NIS-2: Neue Pflichten für Unternehmen
Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit. Zur Stärkung von Unternehmen und kritischen Infrastrukturen gegenüber Cyberattacken und IT-Störungen gibt es neue Vorgaben und Pflichten - NIS-2 setzt gewissermaßen einen Mindeststandard. Bundesweit werden rund 30.000 Unternehmen IT-Sicherheitsmaßnamen umsetzen und Vorfälle melden müssen.
- Was ist die NIS-2-Richtlinie und ab wann gilt sie?
- Wie wirkt sich NIS-2 auf Unternehmen aus?
- Welche Unternehmen sind von NIS-2 betroffen?
- Was muss ein betroffenes Unternehmen konkret tun?
- Pflichten für alle betroffenen Unternehmen sind unter anderem:
- Infos zum Registrierungsprozess
- Welche Folgen drohen bei Nichtbeachtung?
- DIHK zur Verabschiedung des NIS2-Umsetzungsgesetzes im Bundesstaat
Was ist die NIS-2-Richtlinie und ab wann gilt sie?
Die NIS-2-Richtlinie (Network and Information Security) ist eine seit 2023 gültige EU-weite Regelung zur Cyber- und Informationssicherheit von Unternehmen und Instituten.
Sie wurde mit dem NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (kurz NIS2UmsuCG) im Dezember 2025 ins nationale Recht überführt und gilt somit für Unternehmen verbindlich. Unternehmen müssen nun prüfen, ob Sie von dem Gesetz betroffen sind. Die Registrierungspflicht für betroffene Unternehmen greift drei Monate nach in Kraft treten des Gesetzes. Das Portal zur Registrierung ist aktuell noch nicht aufrufbar.
Wie wirkt sich NIS-2 auf Unternehmen aus?
Je nach Einstufung der Unternehmen müssen Maßnahmen, Registrierungs-, Dokumentations- oder Unterrichtungspflichten für mehr IT-Sicherheit erfüllt werden. Dabei müssen besonders wichtige Einrichtungen (Hohe Kritikalität) mehr erfüllen, als sogenannte wichtige Einrichtungen (Sonstige Kritikalität).
Welche Unternehmen sind von NIS-2 betroffen?
Alle Unternehmen müssen eigenständig prüfen, ob Sie von den Regelungen betroffen sind. Eine behördliche Information erfolgt nicht. Hilfe und Orientierung bieten dabei die beiden Online-Tools:
1) NIS-2-Betroffenheitsprüfung auf der Website der zuständigen Aufsichtsbehörde BSI
2) Die kostenfreie Anlaufstelle des Landes NRW berät klein- und mittelständische Unternehmen zum Thema NIS-2 – auch zu der Frage, ob Ihr Unternehmen betroffen ist.
3) FitNIS2-Navigator im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWE) im Rahmen der Initiative “IT-Sicherheit in der Wirtschaft”. Mit diesem können Sie die eigene Betroffenheit prüfen, vorhandene IT-Sicherheitsmaßnahmen beurteilen und erfahren, welche Anforderungen für Sie bestehen. Darüber hinaus erhalten Sie passgenaue Handlungsempfehlungen zur Verbesserung der eigenen Sicherheitsmaßnahmen und zur Erfüllung der neuen Sicherheitsvorgaben.
1) NIS-2-Betroffenheitsprüfung auf der Website der zuständigen Aufsichtsbehörde BSI
2) Die kostenfreie Anlaufstelle des Landes NRW berät klein- und mittelständische Unternehmen zum Thema NIS-2 – auch zu der Frage, ob Ihr Unternehmen betroffen ist.
3) FitNIS2-Navigator im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWE) im Rahmen der Initiative “IT-Sicherheit in der Wirtschaft”. Mit diesem können Sie die eigene Betroffenheit prüfen, vorhandene IT-Sicherheitsmaßnahmen beurteilen und erfahren, welche Anforderungen für Sie bestehen. Darüber hinaus erhalten Sie passgenaue Handlungsempfehlungen zur Verbesserung der eigenen Sicherheitsmaßnahmen und zur Erfüllung der neuen Sicherheitsvorgaben.
