Was ist NIS2? Alles, was Ihr Unternehmen wissen muss

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist das bisher umfassendste Cybersicherheitsgesetz der Europäischen Union. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016) und erweitert sowohl den Anwendungsbereich als auch die Pflichten für Organisationen, die wesentliche oder wichtige Dienste erbringen, erheblich.

Kurz gesagt: NIS2 legt grundlegende Anforderungen an die Cybersicherheit und die Meldung von Vorfällen für eine breite Palette von Sektoren fest – von Energie und Gesundheitswesen bis hin zu Finanzen, Fertigung und digitaler Infrastruktur. Die Einhaltung ist nicht optional; Bußgelder für Verstöße können bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist.

1. Hintergrund: Warum es NIS2 gibt

Die ursprüngliche NIS-Richtlinie von 2016 war der erste Versuch der EU, die Cybersicherheitsanforderungen in den Mitgliedstaaten zu harmonisieren. Obwohl sie die Koordination verbesserte, hatte sie wesentliche Schwächen:

  • Begrenzter Anwendungsbereich – Zu wenige Sektoren wurden abgedeckt, wodurch viele kritische Branchen außerhalb ihrer Reichweite blieben.
  • Inkonsistente Durchsetzung – Verschiedene Mitgliedstaaten hatten sehr unterschiedliche Anforderungen.
  • Sich entwickelnde Bedrohungen – Ransomware, Angriffe auf die Lieferkette und staatlich geförderte Cyber-Operationen sind anspruchsvoller geworden.

Prominente Vorfälle wie der Angriff auf die Colonial Pipeline in den USA, Ransomware in deutschen Krankenhäusern und Lieferkettenverstöße wie SolarWinds machten deutlich, dass kritische Sektoren in ganz Europa einen stärkeren, einheitlichen Schutz benötigen.

2. Wer muss NIS2 einhalten?

Unter NIS2 werden Organisationen wie folgt kategorisiert:

KategorieBeispieleAufsichtsansatzBußgeldobergrenze
Wesentliche EinrichtungenStromnetzbetreiber, große Krankenhäuser, wichtige Verkehrsknotenpunkte, ZentralbankenProaktive Prüfungen, strenge Aufsicht10 Mio. € oder 2 % des weltweiten Umsatzes
Wichtige EinrichtungenCloud-Hosting-Anbieter, Hersteller von Medizinprodukten, Lebensmittelproduktionsanlagen, Zulieferer im verarbeitenden GewerbeReaktive Aufsicht (nach Vorfällen oder Beschwerden)7 Mio. € oder 1,4 % des weltweiten Umsatzes

Größenschwelle: Gilt für mittlere und große Unternehmen (50+ Mitarbeiter oder 10+ Mio. € Umsatz), aber Kleinstunternehmen können dennoch einbezogen werden, wenn ihre Dienste kritisch sind – zum Beispiel ein Wasseraufbereitungsanbieter mit 20 Mitarbeitern in einer ländlichen Region.

3. Abgedeckte Sektoren

NIS2 gilt für 18 Sektoren, die in Sektoren mit hoher Kritikalität und andere kritische Sektoren unterteilt sind.

Sektoren mit hoher Kritikalität umfassen:

  • Energie (Strom, Gas, Öl, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen & Finanzmarktinfrastruktur
  • Gesundheit (Krankenhäuser, Privatkliniken, Labore)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Register, Rechenzentren, Cloud-Computing)

Andere kritische Sektoren umfassen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung von Chemikalien
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Herstellung kritischer Produkte (Medizinprodukte, Elektronik, Maschinen)

Beispiel: Ein niederländisches Unternehmen, das medizinischen Sauerstoff herstellt, würde sowohl unter die Regeln für die verarbeitende Industrie als auch für die Lieferkette im Gesundheitswesen fallen.

4. Kernanforderungen von NIS2

Jede betroffene Einrichtung muss:

