Die NIS-2 Richtlinie – wer ist betroffen?

Parallel zur angespannten weltpolitischen Lage hat sich in den letzten Jahren auch das Risiko von Attacken auf die Cybersicherheit kritischer Infrastruktur verstärkt. Mit NIS-2 hat die EU eine Grundlage geschaffen, um diese Risiken zu minimieren. Betroffen sind nicht nur Institutionen, sondern auch viele Unternehmen. Wenn du herausfinden möchtest, ob dein Unternehmen von NIS-2 betroffen ist und was du tun musst, um NIS-2 umzusetzen, dann ist dieser Beitrag für dich.

Icon Good to know

Was ist NIS-2?

Die Abkürzung NIS-2 steht für „The Network and Information Security Directive“ und soll Cybersecurity und Informationssicherheit für Institutionen und Unternehmen regeln.

Die Richtlinie ist seit dem 16.01.2023 in Kraft und sollte ursprünglich bis Herbst 2024 in verschiedenen Mitgliedstaaten der EU umgesetzt werden. In den meisten Mitgliedstaaten gibt es jedoch Verzögerungen. Der für Deutschland geltende Gesetzesentwurf des Bundesinnenministeriums existiert seit Juli 2023 und ist bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG).


Ist mein Unternehmen von NIS-2 betroffen?

Durch die Anpassung der Schwellenwerte im Zuge von NIS-2 im Vergleich zu NIS-1 sind zukünftig deutlich mehr Unternehmen betroffen. In Deutschland handelt es sich um schätzungsweise bis zu 30.000 Unternehmen, darunter neu auch Online-Marktplätze, Lebensmittelversorger und InsurTech-Startups. Viele Unternehmen, die sich bisher noch nicht intensiv mit Informationssicherheit und einem Informationssicherheits-Managementsystem (ISMS) auseinandergesetzt haben, müssen dies nun tun.

Betroffen von NIS-2 sind vier Gruppen von Organisationen:

  • Besonders wichtige Einrichtungen / Großunternehmen
  • Wichtige Einrichtungen / mittlere Unternehmen
  • Betreiber kritischer Anlagen (KRITIS)
  • Einrichtungen der Bundesverwaltung

Folgende Tabelle zeigt die neuen Schwellenwerte für Deutschland nach dem NIS-2UmsuCG

Mit NIS-2 sind mehr Branchen betroffen als noch unter NIS-1. Diese Übersicht zeigt Sektoren mit hoher Kritikalität (NIS Anlage 1) sowie sonstige kritische Sektoren (Anlage 2).

Als Ergänzung dazu hat das BSI ein Online-Tool bereitgestellt, dass Unternehmen dabei hilft zu überprüfen, ob sie von NIS-2 betroffen sind.


NIS-2 entlang der Lieferkette

Von NIS-2 betroffene Unternehmen müssen auch sicherstellen, dass ihre Lieferkette keine Angriffspunkte bietet und entsprechende Maßnahmen zur Risikosenkung ergreifen. Das betrifft weit mehr Unternehmen als nur die klassischen KRITIS-Einrichtungen.

Diese Maßnahmen sollen geeignet und verhältnismäßig sein und können technischer, betrieblicher oder organisatorischer Natur sein. Artikel 2 der Richtlinie schreibt die Durchführung einer koordinierten Risikobewertung für kritische Lieferketten vor.
Die zentrale Verwaltungsstelle der Cybersecurity entlang der Lieferkette ist das Informationssicherheits-Managementsystem (ISMS).


NIS-2: Die Ausnahmen

Es gibt, wie bei fast jeder Regulierung, auch Ausnahmen bei der Einstufung nach NIS-2 – unabhängig von Unternehmensgröße oder Umsatz.

Ein Unternehmen kann auch betroffen sein, wenn es weniger als 50 Mitarbeitende hat oder unterhalb der Umsatzgrenze liegt, aber dennoch kritische Tätigkeiten ausübt oder Auswirkungen auf die öffentliche Ordnung hat.
Auf der anderen Seite gilt NIS-2 nicht für Einrichtungen in den Bereichen Verteidigung, nationale Sicherheit und Strafverfolgung. Auch Justiz, Parlamente und Zentralbanken sind ausgenommen.


Ab wann gilt NIS-2

Das NIS-2-Umsetzungsgesetz wurde im Juli 2024 beschlossen und befindet sich auf dem Weg durch Bundestag und Bundesrat. Derzeit wird mit einem Inkrafttreten im März 2025 gerechnet.


10 Tipps zur Umsetzung von NIS-2

Dein Unternehmen ist von NIS-2 betroffen? Hier sind 10 Tipps, wie du die Vorgaben effizient und strukturiert umsetzen kannst:

Tipp 1: Verantwortlichkeiten bestimmen
Es sollte unbedingt eine verantwortliche Person oder ein Team geben, das sich mit Themen rund um Informationssicherheit befasst, z.B. ein Informationssicherheitsbeauftragter. Stelle sicher, dass auch die Geschäftsleitung in die Sicherheitsstrategie eingebunden wird. Bei einem Verstoß gegen NIS-2 können Geschäftsführer auch persönlich haftbar gemacht werden.

Tipp 2: ISMS implementieren oder optimieren
Die Grundlage für ein erfolgreiches Management der Informationssicherheit ist das Informationssicherheits-Managementsystem (ISMS). Falls du bisher noch kein ISMS eingerichtet hast, solltest du dies zeitnah nachholen. Falls dein Unternehmen bereits über ein ISMS verfügt, sollte es regelmäßig optimiert werden.

Tipp 3: Risikomanagement implementieren
Betroffene Unternehmen müssen im Rahmen einer umfassenden Risikoanalyse sämtliche Unternehmensrisiken systematisch erfassen. Dazu gehören interne Schwachstellen, wie veraltete Systeme oder fehlende Sicherheitsprozesse, sowie externe Risiken wie Cyberangriffe, menschliches Versagen oder Datenschutzverletzungen.

Tipp 4: Mitarbeiterschulungen anbieten
Laut NIS-2 müssen Mitarbeitende in “Cybersecurity Hygiene” geschult werden. In diesen Schulungen soll vermittelt werden, welche Cybersecurity Bedrohungen existieren und wie mit diesen Risiken umzugehen ist. Dazu gehören der Umgang mit sensiblen Daten, die Nutzung der internen IT-Systeme und Sicherheits-Policies, Passwortmanagement und auch das Erkennen von und der Umgang mit Phishing-Mails.

Tipp 5: Kontaktstellen einrichten
Unternehmen sind verpflichtet, eine offizielle Kontaktstelle für Sicherheitsvorfälle einzurichten. Diese muss dem BSI gemeldet werden, jederzeit erreichbar sein und als zentrale Anlaufstelle für IT-Störungen dienen.

Tipp 6: Incident Response Plan
Erarbeite einen detaillierten Notfallplan, um auf Sicherheitsvorfälle strukturiert reagieren zu können. Definiere Zuständigkeiten, Meldewege und Eskalationsprozesse. Lege fest, wer im Unternehmen für welche Maßnahmen verantwortlich ist.

Tipp 7: Meldepflicht einhalten
Cyberangriffe und Störungen, die Geschäftsprozesse oder IT-Systeme betreffen, müssen zeitnah an das BSI gemeldet werden. Der Meldeprozess umfasst drei Stufen:
Erste Meldung innerhalb von 24 Stunden
Bestätigung innerhalb von 72 Stunden
Abschlussbericht spätestens einen Monat nach der Bestätigung

Tipp 8: Business Continuity Management (BCM) etablieren
Auch das Thema Betriebskontinuität (Business Continuity Management, BCM) spielt eine große Rolle. NIS-2 verpflichtet Unternehmen dazu, Maßnahmen zu ergreifen, damit der Geschäftsbetrieb auch im Krisenfall sichergestellt werden kann. Orientierung bieten BCM-Standards und der BSI-Standard 200-4.

Tipp 9: Schwachstellen Scans
Die Sicherheitsmaßnahmen und Notfallpläne sollten regelmäßig überprüft und durch Penetrationstests und Schwachstellen-Scans validiert werden. Dadurch können potenzielle Risiken frühzeitig erkannt und behoben werden.

Tipp 10: Regelmäßige Dokumentation
Alle Sicherheitsmaßnahmen und Vorfälle sollten detailliert dokumentiert werden. Zudem müssen regelmäßige Sicherheitsberichte für die Geschäftsleitung erstellt werden. Eine umfassende Dokumentation hilft nicht nur bei der Einhaltung von NIS-2, sondern auch bei zukünftigen Sicherheitsprüfungen.
Benötigst du Beratung zu NIS-2? Wir helfen dir gern weiter!
CTA: Jetzt Erstberatung vereinbaren