Was ist NIS2?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die die ursprüngliche NIS-Richtlinie von 2016 ersetzt. Sie trat am 17. Oktober 2024 in Kraft (EU-Ebene) und wird in Deutschland als NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht umgesetzt. NIS2 erweitert den Geltungsbereich massiv: In Deutschland sind nun rund 30.000 Unternehmen betroffen – gegenüber zuvor ~5.000 unter NIS1. Betroffene Unternehmen müssen Risikomanagement, Meldepflichten, Lieferkettensicherheit und Geschäftsführer-Haftung implementieren. Verstöße können mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes geahndet werden.
NIS2 ist die tiefgreifendste Veränderung der Cybersicherheitslandschaft in der EU seit Jahren: 30.000 Unternehmen in Deutschland müssen Cybersicherheits-Mindeststandards umsetzen – und die Geschäftsführung haftet persönlich für deren Umsetzung. Wer NIS2 ignoriert, riskiert nicht nur Bußgelder, sondern persönliche Haftung der Unternehmensleitung.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| NIS2 in Kraft getreten (EU) | 17. Oktober 2024 | EU Amtsblatt |
| Betroffene Unternehmen Deutschland | ~30.000 | BSI |
| Bußgeld (Essential Entities) | Bis 10 Mio. € oder 2 % Umsatz | NIS2-Richtlinie Art. 34 |
| Bußgeld (Important Entities) | Bis 7 Mio. € oder 1,4 % Umsatz | NIS2-Richtlinie Art. 34 |
| Meldefrist nach Sicherheitsvorfall | 24 Stunden (Erstmeldung) | NIS2 Art. 23 |
NIS2-Sektoren – Wer ist betroffen?
| Kategorie | Sektoren (Auswahl) | Größenschwellen |
|---|---|---|
| Essential Entities (EE) | Energie, Transport, Bankwesen, Trinkwasser, Gesundheit, digitale Infrastruktur | ≥250 MA oder ≥50 Mio. € Umsatz |
| Important Entities (IE) | Post, Abfallwirtschaft, Lebensmittel, Chemie, verarbeitendes Gewerbe, digitale Dienste | ≥50 MA oder ≥10 Mio. € Umsatz |
| Unabhängig von Größe | DNS-Anbieter, TLD-Register, Cloud-Anbieter, Rechenzentren, CDN, Vertrauensdienste | Keine Größenschwelle |
NIS2-Kernpflichten im Überblick
| Pflicht | Inhalt | Frist |
|---|---|---|
| Registrierung | Betroffene Unternehmen beim BSI registrieren | Nach Inkrafttreten NIS2UmsuCG |
| Risikomanagement | Technische und organisatorische Sicherheitsmaßnahmen implementieren | Laufend |
| Meldepflicht | Erhebliche Vorfälle binnen 24 h (Erstmeldung), 72 h (Zwischenmeldung), 1 Monat (Abschlussbericht) | Bei Vorfall |
| Lieferkettensicherheit | Sicherheit von Zulieferern und Dienstleistern prüfen | Laufend |
| Geschäftsführer-Haftung | Persönliche Verantwortung für Umsetzung | Sofort |
| Schulungen | Cybersecurity-Training für Management und Mitarbeiter | Laufend |
NIS2-Mindestmaßnahmen (Art. 21)
| Bereich | Maßnahmen |
|---|---|
| Risikomanagement | Risikoanalyse und Sicherheitsrichtlinien |
| Vorfallbehandlung | Incident-Response-Plan, CSIRT-Anbindung |
| Business Continuity | Backup, Disaster Recovery, Krisenmanagement |
| Lieferkette | Sicherheitsanforderungen an Lieferanten |
| IT-Sicherheit | Patch-Management, Schwachstellenmanagement |
| Zugriffskontrolle | MFA, Privileged Access Management |
| Kryptographie | Verschlüsselung von Daten at rest und in transit |
| HR-Sicherheit | Schulungen, Hintergrundprüfungen |
Häufig gestellte Fragen (FAQ)
Wie finde ich heraus, ob mein Unternehmen von NIS2 betroffen ist?
