1. Was ist NIS2?
Die NIS2-Richtlinie (2022/2555), in Kraft seit dem 17. Oktober 2024 (Artikel 41, Richtlinie 2022/2555), erweitert die Cybersicherheitspflichten auf über 160.000 Einrichtungen in 18 Sektoren in der EU. Sie ersetzt NIS1 mit Bußgeldern von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Die ursprüngliche NIS-Richtlinie (Netz- und Informationssicherheit) aus dem Jahr 2016 war das erste verbindliche EU-Regelwerk zur Cybersicherheit. Sie verpflichtete die Mitgliedstaaten zur Benennung zuständiger Behörden und zur Festlegung von Mindestsicherheitsanforderungen für Betreiber wesentlicher Dienste und digitale Diensteanbieter. Obwohl sie eine gemeinsame Basis schuf, offenbarte ihre uneinheitliche Umsetzung in den einzelnen Ländern erhebliche Harmonisierungsdefizite.
Angesichts rasch wachsender Cyberbedrohungen und fortbestehender Fragmentierung zwischen den Mitgliedstaaten veröffentlichte die Europäische Kommission am 27. Dezember 2022 die NIS2-Richtlinie (2022/2555). Dieses Gesetz überarbeitet den bisherigen Rahmen grundlegend: Es erweitert den Anwendungsbereich erheblich — über 160.000 Einrichtungen (Artikel 2, Richtlinie 2022/2555) —, verschärft die Sicherheitspflichten, erhöht die Sanktionen und verlangt eine stärkere Zusammenarbeit der nationalen Behörden. Die Richtlinie trat am 17. Oktober 2024 (Artikel 41, Richtlinie 2022/2555) in Kraft, dem Datum, bis zu dem die Mitgliedstaaten ihre Bestimmungen in nationales Recht umsetzen mussten.
In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige nationale Behörde für die Umsetzung von NIS2. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bildet den deutschen Rechtsrahmen. Das BSI wird betroffene Einrichtungen identifizieren und individuell benachrichtigen. Unternehmen sollten bereits jetzt ihren Cybersicherheitsstatus prüfen und Maßnahmen zur Erreichung der Konformität einleiten.
2. Wen betrifft NIS2?
NIS2 klassifiziert Organisationen in wesentliche Einrichtungen (über 250 Beschäftigte oder 50 Mio. € Umsatz) und wichtige Einrichtungen (über 50 Beschäftigte oder 10 Mio. € Umsatz) in 18 Sektoren der Anhänge I und II der Richtlinie 2022/2555, darunter Energie, Gesundheit, Verkehr und digitale Infrastruktur.
Wesentliche vs. wichtige Einrichtungen
NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen: wesentliche Einrichtungen (WE) und wichtige Einrichtungen (WI). Diese Unterscheidung bestimmt den Umfang der Aufsicht durch das BSI und die Höhe der anwendbaren Sanktionen. Wesentliche Einrichtungen sind große Unternehmen (mehr als 250 Beschäftigte oder mehr als 50 Mio. € Jahresumsatz) (Artikel 2, Richtlinie 2022/2555) in den hochkritischen Sektoren des Anhangs I. Wichtige Einrichtungen umfassen mittlere Unternehmen (mehr als 50 Beschäftigte oder mehr als 10 Mio. € Umsatz) (Artikel 2, Richtlinie 2022/2555) in den Sektoren der Anhänge I oder II.
Größenkriterien
Für die Einstufung als wesentliche oder wichtige Einrichtung gelten zwei Kriterien: Mitarbeiterzahl und Jahresumsatz. Ein Unternehmen gilt als groß (Schwellenwert wesentliche Einrichtung), wenn es mehr als 250 Beschäftigte oder mehr als 50 Mio. € Umsatz hat (Artikel 2, Richtlinie 2022/2555). Es gilt als mittelgroß (Schwellenwert wichtige Einrichtung), wenn es mehr als 50 Beschäftigte oder mehr als 10 Mio. € Umsatz hat (Artikel 2, Richtlinie 2022/2555). Diese Schwellenwerte werden auf Ebene der juristischen Person und nicht des Konzerns bewertet.
Die 18 erfassten Sektoren
Die Richtlinie erfasst 18 Sektoren (Anhänge I und II, Richtlinie 2022/2555) in zwei Anhängen. Anhang I umfasst 11 hochkritische Sektoren: Energie — Verkehr — Bankwesen — Finanzmarktinfrastrukturen — Gesundheit — Trinkwasser — Abwasser — digitale Infrastruktur — IKT-Dienstemanagement — öffentliche Verwaltung — Weltraum. Anhang II ergänzt 7 kritische Sektoren: Post- und Kurierdienste — Abfallbewirtschaftung — Chemikalienherstellung und -vertrieb — Lebensmittelproduktion und -vertrieb — verarbeitendes Gewerbe — digitale Anbieter — Forschung.
Auch wenn Ihr Unternehmen nicht direkt einem erfassten Sektor angehört, können Sie betroffen sein, wenn Sie Produkte oder Dienste an eine wesentliche oder wichtige Einrichtung liefern. NIS2 verpflichtet erfasste Einrichtungen, dafür zu sorgen, dass auch ihre kritischen Zulieferer ein angemessenes Sicherheitsniveau einhalten — in der Praxis durch Vertragsklauseln, Sicherheitsfragebögen und Audits.
3. Konkrete Pflichten
Artikel 21 der Richtlinie 2022/2555 legt acht Kernpflichten fest: Governance, Risikomanagement, Lieferkettensicherheit, Meldung von Vorfällen innerhalb von 24 h/72 h (Artikel 23), Betriebskontinuität, Personalsicherheit, Kryptografie und Zugangssteuerung (MFA).
Artikel 21 der NIS2-Richtlinie legt die technischen, betrieblichen und organisatorischen Maßnahmen fest, die betroffene Einrichtungen umsetzen müssen. Diese Maßnahmen müssen dem Risikoniveau, der Größe der Einrichtung und den potenziellen Auswirkungen von Vorfällen angemessen sein. Es werden acht Kernpflichten definiert.
Governance und Verantwortung
Erstens Governance und Leitungsverantwortung: Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und bei schwerwiegenden Verstößen persönlich haften. Zweitens Cybersicherheitsrisikomanagement: regelmäßige Risikoanalysen, Identifizierung kritischer Assets und eine dokumentierte Sicherheitsrichtlinie. Drittens Sicherheit der Lieferkette: Bewertung und Überwachung kritischer Lieferanten durch Vertragsklauseln, Sicherheitsfragebögen und Audits.
Meldung von Vorfällen
Viertens Vorfallsmanagement und 72-Stunden-Meldepflicht (Artikel 23, Richtlinie 2022/2555): Frühwarnung an das BSI innerhalb von 24 Stunden (Artikel 23, Richtlinie 2022/2555) nach Erkennung eines erheblichen Vorfalls, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.
Betriebskontinuität
Fünftens Business Continuity: formalisierte und regelmäßig getestete Business-Continuity-Pläne (BCP) und Notfallwiederherstellungspläne (DRP).
Risikomanagement
Sechstens Personalsicherheit: Hintergrundprüfungen für sicherheitssensible Stellen, Cybersicherheitsschulungen und sofortige Zugangsentzug beim Ausscheiden von Mitarbeitern. Siebtens Kryptografie: Verschlüsselung sensibler Daten bei der Übertragung und im Ruhezustand sowie dokumentiertes Schlüsselmanagement. Achtens Zugangssteuerung: Multi-Faktor-Authentifizierung (MFA) für kritische Systeme und eine IAM-Richtlinie auf Basis des Prinzips der minimalen Rechte.
4. Sanktionen und Kontrollen
Die NIS2-Sanktionen betragen bis zu 10.000.000 € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen und 7.000.000 € oder 1,4 % für wichtige Einrichtungen (Artikel 34, Richtlinie 2022/2555). Führungskräfte haften persönlich bis hin zu einem vorübergehenden Tätigkeitsverbot.
NIS2 sieht ein deutlich schärferes Sanktionsregime als NIS1 vor. Bußgelder werden anhand des jeweils höheren Betrags aus einem festen Höchstbetrag oder einem Prozentsatz des weltweiten Jahresumsatzes berechnet. Für wesentliche Einrichtungen beträgt das Höchstbußgeld 10.000.000 € oder 2 % des weltweiten Jahresumsatzes (Artikel 34, Richtlinie 2022/2555). Für wichtige Einrichtungen sind es 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes (Artikel 34, Richtlinie 2022/2555).
Eine wesentliche Neuerung gegenüber NIS1 ist die persönliche Haftung von Führungskräften bei schwerwiegenden Verstößen gegen Cybersicherheitspflichten. Die Mitgliedstaaten können individuelle Sanktionen gegen natürliche Personen in Leitungsfunktionen wesentlicher Einrichtungen verhängen, bis hin zu einem vorübergehenden Tätigkeitsverbot. Diese Regelung soll Leitungsorgane dazu veranlassen, direkte Verantwortung für die Cybersicherheitspolitik zu übernehmen.