  1. Robuste Risikomanagementmaßnahmen umsetzen
    Beispiele sind: Segmentierung von Betriebsnetzen von der Unternehmens-IT, Durchsetzung strenger Passwortrotationsrichtlinien, Verschlüsselung von ruhenden Daten und Einführung von Zero-Trust-Prinzipien.
  2. Erhebliche Vorfälle schnell melden
    • Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung
    • Update zum Vorfall innerhalb von 72 Stunden
    • Abschlussbericht innerhalb eines Monats
      Beispiel: Wenn ein Ransomware-Angriff den Betrieb in einem Logistikzentrum lahmlegt, muss der erste Bericht an die nationale Behörde gesendet werden, bevor die Wiederherstellung abgeschlossen ist.
  3. Risiken in der Lieferkette managen
    • Lieferanten und Auftragnehmer überprüfen
    • Cybersicherheitsklauseln in Verträge aufnehmen
    • Regelmäßige Konformitätsbescheinigungen verlangen
  4. Aufsicht auf Vorstandsebene sicherstellen
    Die Geschäftsleitung muss Cybersicherheitsmaßnahmen genehmigen und kann bei Fahrlässigkeit persönlich haftbar gemacht werden.
  5. Für Prüfungen bereit sein
    Aufsichtsbehörden können jederzeit Zugriffsprotokolle, Sicherheitsrichtlinien und Vorfalldokumentationen anfordern.

5. Detaillierter Arbeitsablauf für die Meldung von Vorfällen

Um die strengen Meldefristen einzuhalten, sollten Unternehmen einem strukturierten Prozess folgen:

Schritt 1 – Erkennung: Vorfall wird von Überwachungstools oder Mitarbeitern erkannt.
Schritt 2 – Erste Bewertung: Umfang, Auswirkungen und ob die Schwelle für einen „erheblichen Vorfall“ erreicht ist, bestätigen.
Schritt 3 – Erstmeldung: Innerhalb von 24 Stunden einen ersten Bericht an die zuständige nationale Behörde (z. B. BSI in Deutschland, ANSSI in Frankreich) senden.
Schritt 4 – Eindämmung & Wiederherstellung: Betroffene Systeme isolieren, Wiederherstellung beginnen.
Schritt 5 – Update-Bericht: Innerhalb von 72 Stunden Details zur Ursache, zu den Abhilfemaßnahmen und zu möglichen grenzüberschreitenden Auswirkungen bereitstellen.
Schritt 6 – Abschlussbericht: Innerhalb eines Monats vollständige forensische Ergebnisse und Verbesserungsmaßnahmen einreichen.

Profi-Tipp: Automatisierte Vorfallvorlagen, wie die in GetNistra, verkürzen die Meldezeit drastisch.

6. Zeitpläne für die Einhaltung je nach Land

Obwohl die Frist auf EU-Ebene für die Umsetzung der 17. Oktober 2024 war, hat jedes Land seinen eigenen Durchsetzungsrahmen:

  • Deutschland – Umgesetzt durch das IT-Sicherheitsgesetz 3.0 (IT-SiG 3.0); beaufsichtigt durch das BSI; erste Prüfungen für Anfang 2025 erwartet.
  • Frankreich – Nationale Dekrete unter der ANSSI; sektorspezifische Leitlinien 2024 veröffentlicht; Inspektionen ab Q4 2025.
  • Italien – Gesetzesdekret Nr. 138/2024; beaufsichtigt durch die ACN; schrittweise Umsetzung, Risikobewertungen bis Mitte 2025 fällig.
  • Niederlande – Das Gesetz zur Sicherheit von Netzwerk- und Informationssystemen wurde aktualisiert; durchgesetzt durch das NCSC-NL; Konformitätsprüfungen ab Ende 2025.

7. Häufige Herausforderungen bei der Einhaltung

  • Bewusstsein im Vorstand – Viele Führungskräfte sehen Cybersicherheit immer noch als reines IT-Thema.
  • Komplexität der Lieferkette – KMUs können von Dutzenden kleiner Anbieter abhängig sein.
  • Vorfallsbereitschaft – Ohne Automatisierung ist eine 24-Stunden-Meldung schwierig.
  • Grenzüberschreitende Tätigkeiten – Verschiedene Aufsichtsbehörden können unterschiedliche Formate verlangen.

8. NIS2 vs. ISO 27001: Wie sie zusammenhängen

NIS2-AnforderungISO 27001-Äquivalent
RisikomanagementmaßnahmenAnhang-A-Kontrollen
Meldung von VorfällenA.16 (Management von Informationssicherheitsvorfällen)
Sicherheit der LieferketteA.15 (Lieferantenbeziehungen)
Rechenschaftspflicht auf VorstandsebeneFührungsklauseln
PrüfungsbereitschaftISMS-Überwachung & -Überprüfung

Wichtigste Erkenntnis: Eine ISO 27001-Zertifizierung ist eine starke Grundlage, aber keine Garantie für die Einhaltung von NIS2.

9. Missverständnisse über NIS2

  1. „Nur große Unternehmen sind betroffen“ – Falsch. Kleinere Einrichtungen in kritischen Lieferketten können ebenfalls einbezogen werden.
  2. „Es ist nur ein IT-Projekt“ – Falsch. Es ist eine organisationsweite Governance-Anforderung.
  3. „Wenn wir ISO 27001 haben, sind wir bereits konform“ – Nicht unbedingt; NIS2 fügt Anforderungen zur Meldung von Vorfällen und zur Rechenschaftspflicht des Vorstands hinzu.
  4. „Wir können warten, bis die Durchsetzung beginnt“ – Gefährlich; einige Maßnahmen benötigen Monate zur Umsetzung.

10. Integration mit anderen EU-Verordnungen

NIS2 überschneidet sich mit mehreren anderen Verordnungen:

  • DSGVO (GDPR) – Meldepflichten bei Vorfällen können sich überschneiden, aber NIS2 konzentriert sich auf die Systemsicherheit, nicht auf personenbezogene Daten.
  • DORA – Gilt für den Finanzsektor, mit ergänzenden Regeln zur IKT-Resilienz.
  • CER-Richtlinie – Deckt die physische Widerstandsfähigkeit kritischer Einrichtungen ab, oft neben NIS2-Maßnahmen.

Ein integrierter Compliance-Ansatz reduziert Doppelarbeit.

11. Strafen bei Nichteinhaltung

  • Wesentliche Einrichtungen – bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes
  • Wichtige Einrichtungen – bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes
  • Mögliche Verbote für Führungskräfte, öffentliche Bekanntgabe von Verstößen und vertraglicher Ausschluss von öffentlichen Ausschreibungen.

12. Globaler Kontext

NIS2 ist Teil eines globalen Trends zu strengeren Cybersicherheitsvorschriften:

  • Vereinigte Staaten – CISA-Richtlinien fordern die Meldung für kritische Infrastrukturen innerhalb von 72 Stunden.
  • Vereinigtes Königreich – Das NCSC überwacht ähnliche Regeln für Betreiber wesentlicher Dienste.

Dies macht die Einhaltung von NIS2 nicht nur zu einer gesetzlichen Verpflichtung, sondern auch zu einem Vorteil für die internationale Wettbewerbsfähigkeit.

13. Praktische Schritte, um heute zu beginnen

  1. Stellen Sie fest, ob Ihre Organisation als Wesentlich oder Wichtig eingestuft wird.
  2. Gleichen Sie Ihre aktuellen Kontrollen mit den NIS2-Anforderungen ab.
  3. Etablieren Sie einen Prozess zur Reaktion auf Vorfälle, der die 24-Stunden-Frist einhalten kann.
  4. Überprüfen Sie Verträge auf Cybersicherheitsverpflichtungen für Lieferanten.
  5. Planen Sie Briefings auf Vorstandsebene zur persönlichen Haftung.

14. Häufig gestellte Fragen (FAQs)

F: Gilt NIS2 für kleine Unternehmen?
Ja, wenn sie kritische Dienstleistungen oder Produkte in einer abgedeckten Lieferkette bereitstellen.

F: Wie schnell sollten wir mit der Vorbereitung beginnen?
Sofort — Prüfungen können mit kurzer Vorankündigung stattfinden, sobald die Richtlinie durchgesetzt wird.

F: Können wir die Einhaltung auslagern?
Sie können Prozesse auslagern, aber nicht die Verantwortung.

15. Wie GetNistra Ihnen hilft, schneller konform zu sein

Die manuelle Einhaltung ist kostspielig und zeitaufwändig. Die KI-gestützte Plattform von GetNistra automatisiert bis zu 70 % des Prozesses:

  • Lückenanalyse gegenüber NIS2- und ISO 27001-Kontrollen.
  • Automatisierte Richtlinienerstellung, zugeschnitten auf Ihre Branche und Größe.
  • Vorlagen für die Meldung von Vorfällen, die auf die ENISA-Leitlinien abgestimmt sind.
  • Anbieter-Risiko-Tracking über Ihre gesamte Lieferkette.

→ Fordern Sie noch heute Ihre kostenlose, KI-generierte NIS2-Roadmap an und sehen Sie, wie schnell Sie Compliance-Lücken schließen können.

Referenzen:
Richtlinie (EU) 2022/2555 – Offizieller Text
ENISA – NIS2-Leitlinien
BSI – Deutsches IT-Sicherheitsgesetz
ANSSI – NIS2-Umsetzung in Frankreich
ACN – Agenzia per la Cybersicurezza Nazionale
NCSC-NL – NIS2-Leitfaden

Related Posts