Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die wichtigste EU-Gesetzgebung zur Cybersicherheit seit Jahren. Sie erweitert den Kreis der betroffenen Unternehmen erheblich und verschärft die Anforderungen an die IT-Sicherheit deutlich.
In diesem Artikel erklären wir verständlich, was NIS2 bedeutet, wer betroffen ist und welche konkreten Maßnahmen Sie ergreifen müssen.
Was ist NIS2?
NIS2 ist die Nachfolgerin der ersten NIS-Richtlinie aus dem Jahr 2016. Die EU hat erkannt, dass Cyberangriffe eine wachsende Bedrohung für Wirtschaft und Gesellschaft darstellen – und dass die bisherigen Regelungen nicht ausreichen.
Die neue Richtlinie verfolgt drei Hauptziele:
- Mehr Unternehmen einbeziehen: Der Anwendungsbereich wurde massiv ausgeweitet
- Höhere Standards: Die Anforderungen an Sicherheitsmaßnahmen sind strenger
- Härtere Strafen: Bußgelder und persönliche Haftung der Geschäftsführung
Die Umsetzungsfrist für die Mitgliedstaaten war der 17. Oktober 2024. Die Regelungen gelten also bereits – auch wenn Deutschland das Gesetz noch finalisiert.
Wer ist von NIS2 betroffen?
Die entscheidende Frage für viele Unternehmer. NIS2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen, aber grundsätzlich gilt:
Sie sind wahrscheinlich betroffen, wenn:
- Sie mehr als 50 Mitarbeiter haben ODER
- Ihr Jahresumsatz über 10 Millionen Euro liegt UND
- Sie in einem der regulierten Sektoren tätig sind
Regulierte Sektoren (Auswahl):
- Energie (Strom, Gas, Öl, Fernwärme)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Gesundheitswesen (Krankenhäuser, Labore, Pharma)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Rechenzentren, DNS, Cloud-Anbieter)
- IT-Dienste (Managed Services, MSPs)
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie und Lebensmittel
- Produktion (Medizinprodukte, Computer, Fahrzeuge, Maschinen)
„Auch wenn Ihr Unternehmen nicht direkt in einem dieser Sektoren tätig ist: Als Zulieferer oder Dienstleister für betroffene Unternehmen können Sie indirekt unter die Regelungen fallen."
Was verlangt NIS2 konkret?
Die Richtlinie fordert einen ganzheitlichen Ansatz zur Cybersicherheit. Die wichtigsten Pflichten im Überblick:
1. Risikomanagement
Sie müssen Cyberrisiken systematisch erfassen, bewerten und dokumentieren. Das umfasst technische, organisatorische und menschliche Faktoren.
2. Technische Maßnahmen
Angemessene Schutzmaßnahmen wie Firewalls, Verschlüsselung, Zugriffskontrolle und Monitoring müssen implementiert werden.
3. Incident Response
Sicherheitsvorfälle müssen erkannt, gemeldet und bewältigt werden. Die Meldefrist beträgt nur 24 Stunden für eine erste Meldung!
4. Business Continuity
Backup-Konzepte, Notfallpläne und Disaster-Recovery-Strategien sind Pflicht.
5. Lieferketten-Sicherheit
Neu: Sie müssen auch die Cybersicherheit Ihrer Lieferanten und Dienstleister prüfen und sicherstellen.
6. Schulungen
Regelmäßige Cybersecurity-Schulungen für alle Mitarbeiter – einschließlich der Geschäftsführung.
Strafen und Haftung
NIS2 bringt empfindliche Sanktionen mit sich:
- Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsführung
- Tätigkeitsverbote für Führungskräfte bei schweren Verstößen
Die persönliche Haftung ist neu und sollte nicht unterschätzt werden. Die Geschäftsführung kann sich nicht mehr darauf zurückziehen, „nichts gewusst zu haben".
Was sollten Sie jetzt tun?
Wenn Sie vermuten, dass Ihr Unternehmen betroffen sein könnte, empfehlen wir folgende Schritte:
- Betroffenheits-Check: Klären Sie, ob und wie NIS2 auf Ihr Unternehmen zutrifft
- Gap-Analyse: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den Anforderungen
- Maßnahmenplan: Priorisieren Sie die notwendigen Schritte
- Umsetzung: Beginnen Sie mit der Implementierung
- Dokumentation: Halten Sie alles nachweisbar fest