Das BSI verfügt über weitreichende Kontrollbefugnisse: Vor-Ort- und Fernprüfungen, Auskunftsverlangen, Anordnungen zur Mängelbeseitigung mit Fristsetzung sowie Veröffentlichung von Verstößen (Name-and-Shame). Bei wesentlichen Einrichtungen können Kontrollen proaktiv ohne vorherigen Vorfall eingeleitet werden.
5. Wie kann man sich konform verhalten?
Die NIS2-Konformität umfasst 5 Schritte über mindestens 9 Monate: Asset-Inventarisierung, Risikobewertung (BSI-Grundschutz oder ISO 27005), Umsetzung technischer Maßnahmen, Mitarbeiterschulungen und kontinuierliche Audits. Die Geschäftsleitung muss das Projekt steuern.
Die Erreichung der NIS2-Konformität ist ein mehrstufiges Organisationsprojekt, das mehrere Monate in Anspruch nehmen kann. Der folgende Fünf-Schritte-Plan basiert auf BSI-Empfehlungen und ENISA-Leitlinien.
Schritt 1: Assets inventarisieren
Schritt 1 (Monate 1-2) — Asset-Inventarisierung: Identifizieren und katalogisieren Sie alle digitalen Assets (Server, Anwendungen, Netzwerkgeräte, Arbeitsplätze, Cloud-Zugänge) und klassifizieren Sie diese nach ihrer Geschäftskritikalität.
Schritt 2: Risiken bewerten
Schritt 2 (Monate 2-3) — Risikobewertung: Führen Sie eine Risikoanalyse durch, die Bedrohungen, Schwachstellen und potenzielle Auswirkungen für jeden kritischen Asset identifiziert; die BSI-Grundschutz-Methodik oder ISO 27005 sind geeignete Verfahren.
Schritt 3: Maßnahmen umsetzen
Schritt 3 (Monate 3-6) — Maßnahmenumsetzung: Implementieren Sie priorisierte technische und organisatorische Maßnahmen (MFA, Verschlüsselung, Netzwerksegmentierung, Patch-Management, Datensicherung, Incident Detection) und dokumentieren Sie jede Maßnahme.
Schritt 4: Teams schulen
Schritt 4 (Monate 6-9) — Mitarbeiterschulungen: Sensibilisieren Sie alle Mitarbeiter für Cyberrisiken und gute Praktiken; schulen Sie IT-Teams gezielt in neuen Erkennungs- und Meldeprozessen; binden Sie die Führungsebene in Schulungen zur NIS2-Governance und Haftung ein.
Schritt 5: Kontinuierlich auditieren und verbessern
Schritt 5 (fortlaufend) — Audit und kontinuierliche Verbesserung: Planen Sie regelmäßige interne und externe Audits, aktualisieren Sie Ihre Risikoanalyse mindestens jährlich, testen Sie Ihren Business-Continuity-Plan durch Krisenübungen und halten Sie die Dokumentation aktuell.
6. Offizielle Ressourcen
Die wichtigsten NIS2-Compliance-Ressourcen umfassen den offiziellen Text auf EUR-Lex, die BSI-Handlungsempfehlungen und den IT-Grundschutz (bsi.bund.de), die ENISA-Leitlinien sowie ISO/IEC 27001 für die von Artikel 21 geforderte Risikoanalyse.
Mehrere offizielle Quellen helfen Ihnen, NIS2 zu verstehen und Ihren Compliance-Prozess zu starten.
Der vollständige Text der Richtlinie (EU) 2022/2555 ist auf EUR-Lex, dem Amtsblatt der Europäischen Union, verfügbar. Das BSI (bsi.bund.de) veröffentlicht praxisnahe Handlungsempfehlungen, den IT-Grundschutz-Kompendium und aktuelle Informationen zur deutschen Umsetzung von NIS2 durch das NIS2UmsuCG. Die ENISA (Agentur der EU für Cybersicherheit) stellt technische Leitlinien und Implementierungsempfehlungen für Mitgliedstaaten und betroffene Einrichtungen bereit.
Für das Risikomanagement bietet der BSI IT-Grundschutz einen anerkannten deutschen Standard, der die Anforderungen der NIS2-Risikoanalyse erfüllt. Ergänzend können Unternehmen auf die ISO/IEC 27001-Zertifizierung setzen, die als Nachweis gegenüber Aufsichtsbehörden anerkannt wird.