NIS-2-Richtlinie

Die NIS2-Richtlinie

Die neue Richtlinie der EU für mehr Cybersicherheit. Wer ist betroffen? Was ist jetzt zu tun? Die wichtigsten Antworten.

Was ist die NIS-2-Richtlinie?


NIS2 steht für Network and Information Security Directive 2. Die EU-Richtlinie hat das Ziel, die Cybersicherheit in der Europäischen Union zu stärken. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und betrifft kritische Infrastrukturen (wie beispielsweise Energie- und Verkehrssysteme) ebenso wie wichtige digitale Dienstleister. Betroffene Organisationen müssen strenge Sicherheitsmaßnahmen umsetzen und werden zu Risikobewertungen verpflichtet.


Welche Neuerungen kommen auf Sie zu? Ab wann gelten die Änderungen? Was müssen Sie jetzt tun, um vorbereitet zu sein? Wir geben Antworten auf die wichtigsten Fragen zur NIS-2-Richtlinie.

Ab wann gilt die NIS2-Richtlinie?

Die NIS2-Richtlinie ist seit dem 16. Januar 2023 in Kraft und löst die bisher geltende Richtlinie ab.


Da es sich um eine Richtlinie handelt, muss sie von den Mitgliedstaaten erst in nationales Recht umgesetzt werden. Die ursprüngliche Frist für die Umsetzung war der 17. Oktober 2024. Deutschland hat zwar einen Gesetzesentwurf (NIS2UmsuCG) vorgelegt, jedoch wurde dieser aufgrund politischer Unstimmigkeiten nicht verabschiedet. Nach dem Scheitern der Ampelkoalition im Jahr 2024 wird die Umsetzung voraussichtlich nicht vor Herbst 2025 erfolgen.


Trotz dieser Verzögerung bleibt die Richtlinie relevant. Da eine Umsetzung in nationales Recht nur eine Frage der Zeit ist, sollten Unternehmen die Zeit nutzen, um sich auf die Anforderungen vorzubereiten.

quote

"Cybersecurity und Penetrationtests werden wichtiger, aber auch viele technische und organisatorische Maßnahmen, die wir aus dem Datenschutz kennen."

Eberhard Häcker

Berater für Datenschutz und Cybersicherheit

Bin ich von NIS2 betroffen?


Unternehmen müssen selbst klären, ob die NIS2-Richtlinie für sie gilt.



Die Kriterien im Überblick:

Branchenzugehörigkeit: Wenn Ihr Unternehmen zu einem der 18 betroffenen Sektoren gehört.

Unternehmensgröße: Ab 50 Mitarbeitenden oder einem Umsatz von mindestens 10 Mio. Euro (bzw. einer Jahresbilanzsumme von mindestens 10 Mio. Euro).

Sonderfälle: Bestimmte Organisationen wie qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste sind unabhängig von ihrer Größe betroffen.


KRITIS-Unternehmen


Sie galten auch bisher schon als KRITIS-Unternehmen? Dann sind Sie von NIS2 betroffen.

Sektoren


Sie fallen in einen der Sektoren, welche die NIS-2-Richtlinie ausdrücklich nennt.

Unternehmens­größe


Sie haben mindestens 50 Mitarbeitende

oder mindestens 10 Mio. Euro Umsatz

oder eine Jahresbilanzsumme von mindestens 10 Mio. Euro.

Sonderfälle


Unabhängig von ihrer Größe sind bestimmte Einrichtungen automatisch von NIS2 betroffen. Dazu zählen etwa qualifizierte Vertrauensdienste, TLD-Registries und DNS-Dienste.

Von NIS2 betroffene Sektoren

Die NIS-2-Richtlinie unterscheidet zwischen "Besonders wichtigen Einrichtungen" und "Wichtigen Einrichtungen".

Was ist der Unterschied? "Wichtigen Einrichtungen" drohen geringere Geldstrafen, die Behördenaufsicht erfolgt reaktiv. "Besonders wichtige Einrichtungen" müssen mit empfindlicheren Geldstrafen rechnen. Sie werden proaktiv überwacht.

Besonders wichtige Einrichtungen

Energie

Gesundheit

Verkehr

Bank- und Finanzwesen

Wasser

Digitale Infrastruktur und IT-Dienste

  Öffentliche Verwaltung

Raumfahrt

Wichtige Einrichtungen

Abfallwirtschaft

Post- und Kurierdienste

Chemische Erzeugnisse

Lebensmittel

Hersteller

Digitale Anbieter

 Forschungs­einrichtungen

"Da eine Umsetzung in nationales Recht nur eine Frage der Zeit ist, sollten Unternehmen die Zeit nutzen, um sich auf die Anforderungen vorzubereiten."

Neuerungen der NIS2-Richtlinie im Überblick


Die NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie von 2016 und bringt folgende Schlüsseländerungen mit sich.

Erweiterter Anwendungsbereich


Die Anzahl betroffener Unternehmen steigt erheblich: Die Zahl der von NIS2 erfassten Sektoren erhöht sich auf 18. Sieben neue "Important Entities" kommen hinzu, die Schwellenwerte werden gesenkt.

 Lieferkettenrisiko

 

Unternehmen müssen Cyberrisiken in ihrer gesamten Lieferkette bewerten.

Cyberrisikomanagement


Unternehmen sind nun zum Einsatz eines Cyberrisikomanagements verpflichtet.

Mitarbeiterschulungen & Audits


Unternehmen müssen regelmäßige Schulungen und Audits der Cybersicherheit durchführen.

Persönliche Haftung von Geschäftsführern


Geschäftsführer haften persönlich für Cybersicherheitsmängel.

Strenge Meldepflichten


Es werden strenge Meldepflichten eingeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Aufsicht.

Strafen bei Verstößen


Bei Nichteinhaltung der NIS2-Richtlinie drohen hohe Geldstrafen.

Nationale CSIRTs


EU-Mitgliedsstaaten müssen Computer-Notfallteams einrichten (Computer Security Incident Response Team = CSIRT). In Deutschland übernimmt das voraussichtlich das BSI. Die CSIRTs werden länderübergreifend zusammenarbeiten und an die zentrale koordinierende Cybersecurity-Behörde ENISA (European Union Agency for Cybersecurity) berichten.

NIS2 verschärft die Meldepflicht


Die NIS2-Richtlinie verpflichtet Unternehmen, erhebliche Störungen, Vorfälle und Cyberbedrohungen unverzüglich ihrer nationalen Cyber Security Authority zu melden. In Deutschland ist das das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hierfür sieht NIS2 drei Stufen vor:


  • Innerhalb von 24 Stunden ist direkt nach dem Erkennen eines Vorfalls ein vorläufiger Bericht zu übermitteln.
  • Innerhalb von 72 Stunden ist ein umfassender Bericht einzureichen, der auch eine erste Bewertung des Vorfalls enthält.
  • Innerhalb eines Monats ist ein Abschlussbericht vorzulegen, der detaillierte Beschreibungen des Vorfalls, der Art der Bedrohung und der grenzüberschreitenden Auswirkungen enthält.

Häufige Fragen zur NIS2-Richtlinie

Müssen Zulieferer von (besonders) wichtigen Einrichtungen NIS2 einhalten?

Als Zulieferer betrifft die NIS2-Richtlinie Ihr Unternehmen indirekt. Diese Vorschrift legt für KRITIS-Betreiber sowie besonders bedeutende und wichtige Einrichtungen in den 18 Sektoren fest, dass sie die Cybersicherheit in ihrer Lieferkette in Betracht ziehen müssen. Wenn Sie künftig Aufträge erhalten möchten, sollten Sie sich darauf einstellen, dass Cybersicherheit in Vertragsverhandlungen zukünftig zum Thema wird. Unternehmen müssen zunehmend mit vertraglichen Verpflichtungen zu Sicherheitsmaßnahmen rechnen, um weiterhin als Zulieferer oder Dienstleister tätig sein zu können.

Welchem Ziel dient die NIS2-Richtlinie?

Die ursprüngliche NIS-Richtlinie (Network and Information Systems) wurde als Reaktion auf die wachsenden Bedrohungen für die Netz- und Informationssysteme innerhalb der EU verabschiedet. Sie war die erste EU-weite Gesetzgebung zur Verbesserung der Cybersicherheit und zielte darauf ab, ein hohes gemeinsames Sicherheitsniveau der Netz- und Informationssysteme in der EU zu gewährleisten.
Die NIS2-Richtlinie ist eine überarbeitete und erweiterte Version dieser ursprünglichen Richtlinie. Sie zielt darauf ab, frühere Schwächen zu beheben, den Geltungsbereich auf mehr Sektoren und Unternehmen zu erweitern und stärkere Vorschriften für das Risikomanagement sowie für die Meldung von Cybersicherheitsvorfällen einzuführen.

Wer zählt im Sinne der NIS-2-Richtlinie als „Mitarbeitende“?

Um festzustellen, ob Sie aufgrund der Zahl Ihrer Mitarbeitenden unter die NIS-2-Richtlinie fallen, ermitteln Sie die Zahl der Personen, die Ihre Organisation in der Europäischen Union beschäftigt. Dazu zählen auch Teilzeitkräfte, Zeitarbeitskräfte und Saisonpersonal.

Wie setzt Deutschland die NIS2-Richtlinie um?

Der Gesetzesentwurf zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) wurde in dieser Legislaturperiode nicht verabschiedet. Aufgrund politischer Unstimmigkeiten konnte kein Kompromiss erzielt werden. Damit gibt es aktuell keine nationale Umsetzung der NIS2-Richtlinie in Deutschland.
Dennoch bleibt die NIS2-Richtlinie auf EU-Ebene gültig. Unternehmen sollten sich weiterhin auf die Anforderungen vorbereiten, da eine Umsetzung zu einem späteren Zeitpunkt erfolgen wird. Zudem können Unternehmen bereits jetzt vertragliche Verpflichtungen oder branchenspezifische Sicherheitsanforderungen treffen, die sich aus der NIS2-Richtlinie ableiten.

Fazit zur NIS2-Richtlinie


Obwohl die nationale Umsetzung in Deutschland verschoben wurde, bleibt NIS2 eine verbindliche EU-Richtlinie. Unternehmen sollten jetzt handeln, um sich auf kommende Gesetzesänderungen vorzubereiten und ihre Cybersicherheit zu stärken.

Frühzeitige Maßnahmen minimieren Risiken und sichern langfristig die Compliance.


Cybersicherheit und Datenschutz
professionell und zielgerichtet. 
 


Fragen?

Wir sind da.

Kontakt


Rufen Sie uns an oder schreiben Sie uns. Wir helfen weiter.

+49 6831 7689 777

Kontaktieren Sie uns

Die mit * markierten Angaben benötigen wir, um Ihre Anfrage zu bearbeiten und Ihnen zu antworten. Das möchten Sie genauer wissen? Mehr verrät Ihnen unsere Datenschutzerklärung.

Share by: