Über unsNormenBlog ✦ KIAngebot →
Startseite  /  Blog  /  NIS2-Richtlinie

NIS2-Richtlinie — Praktischer Umsetzungsleitfaden für Unternehmen

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) erweitert die Cybersicherheitspflichten in der EU erheblich. Sie betrifft deutlich mehr Sektoren und Organisationen als ihre Vorgängerin und verschärft die Anforderungen an Risikomanagement, Meldepflichten und Verantwortlichkeit der Geschäftsführung.

NIS2 Cybersicherheit EU-Regulierung

 ·  9 Min. Lesezeit

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016. Sie wurde im Dezember 2022 im Amtsblatt der EU veröffentlicht und hätte von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen.

Die Richtlinie verfolgt zwei zentrale Ziele: erstens, ein einheitliches hohes Cybersicherheitsniveau in der gesamten EU zu gewährleisten, und zweitens, die Fragmentierung der nationalen Umsetzungen zu reduzieren, die unter der ersten NIS-Richtlinie zu erheblichen Unterschieden zwischen den Mitgliedstaaten geführt hatte.

Wer ist betroffen? Wesentliche und wichtige Einrichtungen

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen, die jeweils unterschiedlichen Aufsichtsregimen unterliegen:

Kategorie Sektoren Größenschwelle
Wesentliche Einrichtungen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung, Weltraum Große Unternehmen (250+ Mitarbeiter oder >50 Mio. EUR Umsatz)
Wichtige Einrichtungen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung (Medizinprodukte, IT, Elektronik, Maschinenbau, Kfz), digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung Mittlere Unternehmen (50+ Mitarbeiter oder >10 Mio. EUR Umsatz)

Einige Einrichtungen fallen unabhängig von ihrer Größe in den Geltungsbereich, darunter Anbieter von DNS-Diensten, TLD-Registrierungsstellen, Anbieter öffentlicher elektronischer Kommunikationsnetze und Vertrauensdiensteanbieter.

Schätzungen zufolge sind in Deutschland allein über 30.000 Unternehmen von NIS2 betroffen — ein Vielfaches der etwa 800 Unternehmen, die unter die ursprüngliche NIS-Richtlinie fielen.

Kernanforderungen der NIS2-Richtlinie

Art. 21 der NIS2-Richtlinie legt die Mindestanforderungen an Risikomanagementmaßnahmen fest, die sowohl wesentliche als auch wichtige Einrichtungen umsetzen müssen:

  • Risikoanalyse und Sicherheitskonzepte: Systematische Bewertung der Risiken für Netz- und Informationssysteme und Umsetzung angemessener Sicherheitsmaßnahmen.
  • Bewältigung von Sicherheitsvorfällen: Prozesse für die Erkennung, Analyse, Eindämmung und Behebung von Sicherheitsvorfällen.
  • Betriebskontinuität und Krisenmanagement: Pläne für Backup-Management, Katastrophenwiederherstellung und Krisenmanagement.
  • Sicherheit der Lieferkette: Maßnahmen zur Gewährleistung der Sicherheit in der gesamten Lieferkette, einschließlich der Beziehungen zu direkten Zulieferern und Dienstleistern.
  • Sicherheit bei Erwerb, Entwicklung und Wartung: Sicherheitsanforderungen für den gesamten Lebenszyklus von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement.
  • Bewertung der Wirksamkeit: Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.
  • Cyberhygiene und Schulung: Grundlegende Cyberhygienepraktiken und Schulungen im Bereich Cybersicherheit.
  • Kryptografie und Verschlüsselung: Einsatz von Kryptografie und ggf. Verschlüsselung.
  • Personalsicherheit und Zugangssteuerung: Konzepte für die Sicherheit des Personals und die Zugangssteuerung einschließlich Asset-Management.
  • Multi-Faktor-Authentifizierung: Einsatz von Multi-Faktor-Authentifizierung, gesicherten Kommunikationssystemen und ggf. gesicherten Notfallkommunikationssystemen.

Meldepflichten bei Sicherheitsvorfällen

NIS2 verschärft die Meldepflichten erheblich. Bei einem erheblichen Sicherheitsvorfall müssen betroffene Einrichtungen:

  • Innerhalb von 24 Stunden: Eine frühzeitige Warnung an die zuständige Behörde (CSIRT oder zuständige nationale Behörde) übermitteln, die angibt, ob der Vorfall mutmaßlich durch rechtswidrige oder böswillige Handlungen verursacht wurde.
  • Innerhalb von 72 Stunden: Eine Vorfallsmeldung übermitteln, die die erste Bewertung des Vorfalls, einschließlich Schweregrad und Auswirkungen, sowie ggf. die Kompromittierungsindikatoren enthält.
  • Innerhalb eines Monats: Einen Abschlussbericht vorlegen, der eine detaillierte Beschreibung des Vorfalls, die wahrscheinliche Ursache, getroffene und laufende Abhilfemaßnahmen und grenzüberschreitende Auswirkungen enthält.

Sanktionen und persönliche Haftung

Die NIS2-Richtlinie verschärft die Sanktionen erheblich und führt eine persönliche Verantwortlichkeit der Geschäftsleitung ein:

Kategorie Maximale Geldbuße Aufsichtsregime
Wesentliche Einrichtungen 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes Ex-ante: proaktive Aufsicht, regelmäßige Prüfungen, Audits
Wichtige Einrichtungen 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes Ex-post: Aufsicht nach Hinweisen oder Vorfällen

Besonders relevant: Die Geschäftsleitung muss die Risikomanagementmaßnahmen genehmigen und deren Umsetzung überwachen. Sie kann persönlich haftbar gemacht werden, wenn sie diesen Pflichten nicht nachkommt. Die Geschäftsleitung muss außerdem an Schulungen im Bereich Cybersicherheit teilnehmen.

