt verbindliche Sicherheitsmaßnahmen vor.
|
Maßnahme |
Frist |
|
Registrierung beim BSI |
3 Monate |
|
Umsetzung technischer Maßnahmen |
21 Monate |
|
Betriebsbereitschaft (ISMS, SOC, etc.) |
24 Monate |
Was passiert wenn man sich nicht an NIS2 hält?
Die NIS2-Richtlinie sieht deutlich höhere Bußgelder vor als die bisherige NIS-Richtlinie. In Deutschland könnten diese laut Umsetzungsgesetz wie folgt ausfallen:
Bußgelder:
Die NIS2-Richtlinie sieht deutlich höhere Bußgelder vor als die bisherige NIS-Richtlinie. In Deutschland könnten diese laut Umsetzungsgesetz wie folgt ausfallen
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist), insbesondere für wesentliche Einrichtungen bei groben Verstößen.
Haftung von Geschäftsleitungen:
Die Richtlinie nimmt Führungskräfte explizit in die Pflicht. Bei Nichteinhaltung drohen persönliche Haftungsrisiken, z. B. wegen Organisationsverschulden (§ 130 OWiG).
Verlust von Aufträgen oder Zulassungen:
Unternehmen, die nicht NIS2-konform arbeiten, könnten:
- Ausschreibungen oder Zertifizierungen verlieren
- Kooperationspartner oder Kunden verlieren, die selbst NIS2-pflichtig sind und Konformität einfordern
Was muss bei NIS2 gemacht werden?
- Multi Factor Authentifizierung & Zugriffsmanagement
- Verschlüsselung & Netzsegmentierung
- Schwachstellenmanagement & Patching
- Awareness-Trainings
- ISMS nach ISO 27001
- Lieferkettensicherheit
- Business Continuity / Disaster Recovery
- ggf. Security Operation Center (SOC)
Meldepflichten:
- 24h: Erstmeldung
- 72h: Statusbericht
- 30 Tage: Abschlussbericht mit Ursachenanalyse
Wie müssen die Nachweispflichten und Prüfanforderungen der NIS2 erfüllt werden?
- Managementverantwortung für Cybersicherheit
- Dokumentation & Prüfbarkeit gegenüber Behörden
- Anordnung & Durchführung von Prüfungen durch das BSI
~ 80%
der Unternehmen bzw. Entscheidungsträger berichten von Schwierigkeiten bei der Einhaltung regulatorischer Compliance-Vorgaben.
~ 60%
der Unternehmen geben an, dass ihre manuellen Prozesse nicht mehr ausreichen, um die stätig steigenden Anforderungen zu genügen.
~ 2%
des Jahresumsatzes zahlen Unternehmen bei Verstößen gegen Compliance-Vorgaben, zusätzlich drohen erhebliche Reputationsschäden.
Sind wir von NIS2 betroffen?
Was müssen wir tun? Und wie gelingt das ohne endlosen Aufwand?
Was ist der Cyber Resilience Act (CRA)?
Der CRA betrifft Hersteller und Anbieter digitaler Produkte. Er fordert, dass Produkte "secure by design" entwickelt, getestet und dokumentiert werden – inkl. Schwachstellenmanagement und Updateprozessen.
Schnittstelle zu NIS2:
Betreiber nach NIS2 und Hersteller nach CRA sind gleichermaßen gefordert, sicherheits- und risikobasiert zu handeln. Dazu gehören unter anderem ein wirksames Sicherheitsmanagement (ISMS), regelmäßig durchgeführte Risikoanalysen, eine nachvollziehbare technische Dokumentation sowie, im Fall von Herstellern, Produktnachweise zur Sicherheit digitaler Komponenten. Ziel ist es, Cyberrisiken systematisch zu identifizieren, geeignete Schutzmaßnahmen umzusetzen und die Einhaltung gesetzlicher Anforderungen nachweisbar zu machen.