NIS 2 Richtlinie: Europas neues Cybersicherheitsgesetz

Die NIS 2-Richtlinie stellt einen wichtigen Meilenstein in der europäischen Cybersicherheit dar und wird erhebliche Auswirkungen auf tausende Unternehmen haben. Erfahren Sie, was diese neue Regelung bedeutet, wer betroffen ist und wie Sie Ihr Unternehmen vorbereiten können.

Was ist NIS 2 eigentlich?
EU-Richtlinie

NIS 2 steht für "Network and Information Systems Directive 2" und ist die Nachfolgeversion der ursprünglichen NIS-Richtlinie von 2016. Diese EU-Richtlinie wurde am 14. Dezember 2022 beschlossen.

Einheitliche Standards

Vergleichbar mit der DSGVO für den Datenschutz legt NIS 2 einheitliche Cybersicherheitsstandards fest, die in allen EU-Mitgliedstaaten gelten sollen.

Reaktion auf Bedrohungen

Die Richtlinie reagiert auf die wachsende Bedrohungslage im Cyberraum und die zunehmende Abhängigkeit unserer Gesellschaft von digitalen Technologien.

Wer ist von NIS 2 betroffen?
29.000-40.000
Betroffene Unternehmen in Deutschland

Im Vergleich zur ersten NIS-Richtlinie, die nur etwa 2.000 Unternehmen erfasste, weitet NIS 2 den Anwendungsbereich erheblich aus.

50+
Mitarbeiter

Ein Kriterium für betroffene Unternehmen ist die Mitarbeiterzahl von mindestens 50.

10 Mio. €
Jahresumsatz

Alternativ gilt ein Jahresumsatz von mindestens 10 Millionen Euro als Kriterium. Es reicht, wenn eines der beiden Kriterien erfüllt ist.

Es gibt allerdings Sonderfälle: Auch kleinere Unternehmen können unter die Richtlinie fallen, etwa wenn sie der einzige Anbieter einer kritischen Dienstleistung in einer Region sind.

Kategorien betroffener Organisationen
Wesentliche Einrichtungen

Diese umfassen 11 Sektoren von "hoher Kritikalität", darunter:

  • Energieversorgung
  • Verkehr
  • Trinkwasserversorgung
  • Gesundheitswesen
  • Digitale Infrastruktur
  • Öffentliche Verwaltung

Diese Einrichtungen werden regelmäßig behördlich überprüft.

Wichtige Einrichtungen

Hierzu zählen weitere 7 Sektoren, die zwar wichtig, aber nicht von höchster Kritikalität sind.

Diese Einrichtungen werden nur bei konkretem Verdacht auf Verstöße oder nach größeren Sicherheitsvorfällen kontrolliert.

Trotz dieser Unterscheidung sind die grundlegenden Anforderungen für beide Kategorien gleich anspruchsvoll.

Was fordert NIS 2 von betroffenen Unternehmen?
1
Selbsteinstufung und Registrierung

Unternehmen müssen sich selbst als "wesentliche" oder "wichtige" Einrichtung einstufen und sich bei der zuständigen nationalen Behörde registrieren. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI).

2
Cybersicherheitsmaßnahmen

Betroffene Unternehmen müssen angemessene technische, operative und organisatorische Maßnahmen zur Risikobewältigung ergreifen, darunter Risikomanagement, Cyber-Resilienz und Sicherheit in der Lieferkette.

3
Meldepflichten

Bei Sicherheitsvorfällen müssen Unternehmen innerhalb von 24 Stunden eine erste Meldung an die zuständige Behörde abgeben. Dabei sind umfangreiche Informationen zum Vorfall bereitzustellen.

Welche Konsequenzen drohen bei Nichteinhaltung?
1
2
3
1
Schwerwiegende Verstöße

Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes

2
Mittlere Verstöße

Erhebliche Geldbußen je nach Schwere

3
Leichte Verstöße

Verwarnungen und Anordnungen

Diese empfindlichen Strafen unterstreichen, wie ernst die EU das Thema Cybersicherheit nimmt. Die Sanktionen sind vergleichbar mit denen der DSGVO und sollen Unternehmen zur konsequenten Umsetzung der Sicherheitsmaßnahmen motivieren.

Wann tritt NIS 2 in Kraft?
1
EU-Beschluss

NIS 2 wurde am 14. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft.

2
Umsetzungsfrist

Die Frist für die Umsetzung in nationales Recht endete ursprünglich am 17. Oktober 2024.

3
Erwartete Umsetzung in Deutschland

In Deutschland wird mit der Verabschiedung des entsprechenden Gesetzes voraussichtlich erst im März 2025 gerechnet.

Die NIS 2-Richtlinie hätte eigentlich bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden sollen. Allerdings verzögert sich die Umsetzung in vielen EU-Ländern, darunter auch in Deutschland und Österreich. In Deutschland wird mit einer Verabschiedung des entsprechenden Gesetzes voraussichtlich erst im März 2025 gerechnet.

Die Europäische Kommission hat gegen mehrere Mitgliedstaaten bereits Vertragsverletzungsverfahren wegen der Nichtumsetzung eingeleitet.

Wie können Unternehmen NIS 2 umsetzen?
Schritt 1: Betroffenheit prüfen

Juristisch prüfen, ob das Unternehmen unter die NIS 2 fällt

Schritt 2: Risiken ermitteln

IT- und Sicherheitsrisiken im Unternehmen identifizieren

Schritt 3: Gefährdungspotenzial feststellen

Das Gefährdungspotenzial des Unternehmens analysieren

Schritt 4: Maßnahmen umsetzen

Bestehende Sicherheitsmaßnahmen analysieren und fehlende implementieren

Schritt 5: Dokumentieren

Alle Maßnahmen und Verantwortlichkeiten dokumentieren

Für viele Unternehmen kann die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein sinnvoller Weg sein, um die Anforderungen der NIS 2-Richtlinie zu erfüllen.

Cybersicherheitsmaßnahmen im Detail
Risikomanagement

Systematische Analyse von Bedrohungen und deren Folgen sowie die Implementierung verhältnismäßiger Schutzmaßnahmen.

Cyber-Resilienz

Nicht nur Prävention von Angriffen, sondern auch die Fähigkeit, sich nach einem erfolgreichen Angriff schnell zu erholen.

Lieferkettensicherheit

Unternehmen müssen sicherstellen, dass ihre Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten.

Business Continuity

Pläne für den Notfall, damit kritische Geschäftsprozesse auch bei Sicherheitsvorfällen weitergeführt werden können.

Fazit: Warum NIS 2 wichtig ist
1
1
Einheitlicher Schutz

Die NIS 2-Richtlinie fördert ein einheitliches Sicherheitsniveau in der gesamten EU und berücksichtigt moderne Sicherheitsansätze.

2
2
Gesellschaftlicher Nutzen

Obwohl sie zunächst zusätzlichen Aufwand bedeutet, dient sie letztlich dem Schutz kritischer Infrastrukturen und damit der gesamten Gesellschaft.

3
3
Stärkere Resilienz

In einer Zeit, in der Cyberangriffe immer häufiger und raffinierter werden, bietet die NIS 2-Richtlinie einen wichtigen Rahmen, um europäische Unternehmen und Infrastrukturen widerstandsfähiger zu machen.

Unternehmen, die die Anforderungen der NIS 2 erfüllen, verbessern nicht nur ihre eigene Cybersicherheit, sondern tragen auch zur Sicherheit der gesamten digitalen Ökosysteme bei, von denen wir alle abhängig sind.