Was ist die NIS-2?

Die EU-Richtlinie NIS-2 (Network and Information Security Directive 2) markiert einen bedeutenden Schritt zur Stärkung der Cybersicherheit innerhalb der Europäischen Union. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und verpflichtet eine Vielzahl von Unternehmen und öffentlichen Einrichtungen zu umfassenden Sicherheitsmaßnahmen.

In Deutschland ist die Umsetzung in nationales Recht, das sogenannte NIS2UmsuCG, noch nicht abgeschlossen. Ein Regierungsentwurf liegt seit Juli 2024 vor, doch aufgrund politischer Verzögerungen (Neuwahlen) wird mit einer Umsetzung frühestens im zweiten Quartal 2025 gerechnet.

Für wen gilt die NIS-2-Richtlinie?

Die NIS-2-Richtlinie betrifft nicht pauschal alle Unternehmen und Einrichtungen, sondern unterscheidet gezielt nach Branche, Unternehmensgröße und Tätigkeit innerhalb der EU.

Relevante Branchen (Sektoren)

Die Richtlinie nennt insgesamt 18 kritische und wichtige Sektoren:

Kritische (“wesentliche”) Sektoren gemäß Anhang I:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheit
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (B2B)
• Öffentliche Verwaltung
• Weltraum

Weitere (“wichtige”) Sektoren gemäß Anhang II:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Lebensmittelindustrie
• Medizingeräte und In-vitro-Diagnostika
• IT- und Elektronikhersteller
• Maschinen- und Fahrzeugbau
• Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungsinstitute

Unternehmensgröße

Betroffen sind Unternehmen mit:

• Mindestens 50 Mitarbeitenden und/oder
• Mehr als 10 Mio. Euro Jahresumsatz oder Bilanzsumme

Ausnahme: Auch kleinere Unternehmen fallen unter die Richtlinie, wenn sie eine zentrale Bedeutung für Gesellschaft, Wirtschaft oder Sicherheit haben (z. B. Digitale Infrastruktur).

Öffentliche Einrichtungen und Behörden

Auch Behörden, insbesondere der Bereich der öffentlichen Verwaltung, sind von der Richtlinie betroffen und müssen entsprechende Maßnahmen zur Cybersicherheit umsetzen.

Tätigkeit innerhalb der EU

Unternehmen mit Sitz außerhalb der EU, die jedoch innerhalb der EU Dienste erbringen, müssen die Vorgaben der NIS-2 ebenfalls erfüllen.

Einstufung in “wesentliche” und “wichtige” Einrichtungen

Die Einstufung beeinflusst die behördliche Kontrolle und die Höhe möglicher Sanktionen bei Verfehlungen.

Was sind die Anforderungen der NIS-2-Richtlinie

Die Richtlinie verpflichtet betroffene Organisationen zu folgenden Maßnahmen:

1. Risikomanagement

   • Identifikation, Bewertung und Behandlung von Cyberrisiken

2. Technische und organisatorische Sicherheitsmaßnahmen

   • z. B. Netzsegmentierung, Zugriffskontrolle, Verschlüsselung, Backup

3. Meldepflichten

   • Meldefähige Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde

4. Business Continuity Management (BCM)

   • Notfallpläne, Wiederanlaufprozesse, Kontinuitätsstrategien

5. Incident Management

   • Etablierung und Überprüfung von Prozessen zur Erkennung, Reaktion und Meldung von Vorfällen

6. Schulungen & Sensibilisierung

   • Regelmäßige Trainings für Mitarbeitende inkl. Führungsebene

7. Dokumentation & Nachweisführung

   • Alle Maßnahmen müssen nachvollziehbar dokumentiert sein

8. Verantwortung der Geschäftsleitung

   • Die Leitungsebene ist verpflichtet, Maßnahmen zu billigen und deren Umsetzung zu überwachen. Sie kann persönlich haftbar gemacht werden.

Synergien zur ISO 27001

Die Anforderungen der NIS-2-Richtlinie lassen sich vielfach mit einem bestehenden Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 abdecken, wie beispielsweise die folgenden Punkte:

• Risikobasierter Ansatz
• Organisatorische Sicherheitsmaßnahmen
• Dokumentation und Auditierung
• Kontinuierliche Verbesserung
• Sicherheitsmaßnahmen wie aus dem Anhang A der ISO 27001

Die Zertifizierung nach ISO 27001 kann die Umsetzung erleichtern, erfüllt jedoch nicht automatisch alle NIS-2-Anforderungen.

