NIS2-Richtlinie
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Rechtsvorschrift, die Cybersicherheitsanforderungen für kritische und wichtige Einrichtungen harmonisiert und verschärft.
Inhaltsverzeichnis (5 Abschnitte)
Die NIS2-Richtlinie (Richtlinie EU 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist die Nachfolgerin der ersten NIS-Richtlinie aus dem Jahr 2016. Sie erweitert den Anwendungsbereich erheblich, verschärft die Sicherheitspflichten und führt deutlich härtere Sanktionen ein. In Deutschland wird NIS2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.
Zeitplan und aktueller Stand
| Datum | Meilenstein |
|---|---|
| 16. Januar 2023 | NIS2-Richtlinie in Kraft getreten |
| 17. Oktober 2024 | Ursprüngliche Umsetzungsfrist für Mitgliedstaaten |
| 2025/2026 | Erwartetes Inkrafttreten NIS2UmsuCG in Deutschland |
Deutschland hat die Frist versäumt. Das Gesetzgebungsverfahren für das NIS2UmsuCG läuft; Unternehmen sollten sich dennoch jetzt vorbereiten, da die Anforderungen bei Inkrafttreten sofort gelten werden.
Anwendungsbereich: Wer ist betroffen?
NIS2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen:
Wesentliche Einrichtungen (higher tier)
Unternehmen in besonders kritischen Sektoren:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Pharma, Medizinprodukte)
- Trinkwasserversorgung und Abwasser
- Digitale Infrastruktur (DNS, TLD, IXPs, Rechenzentren, CDN, Cloud)
- IKT-Dienstleistungsmanagement (MSP, MSSP)
- Öffentliche Verwaltung (Bundes- und Landesebene)
- Raumfahrt
Wichtige Einrichtungen (lower tier)
Unternehmen in weiteren Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie
- Lebensmittel
- Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, Computer, Elektronik, Maschinen, Fahrzeuge)
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Größenschwellen
Als Faustformel gilt: Unternehmen ab 50 Mitarbeitern oder €10 Mio. Jahresumsatz in den genannten Sektoren fallen unter NIS2. Wesentliche Einrichtungen beginnen ab 250 Mitarbeitern oder €50 Mio. Umsatz - oder sie sind als kritisch bestimmt unabhängig von der Größe.
Pflichten nach NIS2
1. Risikomanagementmaßnahmen (Art. 21)
Betroffene Einrichtungen müssen geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen. NIS2 benennt explizit mindestens folgende Bereiche:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Vorfallbewältigung (Incident Management)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette (Supply Chain Security)
- Sicherheit beim Erwerb, Entwicklung und Betrieb von Netz- und Informationssystemen
- Bewertung der Effektivität der Sicherheitsmaßnahmen
- Grundlegende Cyberhygiene und Cybersicherheitsschulungen
- Kryptographie und ggf. Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Asset-Management
- Multifaktor-Authentifizierung (MFA) oder ähnliche Lösungen
2. Meldepflichten (Art. 23)
NIS2 führt ein dreistufiges Meldesystem ein:
| Stufe | Frist | Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden | Erster Hinweis auf erheblichen Vorfall |
| Meldung | 72 Stunden | Bewertung: Schwere, betroffene Systeme, vorläufige Schadensbewertung |
| Abschlussbericht | 1 Monat | Detaillierte Analyse, ergriffene Maßnahmen, Lessons Learned |
Meldungen gehen an das BSI (Deutschland) als nationale Behörde (CSIRT). Erheblich ist ein Vorfall, wenn er erhebliche Betriebsstörungen verursacht hat oder verursachen kann.
3. Governance und Management-Verantwortung (Art. 20)
Neu in NIS2: Geschäftsleitung und Vorstände müssen persönlich für die Cybersicherheit verantwortlich gemacht werden können. Sie müssen:
- Risikomanagementmaßnahmen genehmigen
- Cybersicherheitsschulungen absolvieren
- Bei Verstößen persönlich haftbar sein (bei wesentlichen Einrichtungen)
Dies ist ein Paradigmenwechsel: Cybersicherheit ist jetzt eine explizite Geschäftsleitungspflicht, keine rein technische Angelegenheit.
Sanktionen
| Kategorie | Maximale Sanktion |
|---|---|
| Wesentliche Einrichtungen | €10 Mio. oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | €7 Mio. oder 1,4% des weltweiten Jahresumsatzes |
Zusätzlich können nationale Behörden folgende Maßnahmen ergreifen:
- Durchsetzungsanweisungen (Compliance Orders)
- Verbindliche Sicherheitsaudits
- Öffentliche Bekanntmachung von Verstößen
- Vorübergehende Abberufung von Leitungspersonen (bei wesentlichen Einrichtungen)
NIS2 und ISO 27001
ISO 27001 ist kein formales Zertifizierungsäquivalent zu NIS2, aber ein starker Erfüllungsnachweis. Wer ISO 27001 implementiert hat, deckt die meisten NIS2-Anforderungen bereits ab - insbesondere Risikoanalyse, Incident Management, Business Continuity und Supply-Chain-Sicherheit.
Für betroffene Unternehmen empfehlen wir folgende Vorgehensweise:
- Betroffenheitsprüfung: Bin ich wesentliche oder wichtige Einrichtung?
- Gap-Analyse: Was fehlt noch bis zur NIS2-Compliance?
- ISO-27001-ISMS aufbauen (optimal): Bietet strukturierten Rahmen für alle NIS2-Anforderungen
- Meldeprozesse etablieren: 24-Stunden-Frühwarnung erfordert vorbereitete Prozesse und klare Eskalationswege
- Management sensibilisieren: Geschäftsführung muss persönlich eingebunden sein
Weiterführende Informationen: AWARE7 NIS2-Beratung | Kostenloser Compliance-Checker
Quellen & Referenzen
- [1] Richtlinie (EU) 2022/2555 (NIS2) - Amtsblatt der Europäischen Union
- [2] NIS2UmsuCG - Referentenentwurf - Bundesministerium des Innern
- [3] BSI - NIS2 für Unternehmen - Bundesamt für Sicherheit in der Informationstechnik
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
6 Publikationen
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Evaluating the Usability and Security of Personal Password Stores (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Understanding User Perceptions of Security Indicators in Web Browsers (2024)
- A Systematic Analysis of NIS2 Compliance Challenges for SMEs (2024)
