NIS2 (NIS-2-Richtlinie)
EU-Richtlinie (2022/2555) zur Stärkung der Cybersicherheit. Betrifft in Deutschland ca. 30.000 Unternehmen aus 18 Sektoren ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz. Bußgelder bis 10 Mio. EUR.
Die NIS-2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist die zweite Generation der EU-Gesetzgebung zur Netzwerk- und Informationssicherheit. Sie wurde am 16. Januar 2023 im EU-Amtsblatt veröffentlicht und musste bis Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland erfolgte dies durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsG). Im Vergleich zur Vorgängerrichtlinie NIS-1 (2016) erweitert NIS-2 den Geltungsbereich von rund 4.500 auf ca. 29.500 betroffene Unternehmen in Deutschland - ein Anstieg um das Sechsfache.
Was ist NIS-2?
NIS-2 verfolgt drei zentrale Ziele:
- Einheitliches Cybersicherheitsniveau in der EU durch verbindliche Mindeststandards
- Harmonisierung der Anforderungen zwischen Mitgliedsstaaten für gleiche Wettbewerbsbedingungen
- Verbesserte Zusammenarbeit bei grenzüberschreitenden Sicherheitsvorfällen
Wen betrifft NIS-2?
NIS-2 unterscheidet zwischen wesentlichen Einrichtungen (Anlage I, 9 Sektoren mit hoher Kritikalität) und wichtigen Einrichtungen (Anlage II, 9 weitere Sektoren). Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in den folgenden 18 Sektoren:
| Wesentliche Einrichtungen (Anlage I) | Wichtige Einrichtungen (Anlage II) |
|---|---|
| Energie (Strom, Gas, Öl, Fernwärme) | Post- und Kurierdienste |
| Verkehr (Luft, Schiene, Wasser, Straße) | Abfallbewirtschaftung |
| Bankwesen und Finanzmarktinfrastrukturen | Chemische Industrie |
| Gesundheitswesen | Lebensmittelproduktion und -vertrieb |
| Trinkwasser- und Abwasserversorgung | Verarbeitendes Gewerbe (Medizinprodukte, Kfz, Maschinenbau) |
| Digitale Infrastruktur (DNS, Cloud, Rechenzentren) | Digitale Dienste (Marktplätze, Suchmaschinen) |
| IKT-Dienstleistungsmanagement (B2B) | Forschung |
| Öffentliche Verwaltung | - |
| Weltraum | - |
Ausnahme: Bestimmte Dienste (DNS, TLD-Registries, Vertrauensdienste) fallen unabhängig von der Unternehmensgröße unter NIS-2.
Die 10 Mindestmaßnahmen nach Art. 21
Artikel 21 der NIS-2-Richtlinie definiert zehn verbindliche Risikomanagementmaßnahmen:
- Risikoanalyse und Sicherheitskonzepte - Systematisches Risikomanagement
- Bewältigung von Sicherheitsvorfällen - Incident-Response-Prozesse
- Business Continuity und Krisenmanagement - Backup, Disaster Recovery
- Sicherheit der Lieferkette - Bewertung von Dienstleistern und Partnern
- Sicherheit bei Erwerb, Entwicklung und Wartung - Secure Development
- Bewertung der Wirksamkeit - Regelmäßige Wirksamkeitsprüfung der Maßnahmen
- Cyberhygiene und Schulungen - Awareness-Training für alle Mitarbeitenden
- Kryptographie - Verschlüsselungskonzept
- Personalsicherheit und Zugangskontrollen - Least Privilege, Asset Management
- Multi-Faktor-Authentifizierung (MFA) - Für kritische Systeme und Zugänge
Meldepflichten
NIS-2 führt ein dreistufiges Meldesystem für erhebliche Sicherheitsvorfälle ein. Meldungen gehen an das BSI (Bundesamt für Sicherheit in der Informationstechnik):
- 24 Stunden: Frühwarnung - Verdacht auf Art des Vorfalls, mögliche grenzüberschreitende Auswirkungen
- 72 Stunden: Vollständige Meldung - Bewertung des Vorfalls, Kompromittierungsindikatoren (IoCs), Gegenmaßnahmen
- 1 Monat: Abschlussbericht - Ursachenanalyse, umgesetzte Abhilfemaßnahmen
Wesentliche Einrichtungen müssen zusätzlich die von einem erheblichen Vorfall betroffenen Empfänger ihrer Dienste informieren.
Bußgelder und persönliche Haftung
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes |
Besonders bedeutsam ist die persönliche Haftung der Geschäftsleitung: Das BSI kann bei wesentlichen Einrichtungen Anordnungen erteilen und Führungskräfte im Extremfall temporär von der Leitungsfunktion ausschließen. Die Geschäftsleitung haftet persönlich für Schäden aus Compliance-Verstößen.
NIS-2 und ISO 27001
Ein zertifiziertes ISMS nach ISO 27001 erfüllt die meisten technischen und organisatorischen NIS-2-Anforderungen und wird von den Behörden als Compliance-Nachweis akzeptiert. Die Kombination aus ISO-27001-Zertifizierung und NIS-2-spezifischen Ergänzungen (BSI-Registrierung, Meldeprozesse, MFA-Konzept) ist der effizienteste Weg zur nachhaltigen NIS-2-Compliance.
