Die NIS2-Richtlinie ist ein Gesetz der Europäischen Union, das die Sicherheit der digitalen Infrastruktur verbessern soll. Sie wurde im Dezember 2022 beschlossen und ersetzt die bisherige NIS-Richtlinie. Ziel ist es, die Widerstandsfähigkeit gegen Cyberangriffe in allen Mitgliedstaaten deutlich zu erhöhen.
Was bedeutet NIS2?
NIS steht für "Network and Information Security". Die "2" zeigt an, dass es sich um die zweite, erweiterte Version dieser EU-Richtlinie handelt. Dazu gehören strengere Sicherheitsanforderungen, klare Meldepflichten und eine europaweit einheitliche Sicherheitsstrategie.
Mit dem deutschen NIS2-Umsetzungsgesetz, das vor kurzem in Kraft getreten ist, wurden die europäischen Vorgaben verbindlich in nationales Recht übertragen. Besonders wichtig dabei ist, dass der Kreis der betroffenen Unternehmen erheblich gewachsen ist.
Statt einiger tausend Organisationen fallen jetzt rund 30.000 Unternehmen und Einrichtungen unter die neuen Regelungen. Die Aufsicht und Kontrolle übernimmt dabei vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Wer ist von NIS2 betroffen?
Die NIS2-Richtlinie betrifft nicht nur Betreiber klassischer kritischer Infrastruktur wie Energieversorger, Wasserwerke, Gesundheitsdienste oder Transportanbieter. Neu hinzugekommen sind zahlreiche Unternehmen, die als wichtige oder wesentliche Einrichtungen eingestuft werden.
Energie
Stromversorger, Gasnetzbetreiber, Kraftwerke
Gesundheit
Krankenhäuser, Labore, Pharma-Unternehmen
Transport
Logistik, Flughäfen, Bahnbetreiber
Produktion
Industrielle Fertigung, Maschinenbau
Digitale Dienste
Cloud-Anbieter, Softwareanbieter, Rechenzentren
Forschung
Forschungseinrichtungen, Universitäten
Grobe Anhaltspunkte
Firmen mit mehr als 50 Mitarbeitenden oder einem Umsatz über 10 Millionen Euro können betroffen sein, sofern sie Dienste oder Leistungen erbringen, die für das Funktionieren der Gesellschaft oder der Wirtschaft eine besondere Bedeutung haben.
Der erweiterte Geltungsbereich wurde eingeführt, weil Angriffe auf Lieferketten, Dienstleister und vernetzte Systeme immer häufiger zu Ausfällen führen.
Was betroffene Unternehmen jetzt tun müssen
Für alle Einrichtungen, die unter NIS2 fallen, gelten klare Pflichten. Hier sind die wichtigsten Maßnahmen:
Betroffenheitsprüfung durchführen
Unternehmen sollten prüfen, ob sie unter NIS2 fallen. Dafür gibt es beispielsweise den NIS2-Checker des Bundesamts für Sicherheit in der Informationstechnik.
Zum BSI NIS2-CheckerRegistrierung beim BSI
Betroffene Unternehmen müssen sich beim zuständigen Portal anmelden und ihre grundlegenden Daten hinterlegen. Dies ist verpflichtend und bildet die Basis für die weitere Kommunikation mit der Aufsichtsbehörde.
Einführung geeigneter Schutzmaßnahmen
Die Richtlinie verlangt ein vollständiges System für Informationssicherheit. Dazu gehören:
- Regelmäßige Risikoanalysen
- Technische Schutzmaßnahmen
- Überwachung sicherheitsrelevanter Systeme
- Notfallpläne & Incident Response
- Mitarbeiterschulungen
- Strukturiertes Sicherheitsmanagement (ISMS)
Einhaltung der Meldepflichten
Sicherheitsvorfälle müssen zeitnah gemeldet werden. Die Fristen sind streng und Unternehmen sollten klare Prozesse für interne und externe Meldungen festlegen. In der Regel müssen erhebliche Vorfälle innerhalb von 24 Stunden gemeldet werden.
Aufbau einer langfristigen Sicherheitsstrategie
NIS2 ist kein einmaliges Projekt, sondern schafft einen dauerhaften Rahmen. Unternehmen müssen regelmäßige Überprüfungen, Audits und Verbesserungsprozesse einplanen.
Warum NIS2 wichtig ist
Mit NIS2 steigt das allgemeine Sicherheitsniveau in Deutschland und der Europäischen Union deutlich an. Durch die vereinheitlichten Vorgaben entsteht ein gemeinsamer Sicherheitsstandard, der alle Bereiche stärkt, die für das Funktionieren der Gesellschaft und der Wirtschaft entscheidend sind.
Gleichzeitig gewinnen Unternehmen Vertrauen bei Kunden und Partnern, weil sie nachweisbar hohe Sicherheitsstandards erfüllen. Dies kann auch ein Wettbewerbsvorteil sein.
Fazit
NIS2 ist ein bedeutender Schritt zu mehr digitaler Sicherheit. Viele Unternehmen, die bisher nicht reguliert waren, müssen sich nun mit neuen Anforderungen auseinandersetzen. Wer frühzeitig prüft, ob die Regeln für das eigene Unternehmen gelten, und rechtzeitig mit der Umsetzung beginnt, reduziert Risiken und erhöht die eigene Widerstandsfähigkeit gegen Cyberangriffe.