NIS 2 Richtlinie – Das müssen Unternehmen jetzt wissen

Die NIS 2 Richtlinie ist eine neue europäische Cybersicherheitsrichtlinie, die am 16. Januar 2023 in Kraft getreten ist. Sie löst die erste NIS-Richtlinie von 2016 ab und soll die Cybersecurity EU-weit deutlich stärken. Die Abkürzung NIS 2 steht für "Network and Information Security Directive 2" - also die „zweite Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU“. Eingeführt wurde NIS 2 vor dem Hintergrund zunehmender Cyberangriffe und einer uneinheitlichen Umsetzung der alten Regeln in Europa. Die EU verfolgt damit das Ziel, ein hohes, einheitliches Sicherheitsniveau innerhalb aller Mitgliedstaaten zu erreichen und kritische Infrastrukturen besser zu schützen.

Im Folgenden erfahren Sie, was die NIS 2-Richtlinie beinhaltet, wen sie betrifft, welche Pflichten sie für Unternehmen mit sich bringt und bis wann die Umsetzung erfolgen muss.

Inhalte und Schwerpunkte der NIS 2 Richtlinie

Gegenüber ihrer Vorgängerin NIS 1 gibt es gleich mehrere wichtige Neuerungen. Die Inhalte von NIS 2 lassen sich in fünf Schwerpunkte zusammenfassen:

  • Erweiterter Anwendungsbereich: Deutlich mehr Sektoren und Unternehmen als zuvor fallen in den Geltungsbereich. Die Definition kritischer Bereiche wurde ausgeweitet, sodass nun insgesamt 18 Branchen abgedeckt werden, darunter z.B. Gesundheit, Energie, Verkehr, Trinkwasser und digitale Infrastruktur (siehe unten).
  • Strengere Sicherheitsanforderungen: Unternehmen müssen umfangreiche und robuste Sicherheitsmaßnahmen einführen. Die Richtlinie schreibt ein systematisches Cyber-Risikomanagement vor, einschließlich technischer und organisatorischer Maßnahmen nach dem Stand der Technik, um Netzwerke und Informationssysteme angemessen zu schützen.
  • Meldepflichten bei Vorfällen: Sicherheitsvorfälle müssen verpflichtend gemeldet werden. Es wird ein gestufter Meldeprozess eingeführt, der eine schnelle Erstmeldung und weitere Berichte innerhalb festgelegter Fristen vorsieht (Details hierzu weiter unten).
  • Zusammenarbeit festigen: Die EU-Mitgliedstaaten sollen intensiver zusammenarbeiten und Informationen austauschen. Durch zentrale Plattformen und die Vernetzung der nationalen Computer Emergency Response Teams (CSIRTs) wird eine bessere Koordination bei Cybervorfällen erreicht.
  • Verschärfte Durchsetzung: Die Aufsichtsbehörden erhalten mehr Befugnisse und es gelten höhere Sanktionen bei Verstößen. So wurden die Bußgeldrahmen deutlich angehoben, um die Einhaltung der Vorgaben durchzusetzen. Beispielsweise drohen Geldstrafen von bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes (für wesentliche Einrichtungen) bzw. 7 Millionen Euro oder 1,4% des Umsatzes (für wichtige Einrichtungen), je nachdem welcher Wert höher ist.

Die EU-Richtlinie NIS 2 setzt somit neue Mindeststandards für Cybersicherheit in der EU. Sie erweitert den Kreis der verpflichteten Unternehmen und verschärft zugleich die Anforderungen und Konsequenzen, um ein einheitliches hohes Sicherheitsniveau zu schaffen.

Welche Unternehmen sind betroffen?

