Im IT-Notfall @-yet anrufen
02175 - 16 55 0

NIS2 ist da. Und nun?

Deutschland setzte die NIS2-Richtlinie verzögert in nationales Recht um. Komplexe Verhandlungen innerhalb der Koalition und die Abstimmung mit verschiedenen Interessengruppen verursachten dies unter anderem.

Im Oktober 2024 hätte der Gesetzgeber die EU-NIS2-Richtlinie in nationales deutsches Recht umsetzen müssen. Es dauerte bis zum 06. Dezember 2025. An diesem Tag trat das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft. Es regelt verbindlich, wie die Bundesverwaltung ihre IT-Sicherheit gestaltet.

Das NIS2-Gesetz ändert die Vorgaben für eine Vielzahl von Unternehmen grundlegend. NIS2 markiert einen wichtigen Meilenstein in der europäischen Cybersicherheitspolitik. Die Richtlinie sorgt dafür, dass Unternehmen innerhalb der EU ihre Systeme einheitlich absichern. Dabei ist sie die weitreichendste Regelung ihrer Art. Viele Organisationen und Unternehmen passen sich neuen Standards an. Diese gehen weit über bisherige Anforderungen an die IT- und Informationssicherheit hinaus.

Der Anwendungsbereich: Wer ist betroffen?

Eine der deutlichsten Änderungen betrifft den Kreis der Unternehmen. Die ursprüngliche NIS-Richtlinie konzentrierte sich primär auf kritische Infrastrukturen (KRITIS) wie Energieversorger oder Krankenhäuser. Die NIS2-Richtlinie dehnt den Fokus auf insgesamt 18 Sektoren aus.

Diese unterteilen sich in zwei Gruppen: „besonders wichtige Einrichtungen“ (z. B. Energie, Gesundheit, Verkehr) sowie „wichtige Einrichtungen“ (z. B. Postdienste, Abfallwirtschaft, Produktion von Chemikalien).

Die Anzahl der Mitarbeitenden und der Jahresumsatz bestimmen, ob ein Unternehmen zu einer der beiden Gruppen gehört. Ein Unternehmen mit 250 oder mehr Mitarbeitenden oder einem Jahresumsatz von über 50 Mio. € zählt zu den „besonders wichtigen Einrichtungen“. Der Gesetzgeber stuft Unternehmen unabhängig von Größe und Umsatz als besonders wichtig ein. Hierzu zählen beispielsweise Betreiber öffentlicher Kommunikationsnetze oder Anbieter von Vertrauensdiensten.

Das Bundesamt für Sicherheit in der Informationstechnik geht von 29.500 Unternehmen aus, die die neue Richtlinie erfüllen müssen.

Bild der Flagge der Europäischen Union, die transparent ein Bild des Zentrums von Frankfurt am Main überdeckt.

Rund 29.500 Unternehmen sind von der NIS2-Richtlinie direkt betroffen

Risikomanagement und technische Maßnahmen

Durch die NIS2 sind Unternehmen gesetzlich verpflichtet, „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ (TOMs) zu ergreifen, um Störungen ihrer Netze und Informationssysteme zu vermeiden. Da sich Bedrohungslagen immer wieder verändern, kann dies nicht durch starre Prozesse gelingen.

Es bedarf eines dynamischen Risikomanagement-Ansatzes, wie er unter anderem im Rahmen eines ISMS (Informationssicherheits-Managementsystem) vorgesehen ist. Unter anderem aus diesem Grund erfüllen Unternehmen mit einem ISMS bereits einen Großteil der Anforderungen aus der NIS2.

Zu den Pflichten der Unternehmen gehören neben vielen weiteren:

  • Konzepte für die Risikoanalyse: Kontinuierliche Bewertung der Bedrohungslage.
  • Bewältigung von Sicherheitsvorfällen: Etablierung von Notfallplänen und Incident-Response-Prozessen.
  • Business Continuity Management (BCM): Sicherstellung der Betriebskontinuität durch Backup-Management und Krisenpläne.
  • Sicherheit der Lieferkette: Unternehmen müssen auch die Cybersicherheit ihrer Zulieferer und Dienstleister prüfen. Das kann dazu führen, dass auch Unternehmen unter die NIS2 fallen, die eigentlich nicht betroffen wären. Dies ist ein Punkt, der besonders für mittelständische Unternehmen einen hohen administrativen Aufwand bedeutet.
  • Verschlüsselung: Der Einsatz moderner Verschlüsselungsverfahren wird zur Pflicht. Das NIS2-Gesetz erwähnt darüber hinaus die Multi-Faktor-Authentisierung explizit.

Ein weiterer sehr bedeutender Punkt betrifft die Geschäftsleitung. Die NIS2 sieht die Verantwortung für die Sicherheit eindeutig bei der Unternehmensführung.

