Die NIS2-Richtlinie
Die neue Richtlinie der EU für mehr Cybersicherheit. Wer ist betroffen? Was ist jetzt zu tun? Die wichtigsten Antworten.
Was ist die NIS-2-Richtlinie?
NIS2 steht für Network and Information Security Directive 2. Die EU-Richtlinie hat das Ziel, die Cybersicherheit in der Europäischen Union zu stärken. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und betrifft kritische Infrastrukturen (wie beispielsweise Energie- und Verkehrssysteme) ebenso wie wichtige digitale Dienstleister. Betroffene Organisationen müssen strenge Sicherheitsmaßnahmen umsetzen und werden zu Risikobewertungen verpflichtet.
Welche Neuerungen kommen auf Sie zu? Ab wann gelten die Änderungen? Was müssen Sie jetzt tun, um vorbereitet zu sein? Wir geben Antworten auf die wichtigsten Fragen zur NIS-2-Richtlinie.
Ab wann gilt die NIS2-Richtlinie?
Die NIS2-Richtlinie ist seit dem 16. Januar 2023 in Kraft und löst die bisher geltende Richtlinie ab.
Da es sich um eine Richtlinie handelt, muss sie von den Mitgliedstaaten erst in nationales Recht umgesetzt werden. Die ursprüngliche Frist für die Umsetzung war der 17. Oktober 2024. Deutschland hat zwar einen Gesetzesentwurf (NIS2UmsuCG) vorgelegt, jedoch wurde dieser aufgrund politischer Unstimmigkeiten nicht verabschiedet. Nach dem Scheitern der Ampelkoalition im Jahr 2024 wird die Umsetzung voraussichtlich nicht vor Herbst 2025 erfolgen.
Trotz dieser Verzögerung bleibt die Richtlinie relevant. Da eine Umsetzung in nationales Recht nur eine Frage der Zeit ist,
sollten Unternehmen die Zeit nutzen, um sich auf die Anforderungen vorzubereiten.
"Cybersecurity und Penetrationtests werden wichtiger, aber auch viele technische und organisatorische Maßnahmen, die wir aus dem Datenschutz kennen."
Eberhard Häcker
Berater für Datenschutz und Cybersicherheit
Bin ich von NIS2 betroffen?
Unternehmen müssen selbst klären, ob die NIS2-Richtlinie für sie gilt.
Die Kriterien im Überblick:
Branchenzugehörigkeit: Wenn Ihr Unternehmen zu einem der 18 betroffenen Sektoren gehört.
Unternehmensgröße: Ab 50 Mitarbeitenden oder einem Umsatz von mindestens 10 Mio. Euro (bzw. einer Jahresbilanzsumme von mindestens 10 Mio. Euro).
Sonderfälle: Bestimmte Organisationen wie qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste sind unabhängig von ihrer Größe betroffen.
KRITIS-Unternehmen
Sie galten auch bisher schon als KRITIS-Unternehmen? Dann sind Sie von NIS2 betroffen.
Unternehmensgröße
Sie haben mindestens 50 Mitarbeitende
oder mindestens 10 Mio. Euro Umsatz
oder eine Jahresbilanzsumme von mindestens 10 Mio. Euro.
Von NIS2 betroffene Sektoren
Die NIS-2-Richtlinie unterscheidet zwischen "Besonders wichtigen Einrichtungen" und "Wichtigen Einrichtungen".
Was ist der Unterschied? "Wichtigen Einrichtungen" drohen geringere Geldstrafen, die Behördenaufsicht erfolgt reaktiv. "Besonders wichtige Einrichtungen" müssen mit empfindlicheren Geldstrafen rechnen. Sie werden proaktiv überwacht.
Besonders wichtige Einrichtungen
Energie
Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff
Energie
City skyline
Krankenhäuser, Labore, Forschung und Entwicklung, Pharmazeutika, Medizingerätehersteller
Gesundheit
City skyline
Luft, Schiene, Wasser, Straße
Verkehr
City skyline
Banken, Kreditwesen, Handel, Markt, Infrastruktur und Versicherungswesen
Bank- und Finanzwesen
Energie
Unternehmen der Trink- und Abwasserversorgung
Wasser
City skyline
Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten und Anbieter öffentlicher elektronischer Kommunikaitonsnetze und -dienste
Digitale Infrastruktur und IT-Dienste
City skyline
Öffentliche Verwaltung
Öffentliche Verwaltung
City skyline
Raumfahrt
Raumfahrt
Wichtige Einrichtungen
Energie
Unternehmen der Abfallwirtschaft
Abfallwirtschaft
City skyline
Postunternehmen und Kurierdienste
Post- und Kurierdienste
City skyline
Produktion und Vertrieb chemischer Erzeugnisse
Chemische Erzeugnisse
City skyline
Produktion und Vertrieb von Lebensmitteln
Lebensmittel
"Da eine Umsetzung in nationales Recht nur eine Frage der Zeit ist, sollten Unternehmen die Zeit nutzen, um sich auf die Anforderungen vorzubereiten."
Neuerungen der NIS2-Richtlinie im Überblick
Die NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie von 2016 und bringt folgende Schlüsseländerungen mit sich.
Erweiterter Anwendungsbereich
Die Anzahl betroffener Unternehmen steigt erheblich: Die Zahl der von NIS2 erfassten Sektoren erhöht sich auf 18. Sieben neue "Important Entities" kommen hinzu, die Schwellenwerte werden gesenkt.
Lieferkettenrisiko
Unternehmen müssen Cyberrisiken in ihrer gesamten Lieferkette bewerten.
Cyberrisikomanagement
Unternehmen sind nun zum Einsatz eines Cyberrisikomanagements verpflichtet.
Mitarbeiterschulungen & Audits
Unternehmen müssen regelmäßige Schulungen und Audits der Cybersicherheit durchführen.
Persönliche Haftung von Geschäftsführern
Geschäftsführer haften persönlich für Cybersicherheitsmängel.
Strenge Meldepflichten
Es werden strenge Meldepflichten eingeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Aufsicht.
Strafen bei Verstößen
Bei Nichteinhaltung der NIS2-Richtlinie drohen hohe Geldstrafen.
Nationale CSIRTs
EU-Mitgliedsstaaten müssen Computer-Notfallteams einrichten (Computer Security Incident Response Team = CSIRT). In Deutschland übernimmt das voraussichtlich das BSI. Die CSIRTs werden länderübergreifend zusammenarbeiten und an die zentrale koordinierende Cybersecurity-Behörde ENISA (European Union Agency for Cybersecurity) berichten.
NIS2 verschärft die Meldepflicht
Die NIS2-Richtlinie verpflichtet Unternehmen, erhebliche Störungen, Vorfälle und Cyberbedrohungen unverzüglich ihrer nationalen Cyber Security Authority zu melden. In Deutschland ist das das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hierfür sieht NIS2 drei Stufen vor:
- Innerhalb von 24 Stunden ist direkt nach dem Erkennen eines Vorfalls ein vorläufiger Bericht zu übermitteln.
- Innerhalb von 72 Stunden ist ein umfassender Bericht einzureichen, der auch eine erste Bewertung des Vorfalls enthält.
- Innerhalb eines Monats ist ein Abschlussbericht vorzulegen, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.

Häufige Fragen zur NIS2-Richtlinie
Fazit zur NIS2-Richtlinie
Obwohl die nationale Umsetzung in Deutschland verschoben wurde, bleibt NIS2 eine verbindliche EU-Richtlinie. Unternehmen sollten jetzt handeln, um sich auf kommende Gesetzesänderungen vorzubereiten und ihre Cybersicherheit zu stärken.
Frühzeitige Maßnahmen minimieren Risiken und sichern langfristig die Compliance.
Cybersicherheit und Datenschutz
professionell und zielgerichtet.
Fragen?
Wir sind da.
Kontaktieren Sie uns
Die mit * markierten Angaben benötigen wir, um Ihre Anfrage zu bearbeiten und Ihnen zu antworten. Das möchten Sie genauer wissen? Mehr verrät Ihnen unsere Datenschutzerklärung.