Die europäische Cybersicherheitsrichtlinie NIS 2 unterscheidet zwischen „wesentlichen“ (essential) und „wichtigen“ (important) Einrichtungen, also zwei Kategorien von Unternehmen, die den Vorgaben unterliegen. Grundsätzlich gilt: mittelgroße und große Unternehmen in bestimmten Sektoren werden erfasst. In Deutschland rechnet der Gesetzgeber mit rund 30.000 Unternehmen, die unter die NIS 2 fallen. Diese verteilen sich auf insgesamt 18 Sektoren, davon 11 Sektoren von hoher Kritikalität und 7 weitere wichtige Sektoren.

Mehr Informationen finden Sie in unserem Artikel "Wer ist von NIS 2 betroffen?"

Sind auch kleine Unternehmen betroffen?

Kleine Unternehmen unterhalb der Größenschwelle - <50 Mitarbeiter, <10 Mio. Euro Umsatz & Bilanzsumme - sind in der Regel nicht erfasst. Allerdings definiert die Richtlinie Sonderfälle, in denen auch kleinere Organisationen einbezogen werden können. Zum Beispiel, wenn ein Unternehmen eine kritische Dienstleistung als einziger Anbieter erbringt, wie etwa ein kleiner lokaler Energieversorger, wenn Cyberangriffe auf das Unternehmen Auswirkungen auf die öffentliche Ordnung haben könnte oder wenn systemische bzw. grenzüberschreitende Risiken bestehen. In solchen Fällen greift NIS 2 trotz geringerer Unternehmensgröße.

Zudem können kleine Zulieferer indirekt betroffen sein: Größere, von NIS 2 regulierte Unternehmen müssen für ihre gesamte Lieferkette gewisse Sicherheitsstandards sicherstellen. Sie könnten daher von ihren kleinen Dienstleistern oder Lieferanten verlangen, vergleichbare Sicherheitsmaßnahmen umzusetzen. Mit anderen Worten: Auch wenn ein Betrieb formal nicht unter die Richtlinie fällt, kann er durch strenge Vorgaben eines kritischen Geschäftspartners zur Erhöhung seiner Cybersicherheit gezwungen werden.

Haben wir Ihr Interesse geweckt? Holen Sie sich jetzt ein Angebot ein! (Kopie) (Kopie) (Kopie) (Kopie)

Wir unterstützen Sie bei der Analyse und der Entwicklung einer durchgehend sicheren IT-Infrastruktur und sorgen dank modernster Sicherheitstechnik für ein Höchstmaß an Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten.

Kontakt

Welche Pflichten ergeben sich aus der Richtlinie und wie lassen sie sich umsetzen?

Unternehmen, die unter NIS 2 fallen, stehen vor umfassenden Verpflichtungen im Bereich Cyber- und Informationssicherheit. Die Richtlinie definiert mehrere konkrete Handlungsfelder, von präventiven Sicherheitsmaßnahmen bis hin zu organisatorischen Prozessen. Im Folgenden nennen und erläutern wir die wichtigsten Pflichten – und zeigen Ansätze, wie Unternehmen diese umsetzen können. Auch die Frage der Kosten soll dabei beleuchtet werden.

Risikomanagement und technische Sicherheitsmaßnahmen

Eine zentrale Vorgabe der NIS 2-Richtlinie ist die Einführung eines umfassenden Cyber-Risikomanagements. Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen (TOM) zu ergreifen, um ihre Netz- und Informationssysteme zu schützen. Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme verhindern oder zumindest minimieren.

Konkret bedeutet das: Es müssen Risikoanalysen durchgeführt und Sicherheitskonzepte erstellt werden, etwa für Incident Response/Vorfallmanagement und Notfallbetrieb. Unternehmen müssen für eine zuverlässige Betriebsaufrechterhaltung sorgen und die Sicherheit in ihren Lieferketten gewährleisten. Außerdem sind Mitarbeiterschulungen, klare Zugriffskontrollkonzepte - wer darf auf welche Daten zugreifen - und der Einsatz von Multi-Faktor-Authentifizierung Pflicht, um unautorisierten Zugriff zu erschweren. Diese Aufzählung ist nicht abschließend – die Richtlinie fordert einen ganzen Katalog von Sicherheitsmaßnahmen, orientiert an einschlägigen Normen und Best Practices.