Beziehung zu ISO 27001

ISO 27001 ist kein explizit vorgeschriebener Standard unter NIS2, aber die Überschneidungen sind erheblich. Die Risikomanagementanforderungen in Art. 21 NIS2 decken sich weitgehend mit den Kontrollen in ISO 27001:2022 Annex A:

  • Risikoanalyse und Sicherheitskonzepte → ISO 27001 Klausel 6.1, 8.2
  • Vorfallsmanagement → ISO 27001 A.5.24–A.5.28
  • Betriebskontinuität → ISO 27001 A.5.30, ISO 22301
  • Lieferkettensicherheit → ISO 27001 A.5.19–A.5.23
  • Schwachstellenmanagement → ISO 27001 A.8.8
  • Kryptografie → ISO 27001 A.8.24
  • Zugangssteuerung → ISO 27001 A.5.15–A.5.18, A.8.2–A.8.5

Eine bestehende ISO 27001-Zertifizierung deckt einen Großteil der NIS2-Anforderungen ab und kann als Nachweis der Compliance herangezogen werden. Einige Mitgliedstaaten erwägen, ISO 27001-zertifizierten Organisationen vereinfachte Nachweisverfahren anzubieten.

Die NIS2-Richtlinie verweist in Erwägungsgrund 79 explizit auf internationale Normen und technische Spezifikationen als relevante Umsetzungshilfen. ISO 27001 ist der am häufigsten genannte Standard in diesem Kontext.

Praktischer Umsetzungsplan

Schritt 1: Betroffenheitsanalyse. Prüfen Sie, ob Ihr Unternehmen in den Geltungsbereich von NIS2 fällt. Berücksichtigen Sie sowohl den Sektor als auch die Unternehmensgröße. Beachten Sie, dass auch Tochtergesellschaften und verbundene Unternehmen betroffen sein können.

Schritt 2: Gap-Analyse. Vergleichen Sie Ihre bestehenden Cybersicherheitsmaßnahmen mit den Anforderungen des Art. 21 NIS2. Identifizieren Sie Lücken, insbesondere in den Bereichen Lieferkettensicherheit, Meldepflichten und Geschäftsleitungsverantwortung.

Schritt 3: Governance-Struktur etablieren. Stellen Sie sicher, dass die Geschäftsleitung ihre Verantwortlichkeiten kennt und wahrnimmt. Implementieren Sie Schulungsprogramme für die Geschäftsführung. Definieren Sie klare Berichtswege für Cybersicherheitsfragen.

Schritt 4: Meldeprozesse implementieren. Etablieren Sie Prozesse, die die strengen Meldefristen (24 Stunden / 72 Stunden) einhalten können. Identifizieren Sie die zuständige nationale Behörde und das CSIRT. Testen Sie die Meldeprozesse regelmäßig.

Schritt 5: Lieferkettensicherheit adressieren. Bewerten Sie die Cybersicherheitslage Ihrer kritischen Zulieferer und Dienstleister. Integrieren Sie Sicherheitsanforderungen in Verträge. Implementieren Sie ein fortlaufendes Lieferantenrisikomanagement.

Schritt 6: ISO 27001-Zertifizierung anstreben. Wenn Sie noch nicht nach ISO 27001 zertifiziert sind, ist jetzt der ideale Zeitpunkt. Die Zertifizierung adressiert den Großteil der NIS2-Anforderungen und bietet einen strukturierten Rahmen für die kontinuierliche Verbesserung.

Umsetzungsstand in Deutschland

In Deutschland wird NIS2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zuständige Aufsichtsbehörde fungieren. Das Gesetz erweitert den Kreis der betroffenen Unternehmen erheblich und sieht zusätzliche nationale Anforderungen vor, die über die Mindestanforderungen der Richtlinie hinausgehen.

Wie BALTUM bei der NIS2-Umsetzung unterstützt

BALTUM bietet umfassende Unterstützung bei der Umsetzung der NIS2-Anforderungen:

  • Betroffenheitsanalyse: Prüfung, ob und in welcher Kategorie Ihr Unternehmen in den NIS2-Geltungsbereich fällt.
  • NIS2-Gap-Analyse: Detaillierte Bewertung Ihrer aktuellen Cybersicherheitsmaßnahmen gegen die NIS2-Anforderungen.
  • ISO 27001-Zertifizierung: Unterstützung bei der Implementierung und Zertifizierung als Grundlage für NIS2-Compliance.
  • Incident-Response-Planung: Entwicklung und Test von Meldeprozessen, die die NIS2-Fristen einhalten.
  • Lieferketten-Assessment: Bewertung und Verbesserung der Cybersicherheit in Ihrer Lieferkette.
  • Geschäftsleitungs-Schulungen: Maßgeschneiderte Cybersicherheitsschulungen für die Geschäftsführung.

Die NIS2-Richtlinie ist die umfassendste Cybersicherheitsregulierung, die die EU je verabschiedet hat. Organisationen, die frühzeitig handeln, vermeiden nicht nur Sanktionen — sie bauen eine resilientere Sicherheitsarchitektur auf, die langfristigen geschäftlichen Nutzen stiftet.