Umsetzung der NIS-2-Richtlinie in der Praxis

Die gesetzlichen Anforderungen der NIS-2-Richtlinie sind klar formuliert, aber was bedeutet das für betroffene Unternehmen und Behörden konkret? Die bloße Kenntnis von Anforderungen reicht nicht aus. Entscheidend für Compliance und echte Informationssicherheit ist ihre wirksame Umsetzung in der Praxis und ist damit mehr als nur reine Papier-Compliance.

Handlungsempfehlungen für betroffene Organisationen

1. Projektteam mit Top-Management-Beteiligung aufstellen Die Geschäftsleitung trägt die Verantwortung für die Informationssicherheit und für die Erfüllung der NIS-2 Anforderungen. Das Projekt sollte deshalb mit direkter Unterstützung durch die Geschäftsführung aufgesetzt werden. Zudem müssen die Themenbereiche IT, Datenschutz, Risikomanagement, Recht und weitere Fachbereiche eng zusammenarbeiten und sich nicht gegenseitig blockieren.

2. IST-Zustand erkennen und GAP-Analyse durchführen Zunächst sollte überprüft werden, was bereits im Unternehmen vorhanden ist. Häufig gibt es schon bestehende Strukturen (z. B. ISO 27001, BSI IT-Grundschutz, TISAX), welche bereits Anforderungen abdecken. Auf dieser Basis kann dann analysiert werden wo konkrete Lücken bestehen.

3. Kritische Systeme und Dienste identifizieren Anschließend sollten alle geschäftskritischen IT-Systeme, Netzwerke und Prozesse ermittelt werden. Gerade in regulierten Branchen ist es wichtig, dass diese zentral dokumentiert sind. Eine Business Impact Analyse hilft dir dabei. Oft wurde diese Vorarbeit bereits im Rahmen von ISO 27001 oder des Business Continuity Managements durchgeführt.

4. Risikoanalyse mit Fokus auf Informationssicherheit Eine risikobasierte Bewertung der Infrastruktur mit besonderem Fokus auf digitale Abhängigkeiten, Lieferketten und Angriffsvektoren ist ebenfalls eine Anforderung. In der Regel kann hier ebenfalls schon auf Bestehendes aufgesetzt werden.

5. IT-Security-Maßnahmen priorisieren und umsetzen Aus der Risikoanalyse sind dann die konkreten Maßnahmen abzuleiten. Diese können beispielsweise sein: Segmentierung von Netzwerken, Härtung von Endpunkten, Zugriffskontrollen, Monitoring-Lösungen, Notfall-Backups und viele mehr. Hierbei kann man sich wieder am Anhang A der ISO 27001 orientieren.

6. Meldeprozesse einrichten Richte einen Prozess ein, mit dem Sicherheitsvorfälle schnell erkannt und gemeldet werden können, inklusive einer 24/7-Erreichbarkeit und klar abgestimmter Meldeketten zum BSI oder anderen zuständigen Behörden.

7. Kontinuierliches Schulungsprogramm aufbauen Alle Mitarbeiter einschließlich der Geschäftsleitung müssen zu sicherheitsrelevanten Themen regelmäßig geschult werden. Dies bedarf auch einer Dokumentation.

8. Dokumentation und Nachweisführung sicherstellen Alle Maßnahmen, Prozesse, Entscheidungen müssen nachvollziehbar dokumentiert sein. Im Audit müssen diese Dokumente als Nachweis genügen.

9. Lieferkettensicherheit prüfen Beziehe auch deine Zulieferer und Dienstleister in deine Sicherheitsstrategie ein, beispielsweise durch vertragliche Verpflichtungen, Zertifikate oder eigene Audits.

10. Regelmäßige interne Audits und Tests durchführen Überprüfe deine Maßnahmen regelmäßig, beispielsweise durch technische Tests wie Penetrationstests und interne Audits. Schwachstellen solltest du systematisch erfassen und konsequent nachverfolgen.

Konsequenzen bei Nichtumsetzung

• Wesentliche Einrichtungen: Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: Bußgelder bis zu 7 Mio. EUR oder 1,4 %
• Geschäftsführungshaftung: Persönliche Konsequenzen für das Management, z. B. Führungsverbot
• Reputationsschaden und Ausschluss aus Lieferketten möglich

Fazit

Die NIS-2-Richtlinie ist weit mehr als eine Compliance-Vorgabe. Sie stellt konkrete Anforderungen an Organisationen, ihre digitale Resilienz zu erhöhen. Wer frühzeitig handelt, kann Synergien mit bestehenden Managementsystemen wie ISO 27001 nutzen und gleichzeitig rechtlichen Risiken vorbeugen.