Besonders Betreiber kritischer Infrastrukturen und andere wesentliche Einrichtungen müssen hier höchstmögliche Standards erfüllen. Sie werden künftig Nachweise erbringen müssen, dass sie all diese Maßnahmen umgesetzt haben – etwa durch Audits oder Zertifizierungen. Erste offizielle Überprüfungen sind in Deutschland ab 2027 zu erwarten. Wichtig in diesem Zusammenhang: Unternehmen müssen die Einhaltung der Sicherheitsanforderungen nicht nur für sich selbst, sondern auch für ihre direkten Dienstleister und Lieferanten sicherstellen. Das heißt, sie müssen Sicherheitsvorgaben entlang der gesamten Lieferkette durchsetzen und von Partnern entsprechende Nachweise einfordern. Somit weiten sich die Verpflichtungen indirekt auf viele weitere Unternehmen aus.

Meldepflichten bei Sicherheitsvorfällen

Die NIS 2-Richtlinie verschärft die bereits bestehenden Pflichten zur Meldung von IT-Sicherheitsvorfällen. Signifikante Sicherheitsvorfälle (z.B. erfolgreiche Hackerangriffe mit erheblichem Impact) müssen künftig unverzüglich an die zuständige Behörde (BSI) gemeldet werden. Das Gesetz sieht einen dreistufigen Meldeprozess vor:

  • Binnen 24 Stunden nach Kenntnis des Vorfalls ist eine erste Meldung (Incident Notification) abzugeben – zunächst ein kurzer Bericht mit den wichtigsten Fakten.
  • Binnen 72 Stunden nach der Erstmeldung soll ein ausführlicher Bericht folgen, der den Vorfall eingehender bewertet und über erste Reaktionsmaßnahmen informiert.
  1. Spätestens einen Monat nach Entdeckung des Vorfalls ist ein Abschlussbericht mit allen Details, Analysen und erfolgten (Gegen)Maßnahmen vorzulegen.

Diese Meldungen gehen in Deutschland an das Bundesamt für Sicherheit in der Informationstechnik (BSI) bzw. an das nationale Computer Security Incident Response Team (CSIRT). Der gestufte Meldeprozess soll für höhere Transparenz und bessere Koordination sorgen: Die Behörden erhalten zeitnah einen Lageüberblick über aktuelle Cyberangriffe und können die gewonnenen Informationen nutzen, um andere zu warnen und geeignete Gegenmaßnahmen zu entwickeln. Unternehmen sollten deshalb interne Prozesse etablieren, um Vorfälle sofort erkennen und fristgerecht melden zu können, inklusive klarer Zuständigkeiten und Notfallkontakte.

Registrierung und behördliche Aufsicht

Betroffene Unternehmen müssen sich aktiv bei ihrer nationalen Aufsichtsbehörde melden. In Deutschland bedeutet das: betroffene Betriebe müssen sich innerhalb von drei Monaten beim BSI registrieren (Name, Anschrift, Sektor etc.), sobald NIS 2 in Form des NIS 2 Umsetzungsgesetzes in Deutschland in Kraft getreten ist. Diese Registrierungspflicht sorgt dafür, dass die Behörden einen Überblick über alle relevanten Einrichtungen haben.

Zusätzlich wird von besonders wichtigen Einrichtungen verlangt, sich bei Informationsaustausch-Plattformen zu registrieren. In Deutschland sollen beispielsweise über das BSI-Portal BISP branchenspezifisch und EU-weit Informationen zu Cyberbedrohungen und Vorfällen geteilt werden. Dieser Austausch erhöht die kollektive Sicherheit und ermöglicht es, im Ernstfall schneller gewarnt zu sein, um Angriffe proaktiv abwehren zu können.