„Chef-Sache“ Cybersecurity: Haftung und Schulungspflicht

Viele Stellen führen einen zentralen Punkt als vermeintlich neu an. Es geht darum, wie die Geschäftsführung Verantwortung übernimmt und haftet.
Blickt man auf das BSI-Gesetz, zeigt sich: Für die Geschäftsführung ändert sich nicht viel. Der Satz im §38 Abs. 2 besagt: „Nach diesem Gesetz haften sie, wenn die gesellschaftsrechtlichen Bestimmungen, die für die Einrichtung gelten, keine Haftungsregelung […] enthalten.
Für zahlreiche Gesellschaftsformen existieren präzise Vorgaben, die regeln, wie die Geschäftsleitung gegenüber ihrer Gesellschaft haftet. Im Ergebnis bringt NIS2 hier keine neuen Regelungen. NIS2 schärft den Blick der Geschäftsleitung und macht ihr bewusster, wofür sie einsteht. Die Regulierungsbehörden erwarten, dass diese sich aktiver mit dem Thema auseinandersetzt und prüft, wie das Unternehmen Sicherheitsmaßnahmen umsetzt.
Cybersicherheit ist keine Aufgabe der IT-Abteilung, sondern eine Compliance-Aufgabe auf Vorstandsebene. Die Geschäftsführung leitet Sicherheitsmaßnahmen ein, genehmigt diese und überwacht, wie das Team sie umsetzt.
Neu ist die Vorgabe, dass Führungskräfte an Schulungen teilnehmen müssen. Während bisher die Rede von Kenntnissen war, sind Leitungsebenen verpflichtet, sich regelmäßig fortzubilden. Sie erlangen dabei die notwendigen Kenntnisse zur Identifizierung und Bewertung von Cyberrisiken. Das Gesetz konkretisiert dies mit „alle drei Jahre“. Die @-yet bietet Schulungen an, damit Sie dieser Pflicht nachkommen.
Bild der Flagge der Europäischen Union, die transparent ein Bild einer Gesprächsrunde in einem Unternehmen überdeckt.

Geschäftsleitungen werden durch NIS2 künftig stärker in die Pflicht genommen.

Sanktionen und Aufsicht

NIS2, KI-VO und DS-GVO haben eines gemeinsam: Sie sehen empfindliche Geldbußen vor. Tatsächlich orientieren sich die Beträge der NIS2 an denen der DS-GVO.

Für besonders wichtige Einrichtungen können bei Verstößen Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes verhängt werden (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen liegt der Rahmen bei bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.

Auch die Befugnisse des BSI wurden durch das neue Gesetz aufgewertet. So hat das BSI die Möglichkeit, Audits durchzuführen, Vor-Ort-Kontrollen vorzunehmen und bei schwerwiegenden Mängeln sogar die Ausübung von Leitungsaufgaben vorübergehend zu untersagen.

Meldepflichten: Zeit ist kritisch

Die NIS2-Richtlinie verschärft die Reaktionszeiten bei Sicherheitsvorfällen. Unternehmen müssen bei erheblichen Vorfällen ein mehrstufiges Meldeverfahren beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einhalten.

  • Frühwarnung: Wenn Sie einen erheblichen Sicherheitsvorfall bemerken, haben Sie 24 Stunden Zeit, diesen dem BSI zu melden. Als „erheblich“ wird ein Vorfall bezeichnet, wenn er schwerwiegende Störungen oder finanzielle Verluste zur Folge haben kann oder andere durch erhebliche Schäden beeinträchtigt hat oder beeinträchtigen kann.
  • Meldung des Vorfalles: Nach spätestens 72 Stunden müssen Sie dem BSI eine aktualisierte Meldung senden, die unter anderem detaillierte Informationen zur Ursache, getroffenen und geplanten Maßnahmen und dem Schweregrad des Vorfalles enthält.
  • Abschlussbericht oder Status: Nach einem Monat erwartet das BSI dann den Abschlussbericht. Sollte der Vorfall zu diesem Zeitpunkt noch nicht überwunden sein, tritt an seine Stelle ein Zwischenbericht.

Bitte beachten Sie: Auch die Nichteinhaltung dieser Fristen kann bereits für sich genommen sanktioniert werden. Dabei ist es nicht relevant, ob ein tatsächlicher Schaden entstanden ist.

Zeitplan

Eine Bitte zu Beginn: Warten Sie nicht auf behördliche Aufforderungen zum Handeln. Sie können (und müssen) schon jetzt etwas tun.

  1. Betroffenheit prüfen: Bestimmen Sie, ob Ihr Unternehmen von NIS2 betroffen ist. Das Bundesamt für Sicherheit in der Informationstechnik hat zu diesem Zweck eine Betroffenheitsprüfung zur Verfügung gestellt.
  2. Registrieren: Wenn Ihr Unternehmen von der NIS2 betroffen ist, registrieren Sie sich bitte bis spätestens 06. März 2026 beim BSI. Wenn Sie Fragen zu diesem Prozess haben, unterstützen wir Sie gern.
  3. ISMS-Einführung starten: Haben Sie bereits ein ISMS in Ihrem Unternehmen eingeführt? Wenn nicht, ist jetzt der richtige Zeitpunkt, um damit zu starten. Auch hierbei stehen Ihnen die Expert:innen der @-yet zur Seite.

Die Identifizierung der eigenen Betroffenheit, die Registrierung beim BSI und die Implementierung eines robusten Informationssicherheits-Managementsystems (ISMS) sollten sofortige Priorität haben. Die NIS2-Richtlinie mag auf den ersten Blick wie eine weitere bürokratische Hürde erscheinen. Tatsächlich ist sie eine existenzielle Notwendigkeit, um die Widerstandsfähigkeit der Wirtschaft in einer immer stärker bedrohten digitalen Welt zu sichern.

Haben Sie Fragen zu NIS2?

NIS2 ist momentan ein Thema, welches viele Unternehmen beschäftigt. Zu diesem Thema gibt es viele Informationen und mindestens so viele Fragen. Wenn Sie Unterstützung benötigen, freuen wir uns auf Ihre Nachricht oder Ihren Anruf.

An den Anfang scrollen