NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Oktober 2024 in deutsches Recht umgesetzt. Sie betrifft deutlich mehr Unternehmen als die Vorgänger-Richtlinie und bringt erhebliche Pflichten mit sich. Wir erklären, was Sie wissen müssen.

Was ist die NIS2-Richtlinie?

NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in Europa. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen drastisch. In Deutschland betrifft sie schätzungsweise 30.000 bis 40.000 Unternehmen – zehnmal mehr als zuvor.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen:

Wesentliche Einrichtungen (Essential Entities)

• Energie (Strom, Gas, Öl, Fernwärme)
• Verkehr (Luft, Schiene, Wasser, Straße)
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser und Abwasser
• Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
• Öffentliche Verwaltung
• Weltraum

Wichtige Einrichtungen (Important Entities)

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -vertrieb
• Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)
• Digitale Dienste (Marktplätze, Suchmaschinen, Social Media)
• Forschungseinrichtungen

Größenkriterien

Sie fallen unter NIS2, wenn Sie in einem der genannten Sektoren tätig sind UND:

Kriterium	Schwellenwert
Mitarbeiter	> 50
Jahresumsatz	> 10 Mio. EUR
Bilanzsumme	> 10 Mio. EUR

Wichtig: Es reicht, wenn EIN Kriterium erfüllt ist (Mitarbeiter ODER Umsatz/Bilanz).

Was fordert NIS2 konkret?

Artikel 21 der Richtlinie definiert 10 Maßnahmenbereiche:

Nr.	Maßnahmenbereich
1	Risikoanalyse und Sicherheitskonzepte
2	Bewältigung von Sicherheitsvorfällen
3	Business Continuity und Krisenmanagement
4	Sicherheit der Lieferkette
5	Sicherheit bei Beschaffung, Entwicklung und Wartung
6	Bewertung der Wirksamkeit von Maßnahmen
7	Cyberhygiene und Schulungen
8	Kryptografie
9	Personalsicherheit und Zugangssteuerung
10	Multi-Faktor-Authentifizierung

Die neuen Meldepflichten

Bei erheblichen Sicherheitsvorfällen müssen Sie das BSI informieren:

Die 24-Stunden-Frist ist kurz. Sie brauchen einen dokumentierten Incident-Response-Prozess und müssen wissen, wer im Ernstfall zuständig ist.

Persönliche Haftung der Geschäftsführung

NIS2 nimmt erstmals die Geschäftsführung persönlich in die Pflicht. Sie müssen:

• Sicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen
• Regelmäßig an Cybersecurity-Schulungen teilnehmen
• Für Verstöße persönlich haften können

Bei Pflichtverletzungen drohen persönliche Bußgelder und im Extremfall sogar temporäre Berufsverbote für Führungskräfte.

Welche Strafen drohen?

Einrichtungstyp	Maximales Bußgeld
Wesentliche Einrichtungen	10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen	7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes

Was sollten Sie jetzt tun?

1. Betroffenheit prüfen: Fallen Sie unter NIS2? Prüfen Sie Sektor und Größenkriterien.
2. Gap-Analyse durchführen: Wo stehen Sie heute? Was fehlt?
3. ISB benennen: Sie brauchen einen Informationssicherheitsbeauftragten (intern oder extern).
4. Incident-Response vorbereiten: 24-Stunden-Meldefrist erfordert klare Prozesse.
5. Geschäftsführung schulen: Die GF muss nachweislich geschult sein.
6. Maßnahmen umsetzen: Risikomanagement, Dokumentation, technische Maßnahmen.

Wie wir helfen können

Als IT-Sicherheitsdienstleister unterstützen wir Sie bei der NIS2-Compliance:

• NIS2 Readiness Assessment: Wo stehen Sie? Was fehlt? (2-3 Tage, ab 1.990 EUR)
• Externer ISB: Informationssicherheitsbeauftragter als Service (ab 350 EUR/Monat)
• ISMS-Aufbau: Systematisches Sicherheitsmanagement (ab 9.900 EUR)
• Schulungen: Awareness und GF-Schulung