NIS2 ist da. Und nun?

Die Umsetzung der NIS2-Richtlinie in nationales deutsches Recht war von Verzögerungen gekennzeichnet. Die komplexen Verhandlungen innerhalb der Koalition und die Abstimmung mit verschiedenen Interessengruppen waren unter anderem die Ursache.

Bereits im Oktober 2024 hätte die EU-NIS2-Richtlinie in nationales deutsches Recht umgesetzt werden müssen. Es dauerte bis zum 06. Dezember 2025. An diesem Tag trat das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft.

Mit diesem sog. NIS2-Gesetz wurden bedeutende Änderungen für eine Vielzahl von Unternehmen eingeführt. Denn NIS2 markiert einen wichtigen Meilenstein in der europäischen Cybersicherheitspolitik. Sie ist zwar nicht die erste Richtlinie, die das Sicherheitsniveau innerhalb der EU auf einen einheitlichen Stand bringt. Doch sie ist die weitreichendste. Viele Organisationen und Unternehmen stehen vor der Herausforderung, neue Standards zu erfüllen, die weit über bisherige IT- und Informationssicherheitsanforderungen hinausgehen.

Der Anwendungsbereich: Wer ist betroffen?

Eine der deutlichsten Änderungen ist die massive Ausweitung des Kreises der betroffenen Unternehmen. Während sich die ursprüngliche NIS-Richtlinie primär auf kritische Infrastrukturen (KRITIS) wie Energieversorger oder Krankenhäuser konzentrierte, dehnt die NIS2-Richtlinie den Fokus auf insgesamt 18 Sektoren aus.

Diese unterteilen sich in die beiden Gruppen „besonders wichtige Einrichtungen“ (z. B. Energie, Gesundheit, Verkehr) und „wichtige Einrichtungen“ (z. B. Postdienste, Abfallwirtschaft, Produktion von Chemikalien).

Auch die Anzahl der Mitarbeitenden und der Jahresumsatz bestimmt die Zugehörigkeit zu einer der beiden Gruppen. So gehört ein Unternehmen mit 250 oder mehr Mitarbeitenden oder einem Jahresumsatz von über 50 Mio. € zu den „besonders wichtigen Einrichtungen“.
Daneben werden einige Unternehmen unabhängig von Größe und Umsatz generell als besonders wichtig eingestuft. Dazu zählen beispielsweise Betreiber öffentlicher Kommunikationsnetze oder Anbieter von Vertrauensdiensten.

Das Bundesamt für Sicherheit in der Informationstechnik geht von rund 29.500 Unternehmen aus, die unter die neue Regulierung fallen.

Rund 29.500 Unternehmen sind von der NIS2-Richtlinie direkt betroffen

Risikomanagement und technische Maßnahmen

Durch die NIS2 sind Unternehmen gesetzlich verpflichtet, „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ (TOMs) zu ergreifen, um Störungen ihrer Netze und Informationssysteme zu vermeiden. Da sich Bedrohungslagen immer wieder verändern, kann dies nicht durch starre Prozesse gelingen.

Es bedarf eines dynamischen Risikomanagement-Ansatzes, wie er unter anderem im Rahmen eines ISMS (Informationssicherheits-Managementsystem) vorgesehen ist. Unter anderem aus diesem Grund erfüllen Unternehmen mit einem ISMS bereits einen Großteil der Anforderungen aus der NIS2.

Zu den Pflichten der Unternehmen gehören neben vielen weiteren:

Konzepte für die Risikoanalyse: Kontinuierliche Bewertung der Bedrohungslage.
Bewältigung von Sicherheitsvorfällen: Etablierung von Notfallplänen und Incident-Response-Prozessen.
Business Continuity Management (BCM): Sicherstellung der Betriebskontinuität durch Backup-Management und Krisenpläne.
Sicherheit der Lieferkette: Unternehmen müssen auch die Cybersicherheit ihrer Zulieferer und Dienstleister prüfen. Das kann dazu führen, dass auch Unternehmen unter die NIS2 fallen, die eigentlich nicht betroffen wären. Dies ist ein Punkt, der besonders für mittelständische Unternehmen einen hohen administrativen Aufwand bedeutet.
Verschlüsselung: Der Einsatz moderner Verschlüsselungsverfahren wird zur Pflicht. Das NIS2-Gesetz erwähnt darüber hinaus die Multi-Faktor-Authentisierung explizit.

Ein weiterer sehr bedeutender Punkt betrifft die Geschäftsleitung. Die NIS2 sieht die Verantwortung für die Sicherheit eindeutig bei der Unternehmensführung.

„Chef-Sache“ Cybersecurity: Haftung und Schulungspflicht

Ein zentraler Punkt, der von vielen Stellen immer wieder als vermeintliche Neuerung angeführt wird, ist die persönliche Verantwortung und die Haftung der Geschäftsleitung.

Blickt man genauer auf das BSI-Gesetz, wird schnell deutlich: Für Geschäftsleitungen ändert sich nicht viel. Denn der entscheidende Satz findet sich im §38 Abs. 2: „Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung […] enthalten.“

Für die meisten Gesellschaftsformen existieren jedoch sehr präzise Vorgaben, welche die Haftung der Geschäftsleitung gegenüber ihrer Gesellschaft regeln. Im Ergebnis bringt NIS2 hier also nichts wirklich Neues. Jedoch soll NIS2 die Aufmerksamkeit und das Bewusstsein für die Verantwortung der Geschäftsleitung erhöhen. Es wird erwartet, dass diese sich aktiver mit dem Thema auseinandersetzt und die Umsetzung von Sicherheitsmaßnahmen überwacht.

Cybersicherheit war und ist keine alleinige Aufgabe der IT-Abteilung, sondern eine Compliance-Aufgabe auf Vorstandsebene. Die Geschäftsführung muss die Sicherheitsmaßnahmen einleiten, genehmigen und deren Umsetzung überwachen.

Neu ist allerdings die genaue Vorgabe der Schulungspflicht für Führungskräfte. Während bisher die Rede von Grundkenntnissen war, sind Leitungsebenen nun verpflichtet, regelmäßig an Schulungen teilzunehmen, um die notwendigen Kenntnisse zur Identifizierung und Bewertung von Cyberrisiken zu erlangen. Die Gesetzesbegründung konkretisiert dies mit „alle drei Jahre“. Die @-yet bietet Schulungen an, damit Sie dieser Pflicht nachkommen können.

Geschäftsleitungen werden durch NIS2 künftig stärker in die Pflicht genommen.

Sanktionen und Aufsicht

NIS2, KI-VO und DS-GVO haben eines gemeinsam: Sie sehen empfindliche Geldbußen vor. Tatsächlich orientieren sich die Beträge der NIS2 an denen der DSGVO.

Für besonders wichtige Einrichtungen können bei Verstößen Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes verhängt werden (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen liegt der Rahmen bei bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.

Auch die Befugnisse des BSI wurden durch das neue Gesetz aufgewertet. So hat das BSI die Möglichkeit, Audits durchzuführen, Vor-Ort-Kontrollen vorzunehmen und bei schwerwiegenden Mängeln sogar die Ausübung von Leitungsaufgaben vorübergehend zu untersagen.

Meldepflichten: Zeit ist kritisch

Die NIS2-Richtlinie verschärft die Reaktionszeiten bei Sicherheitsvorfällen. Unternehmen müssen bei erheblichen Vorfällen ein mehrstufiges Meldeverfahren beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einhalten.

Frühwarnung: Wenn Sie einen erheblichen Sicherheitsvorfall bemerken, haben Sie 24 Stunden Zeit, diesen dem BSI zu melden. Als „erheblich“ wird ein Vorfall bezeichnet, wenn er schwerwiegende Störungen oder finanzielle Verluste zur Folge haben kann oder andere durch erhebliche Schäden beeinträchtigt hat oder beeinträchtigen kann.
Meldung des Vorfalles: Nach spätestens 72 Stunden müssen Sie dem BSI eine aktualisierte Meldung senden, die unter anderem detaillierte Informationen zur Ursache, getroffenen und geplanten Maßnahmen und dem Schweregrad des Vorfalles enthält.
Abschlussbericht oder Status: Nach einem Monat erwartet das BSI dann den Abschlussbericht. Sollte der Vorfall zu diesem Zeitpunkt noch nicht überwunden sein, tritt an seine Stelle ein Zwischenbericht.

Bitte beachten Sie: Auch die Nichteinhaltung dieser Fristen kann bereits für sich genommen sanktioniert werden. Dabei ist es nicht relevant, ob ein tatsächlicher Schaden entstanden ist.

Zeitplan

Eine Bitte zu Beginn: Warten Sie nicht auf behördliche Aufforderungen zum Handeln. Sie können (und müssen) schon jetzt etwas tun.

Betroffenheit prüfen: Bestimmen Sie, ob Ihr Unternehmen von NIS2 betroffen ist. Das Bundesamt für Sicherheit in der Informationstechnik hat zu diesem Zweck eine Betroffenheitsprüfung zur Verfügung gestellt.
Registrieren: Wenn Ihr Unternehmen von der NIS2 betroffen ist, registrieren Sie sich bitte bis spätestens 06. März 2026 beim BSI. Wenn Sie Fragen zu diesem Prozess haben, unterstützen wir Sie gern.
ISMS-Einführung starten: Haben Sie bereits ein ISMS in Ihrem Unternehmen eingeführt? Wenn nicht, ist jetzt der richtige Zeitpunkt, um damit zu starten. Auch hierbei stehen Ihnen die Expert:innen der @-yet zur Seite.

Die Identifizierung der eigenen Betroffenheit, die Registrierung beim BSI und die Implementierung eines robusten Informationssicherheits-Managementsystems (ISMS) sollten sofortige Priorität haben. Die NIS2-Richtlinie mag auf den ersten Blick wie eine weitere bürokratische Hürde erscheinen. Tatsächlich ist sie eine existenzielle Notwendigkeit, um die Widerstandsfähigkeit der Wirtschaft in einer immer stärker bedrohten digitalen Welt zu sichern.

Haben Sie Fragen zu NIS2?

NIS2 ist momentan ein Thema, welches viele Unternehmen beschäftigt. Zu diesem Thema gibt es viele Informationen und mindestens so viele Fragen. Wenn Sie Unterstützung benötigen, freuen wir uns auf Ihre Nachricht oder Ihren Anruf.