Aufsichtsbefugnisse: Die NIS 2-Richtlinie stattet die nationalen Behörden mit deutlich erweiterten Kontroll- und Durchgriffsrechten aus. Das BSI (bzw. entsprechende Landes-Behörden) dürfen Vor-Ort-Kontrollen, Sicherheitsprüfungen und Schwachstellen-Scans bei Unternehmen durchführen. Sie können von allen betroffenen Einrichtungen Nachweise und Informationen zur IT-Sicherheit verlangen und bei Mängeln verbindliche Anweisungen erteilen, diese zu beheben. In extremen Fällen kann die Behörde sogar einen externen Überwacher einsetzen oder der Geschäftsleitung zeitweilig die Verantwortung entziehen, falls ein Unternehmen die Auflagen grob missachtet.

Strenge Sanktionen: Um die Einhaltung der Pflichten zu gewährleisten, sieht NIS 2  scharfe Sanktionen vor. Verstöße – sei es gegen die Umsetzung der Sicherheitsmaßnahmen oder gegen die Meldepflichten – können mit empfindlichen Bußgeldern geahndet werden. Die genaue Höhe richtet sich nach der Unternehmens-Kategorie (wesentlich vs. wichtig). In Deutschland ist mit Strafen von bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen und bis zu 7 Mio. € oder 1,4% des Umsatzes bei wichtigen Einrichtungen zu rechnen. Es zählt jeweils der höhere Wert. Diese Summen ähneln den Größenordnungen aus der DSGVO und unterstreichen, dass Cybersecurity-Verstöße kein Kavaliersdelikt sind.

Darüber hinaus macht der Gesetzgeber klar, dass Geschäftsführer und Vorstände persönlich in der Verantwortung stehen. Sie können bei Versäumnissen in der IT-Sicherheit unter Umständen mit ihrem Privatvermögen haftbar gemacht werden. Ein Haftungsausschluss oder eine interne Abwälzung der Verantwortung soll ausgeschlossen sein. Für das Management steigt dadurch der Druck, für die Einhaltung der Vorgaben zu sorgen.

Umsetzung in der Praxis und Kosten

Wie können Unternehmen diese Anforderungen umsetzen? Der effektivste Ansatz ist die Einführung eines umfassenden Informationssicherheits-Managementsystems (ISMS). Ein ISMS nach anerkannten Standards – allen voran ISO/IEC 27001 – liefert einen strukturierten Rahmen, um alle geforderten Maßnahmen zu organisieren. Mit anderen Worten: Wenn ein Unternehmen bereits ein ISO-27001-konformes ISMS betreibt, hat es einen Großteil der NIS 2-Anforderungen abgedeckt. Viele der NIS 2-Pflichten (Risikomanagement, Policies, Incident Response etc.) entsprechen nämlich etablierten ISO-Standards, was die Implementierung erleichtert.

Allerdings ist der Aufbau eines solchen Sicherheitsstandards kein kurzfristiges Unterfangen. Selbst ohne formale ISO-Zertifizierung durch einen Auditor sind die Kosten für die Einführung und den Betrieb eines ISMS deutlich fünfstellig. Je nach Unternehmensgröße und -komplexität muss man mit einer Projektlaufzeit von ca. 6 bis 18 Monaten rechnen, um alle Prozesse, Richtlinien und technischen Controls zu etablieren. Dies umfasst beispielsweise Risikoanalysen, die Erstellung von Sicherheitsrichtlinien, Schulungen, technische Upgrades (wie Netzwerk-Monitoring, Multifaktor-Auth usw.) und oft auch externe Beratungsleistungen.

Für die Wirtschaft insgesamt sind die Aufwände erheblich. Laut einer Abschätzung des Statistischen Bundesamts entstehen durch NIS 2 jährliche Mehrkosten von rund 1,65 Milliarden Euro für alle betroffenen Unternehmen zusammen. Zudem wird einmalig mit Implementierungskosten von etwa 1,37 Mrd. Euro gerechnet, u.a. für neue Prozesse, Dokumentation und Schulungen – davon entfallen allein ~120 Mio. Euro auf bürokratischen Aufwand.

Legt man 30.000 betroffene Unternehmen zugrunde, hieße das umgerechnet, dass jedem Unternehmen durchschnittlich ~46.000 Euro Implementierungs- und ~55.000 Euro laufenden Kosten pro Jahr entstehen.

Dennoch sollten Unternehmen die Verbesserung ihrer Cybersecurity nicht nur als lästige Pflicht, sondern als Chance betrachten. Proaktive Investitionen in IT-Sicherheit zahlen sich langfristig aus, indem sie Geschäftsunterbrechungen durch Angriffe verhindern und Vertrauen bei Kunden und Partnern stärken. Wer jetzt ein solides ISMS etabliert, reduziert nicht nur das Risiko von Sicherheitsvorfällen, sondern stellt auch die Weichen, um den kommenden Prüfungen der Behörden standzuhalten.

Zeitplan und Fristen für die Umsetzung von NIS 2

Jeder EU-Staat erlässt eigene Gesetze basierend auf der EU Richtlinie NIS 2. In vielen Ländern laufen diese Gesetzgebungsprozesse auf Hochtouren. Deutschland hatte zunächst geplant, das NIS 2-Umsetzungsgesetz bis Oktober 2024 fertigzustellen. Allerdings verzögerte sich die Verabschiedung hierzulande. Aktuell wird damit gerechnet, dass das deutsche NIS 2-Umsetzungsgesetz erst zum Ende des Jahres 2025 in Kraft treten wird (Stand: August 2025). Diese Verzögerung ändert jedoch nichts daran, dass die Unternehmen gut beraten sind, sofort mit den Vorbereitungen zu beginnen. Die EU-Kommission wird auf eine zügige Umsetzung bestehen und sobald das Gesetz gilt, müssen Firmen praktisch über Nacht compliant sein. Anders als bei manch anderer Richtlinie ist derzeit keine längere Übergangsfrist vorgesehen.

Formal gesehen sind die Fristen klar: Die EU-Richtlinie selbst ist am 16. Januar 2023 wirksam geworden, und die Regierungen mussten bis Oktober 2024 ihre nationalen Gesetze erlassen. Nach Veröffentlichung der nationalen Gesetze können einzelne detaillierte Termine folgen (z.B. bis wann man sich bei der Behörde registriert haben muss). Unternehmen sollten die Entwicklung im Blick behalten. In Deutschland war beispielsweise im Gespräch, dass sich betroffene Firmen innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim BSI melden müssen – allerdings werden solche Fristen endgültig erst durch die Überführung der EU-Richtlinie in nationales Recht geregelt.

Auch wenn Deutschland etwas hinterherhinkt, sollten Unternehmen NIS 2 nicht auf die leichte Schulter nehmen. Die Erfahrungen mit der DSGVO haben gezeigt, dass Ignorieren teuer werden kann. Bei NIS 2 drohen nun vergleichbar hohe Strafen und persönliches Haftungsrisiko für die Geschäftsleitung – und vor allem kann jeder gravierende Cybervorfall immense Schäden verursachen. Es ist daher im ureigenen Interesse der Unternehmen, frühzeitig alle nötigen Sicherheitsvorkehrungen umzusetzen. Wer jetzt handelt, minimiert das Risiko späterer Sanktionen und stärkt seine eigene Resilienz.

Die NIS 2 Richtlinie markiert einen Meilenstein für die Cybersicherheit in Europa. Sie zwingt Unternehmen IT-Sicherheit strategisch anzugehen und als kontinuierliche Führungsaufgabe zu begreifen. Die kommenden Monate sollten intensiv genutzt werden, um Lücken zu schließen und Prozesse ins Leben zu rufen. So wird man den neuen EU-Vorgaben gerecht und schützt zugleich das eigene Geschäft vor den wachsenden Gefahren im Cyberraum.

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 9 und 4.

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung