NIS2 Directive - Kurz und knapp erklärt
Was bedeutet NIS2 für die IT-Sicherheit in Deutschland?
NIS2 (Network and Information Security) ist eine europäische Richtlinie, die Mindestanforderungen an die Cyber Sicherheit für eine Vielzahl an Unternehmen in Europa festlegt. Die betroffenen Unternehmen gehen über die bisherige kritische Infrastruktur (KRITIS) hinaus. Die EU-Kommission will damit das Cyber Sicherheits-Niveau in der Europäischen Union verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyber Angriffen stärken. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Die neue IT Sicherheitsrichtlinie betrifft circa 30.000 Unternehmen in Deutschland und bringt neue Pflichten mit sich. Das deutsche Gesetz zur Umsetzung von NIS2 (NIS2UmsuCG) liegt als 4. Referentenentwurf aus Juni 2024 vor und muss noch das Gesetzgebungsverfahren auf Bundesebene durchlaufen. NIS2UmsuCG passt bestehende KRITIS-Gesetze in Deutschland, insbesondere das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), an. Für die IT-Sicherheit in Deutschland bedeutet die NIS2 Richtlinie:
Anpassung bestehender Gesetze: Das BSIG und andere KRITIS-Gesetze werden aktualisiert.
Erhöhte Sicherheitsanforderungen: Unternehmen müssen frühzeitig ihre IT-Sicherheitsmaßnahmen anpassen.
Notwendigkeit schneller Umsetzung: Aufgrund des zeitaufwändigen Prozesses und der möglichen Knappheit an Berater-Ressourcen sollten Unternehmen sofort mit der Umsetzung beginnen.
Die wichtigsten Neuerungen der NIS2 Richtlinie
Die NIS2-Richtlinie überarbeitet die NIS-Richtlinie von 2016 und löst sie ab. Das sind die wichtigsten Änderungen:
Erheblich mehr Unternehmen sind betroffen. Die Zahl der betroffenen Sektoren wächst insgesamt auf 18 an. Sieben neue „Important Entities“ (wichtige Einrichtungen) kommen hinzu und die Schwellenwerte werden gesenkt.
Unternehmen müssen das Risiko eines Cyber Angriffs über ihre Lieferkette beurteilen können.
Risikomanagement wird zur Pflicht.
Unternehmen müssen Mitarbeiterschulungen und Audits zur Cyber Sicherheit durchführen.
Geschäftsführende haften persönlich für den Schaden, der durch Missachtung ihrer Pflicht zum Risikomanagement entsteht.
Bei Verstößen drohen empfindliche Strafen.
Es gelten strenge Meldepflichten. Die zuständige Aufsichtsbehörde ist das BSI.
Die Mitgliedsstaaten richten ein nationales CSIRT (Computer Security Incident Response Team) ein. In Deutschland übernimmt diese Rolle wahrscheinlich das BSI. Die CSIRTs arbeiten EU-weit zusammen und berichten an die übergreifende, koordinierende Cyber Security Behörde ENISA (European Union Agency for Cyber Security).
Diese besonders wichtigen Einrichtungen sind betroffen
Energie
Transport
Finanzwesen
Bankwesen
Gesundheit
Trinkwasser
Abwasser
Digitale Infarstruktur
IT und TK
Öffentliche Verwaltung
Weltraum
Diese wichtigen Einrichtungen sind betroffen
Post und Kurier
Abfallwirtschaft
Lebensmittel
Chemikalien
Verarbeitendes Gewerbe
Digitale Dienste
Forschung
Diese NIS2-Pflichten kommen auf Unternehmen zu
Mit der Umsetzung der NIS2-Richtlinie (Netzwerk- und Informationssicherheit) kommen auf Unternehmen neue Pflichten im Bereich der Cyber-Sicherheit zu. Diese umfassen unter anderem die Einrichtung angemessener Sicherheitsmaßnahmen zum Schutz digitaler Infrastrukturen und sensibler Daten. Unternehmen müssen Risikomanagement-Prozesse etablieren, regelmäßige Sicherheitsaudits durchführen und IT Sicherheitsvorfälle innerhalb einer festgelegten Frist melden. Zudem sind sie verpflichtet, angemessene Maßnahmen zur Gewährleistung der Cyber-Sicherheit entlang ihrer Lieferketten zu treffen. Die Einhaltung dieser Vorschriften ist essenziell, um Cyber-Angriffe zu verhindern und die Widerstandsfähigkeit der digitalen Infrastruktur von Unternehmen zu stärken.
Registrierungspflicht
Unternehmen müssen sich selbst als „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“ einordnen und sich ab dem 17. Oktober 2024 innerhalb von drei Monaten beim BSI registrieren.
Meldung von Sicherheitsvorfällen
Mit NIS2 kommen auf betroffene Unternehmen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten hinausgehen. Einrichtungen und Betreiber müssen dem BSI (und teilweise BBK) Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen (72h).
Dokumentationspflicht
Der Nachweis zur Erfüllung der Anforderungen zur Gewährleistung der Informationssicherheit muss innerhalb von 2 Jahren nach dem Inkrafttreten des Gesetzes erbracht werden und erfolgt gemäß den Vorgaben des BSI.
Risikomanagementmaßnahmen
Unternehmen müssen ein NIS2-konformes Risikomanagement einführen, um Risiken für ihre Netz- und Informationssysteme zu bewerten und zu bewältigen.
Diese NIS2-Anforderungen kommen auf Unternehmen zu
Die NIS2-Richtlinie legt konkrete Anforderungen für Unternehmen in Deutschland fest, die darauf abzielen, die Sicherheit ihrer IT-Systeme zu gewährleisten und die Auswirkungen von IT Sicherheitsvorfällen zu minimieren. Dazu gehören folgende angemessene technische, operative und organisatorische Maßnahmen, die sich am aktuellen Technologiestandard sowie an europäischen und internationalen Normen orientieren müssen.
Policies
Richtlinien für Risiken und Informationssicherheit
Lieferkette
Sicherheit in der Lieferkette — bis zur sicheren Entwicklung bei Zulieferern
Awareness
Schulungen im Bereich Cybersicherheit und Cyberhygiene
Zugriffskontrolle
Zugriffe auf IT-Ressourcen und Daten
Kommunikation und Notfallkommunikation
Einsatz sicherer Sprach-, Video- und Textkommunikation, sowie Aufbau eines Notfallkommunikationssystems
Incident Management
Prävention, Detektion und Bewältigung von Cyber-Incidents
Einkauf
Sicherheit in der Beschaffung von IT- und Netzwerk-Systemen
Kryptographie
Vorgaben für Kryptographie und wo möglich Verschlüsselung
Asset Management
Identifikation von Assets und Zuordnung einer Verantwortlichkeit
Business Continuity Management
Backup-Management, Desaster-Recovery, Notfall- und Krisenmanagement
Effektivität
Vorgaben zur Messung von Cyber- und Risiko-Maßnahmen
Personal
Sicherheit des Personals vor, während und nach der Beschäftigung
Authentication
Einsatz von Multifaktor-Authentifizierung oder kontinuierliche Authentifizierung (SSO)
Bußgelder bei Missachtung der NIS2 Richtlinie
Das Gesetz zur Umsetzung von NIS2 (NIS2UmsuCG) und Stärkung der Cyber Sicherheit, die NIS2-Umsetzung, tritt ab 2024 in Kraft. Es überführt EU-weite Mindeststandards für Cyber Security in deutsche Regulierung und erweitert außerdem Bußgelder und Tatbestände (Vergehen) deutlich. Das NIS2-Umsetzungsgesetz definiert keine Übergangsfristen für die Umsetzung der Security-Maßnahmen und Pflichten. Die Sanktionen und Bußgelder können ab Inkrafftreten der NIS2-Umsetzung im Oktober 2024 verhängt werden.
Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Verstöße können beispielsweise sein:
KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen
Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen
Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen
Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern
Die Bußgelder und Sanktionen unterteilen sich in die folgenden Gruppen.
Bußgelder für allgemeine Tatbestände
100.000 € - 2.000.000 € Bußgeld.
Bußgelder für wichtige Einrichtungen
7.000.000 € oder 1,4 % des Jahresumsatzes, jeweils die höhere Summe.
Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen
100.000 € bis 10.000.000 € oder 2,0 % des Jahresumsatzes, jeweils die höhere Summe.
Haftung der Geschäftsführung
Geschäftsführende müssen die Risikomanagement-Maßnahmen für Cyber Security billigen und die Umsetzung in der Einrichtung überwachen. Werden diese Pflichten verletzt, kann die Einrichtung Ersatzansprüche stellen, wobei ein Verzicht oder Vergleich unwirksam ist. Geschäftsführende müssen außerdem regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Maßnahmen sicherzustellen.
© 2025 VIAMA. Alle Rechte vorbehalten