Zwei Prüfschritte: 1) Fällt mein Unternehmen in einen der NIS2-Sektoren (Energie, Transport, Gesundheit, IT, Lebensmittel, Chemie etc.)? 2) Überschreite ich die Größenschwellen (≥50 Mitarbeiter ODER ≥10 Mio. € Umsatz für Important Entities; ≥250 MA ODER ≥50 Mio. € für Essential Entities)? Das BSI bietet auf seiner Website einen Selbsttest an. Wichtig: Auch wenn Ihr Unternehmen nicht direkt betroffen ist, können Ihre Kunden NIS2-Pflichten an Sie (Lieferkette) weitergeben.
Was sind die Unterschiede zwischen Essential und Important Entities?
Essential Entities (EE) – kritischere Sektoren (Energie, Gesundheit, Transport, Wasser, Finanzmarkt): Höhere Bußgelder (bis 10 Mio. € oder 2 % Umsatz), strengere Aufsicht (proaktiv durch Behörden), umfangreichere Prüfpflichten. Important Entities (IE) – weniger kritische Sektoren (Lebensmittel, Post, digitale Dienste, verarbeitendes Gewerbe): Niedrigere Bußgelder (bis 7 Mio. € oder 1,4 % Umsatz), reaktive Aufsicht (nur bei Verdacht oder Vorfall). Die Mindestanforderungen (Art. 21) gelten für beide Kategorien gleich.
Was bedeutet Geschäftsführer-Haftung unter NIS2?
NIS2 macht die Unternehmensleitung (Geschäftsführer, Vorstände) persönlich verantwortlich für die Genehmigung und Überwachung von Cybersicherheitsmaßnahmen. Bei schuldhafter Verletzung dieser Pflichten können Behörden das Management persönlich haftbar machen – bis hin zu einem temporären Tätigkeitsverbot. Das bedeutet konkret: Die Geschäftsführung muss Cybersicherheit aktiv steuern, über den Status informiert sein und Ressourcen bereitstellen. „Das war Sache der IT-Abteilung" ist keine Entlastung mehr.
Was passiert bei einem meldepflichtigen Vorfall?
NIS2 schreibt ein dreistufiges Meldemodell vor: Stufe 1 (24 Stunden): Erstmeldung – Art des Vorfalls, betroffene Systeme, erste Einschätzung. Stufe 2 (72 Stunden): Zwischenmeldung – genauere Analyse, Ausmaß, erste Gegenmaßnahmen. Stufe 3 (1 Monat): Abschlussbericht – vollständige Analyse, Ursachen, Konsequenzen. Gemeldet wird beim BSI (für national bedeutsame Vorfälle) oder CERT. Ein erheblicher Vorfall ist definiert als: Betriebsunterbrechung, finanzielle Verluste über Schwellenwert, Auswirkungen auf andere Entitäten.
Wie kann ich NIS2-Compliance effizient umsetzen?
Empfohlener Fahrplan: 1) Betroffenheitsprüfung (bin ich NIS2-pflichtig?). 2) Gap-Analyse gegen NIS2-Anforderungen (was fehlt noch?). 3) Prioritäten setzen nach Risiko (MFA, Backups, Patch-Management zuerst). 4) ISMS aufbauen oder erweitern (ISO 27001 als Rahmen). 5) Incident-Response-Plan dokumentieren und testen. 6) Lieferantenbewertungen durchführen. 7) Schulungen für Management und Mitarbeiter. 8) Beim BSI registrieren. Tipp: ISO 27001 liefert ~80 % der NIS2-Anforderungen ab – eine Zertifizierung ist keine Pflicht, aber ein gutes Fundament.
Fazit
NIS2 ist eine Zäsur für die Cybersicherheitslandschaft in Deutschland: 30.000 betroffene Unternehmen, persönliche Geschäftsführer-Haftung und 24-Stunden-Meldefristen setzen neue Standards. Wer NIS2 als Chance begreift, professionalisiert seine Cybersicherheit auf ein Niveau, das auch ohne gesetzliche Pflicht sinnvoll wäre. Die Anforderungen sind managebar – ISO 27001, MFA, Patch-Management, Backup und Incident Response decken den Kern ab.
Erstellt vom IT-Expertenteam der You Logic AG
Die You Logic AG ist ein IT-Dienstleister aus Wiesbaden mit über 13 Jahren Erfahrung und mehr als 2.500 verwalteten Arbeitsplätzen im Rhein-Main-Gebiet. Unser Qualitätsmanagement ist an den Grundsätzen der ISO 9001:2015 ausgerichtet.
LinkedIn