Wird eine Betroffenheit vom Unternehmen selbst festgestellt, besteht eine Registrierungspflicht des Unternehmens beim Bundesamt für Sicherheit in der Informationstechnik (BSI). In bestimmten Fällen kann das BSI eine Betroffenheit auch anordnen.
Ein Unternehmen ist betroffen, wenn es
- die Schwellenwerte (Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme) überschreitet und
- in einem bestimmten Sektor tätig ist.
Aus den nachfolgenden Sektoren sind auch Einrichtungen unabhängig von ihrer Größe von der Richtlinie betroffen. Hierzu zählen zum Beispiel Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Vertrauensdiensteanbieter, alleinige Anbieter, die essenziell für Gesellschaft und Wirtschaft sind sowie Einrichtungen, deren Ausfall einen großen Effekt für die öffentliche Ordnung, Sicherheit oder Gesundheit hätte.
Einstufungen, Schwellenwerte und Sektoren
- Hohe Kritikalität (besonders wichtige Einrichtungen):
- Schwellenwert: Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme in den Bereichen:
- Sektoren
- Energie – Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Wasserstoff, Heizung sowie Ladestationen für die Elektromobilität
- Straßen-, Schienen, Luft- und Schiffsverkehr – dazu zählen auch Reedereien, Hafenanlagen und Flughäfen
- Wasser – Trink- und Abwasserversorgungsunternehmen
- Digitale Infrastruktur und IT-Dienste – dazu zählen auch Rechenzentren, Clouddienste, elektronische Kommunikationsdienste, Internetknoten sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
- Bank- und Finanzwesen – Kredit, Handel, Markt, Infrastruktur und Versicherungswesen
- Gesundheit – Gesundheitsdienstleister, Pharmazeutika, Hersteller medizinischer Geräte, Forschungseinrichtungen
- Öffentliche Verwaltung
- Raumfahrt
- Sonstige Kritikalität (wichtige Einrichtung)
- Schwellenwert: Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme
- Sektoren:
- Abfallwirtschaft
- Post- und Kurierdienste
- Chemische Erzeugnisse – Produktion und Vertrieb
- Lebensmittel – Produktion und Vertrieb
- Hersteller – Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge und Anhänger, Transportmittel
- Digitale Anbieter – Suchmaschinen, soziale Netzwerke, Online-Marktplätze
- Forschungseinrichtungen
Was muss ein betroffenes Unternehmen konkret tun?
- Betroffene Unternehmen müssen sich eigenständig bei einer Behörde melden. (Details zum Meldevorgang sind aktuell noch nicht veröffentlicht) – (§§ 34, 34)
- Einhaltung von Melde- und Dokumentationspflichten für erhebliche Sicherheitsvorfälle (zum Beispiel 24 Stunden nach Kenntnis, ausführlicher Bericht 72 Stunden nach Kenntnis.) – (§ 32)
- Ergreifung von operativen Maßnahmen und Anforderungen ab Oktober 2024. Diese variieren je nachdem, ob ein Unternehmen als “Betreiber kritischer Anlagen”, “Besonders wichtige Einrichtung” oder “wichtige Einrichtung” eingestuft wird. Daher ist unerlässlich, dass NIS2UmsuCG als betroffenes Unternehmen sorgfältig zu analysieren und die erforderlichen Maßnahmen für sich herauszuarbeiten.
Pflichten für alle betroffenen Unternehmen sind unter anderem:
- Risikomanagementmaßnahmen, Business Continuity Management, dazu gehört zum Beispiel der Einsatz technischer Maßnahmen wie Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
- Maßnahmen zur Aufrechterhaltung und Wiederherstellung, Back-up-Management, Krisenmanagement
- Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
- Unterrichtungspflichten
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
Infos zum Registrierungsprozess
Ab Beginn des Jahres 2026 müssen sich circa 30.000 Unternehmen bundesweit beim Bundesamt für Sicherheit in der Informationstechnik registrieren, eigene Sicherheitsvorfälle melden und Risikomanagementmaßnahmen implementieren und dokumentieren.
Das BSI sieht einen zweistufigen Registrierungsprozess vor:
Zunächst muss eine Anmeldung beim digitalen Dienst "Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handelt es sich um ein Nutzerkonto für Unternehmen im Sinne des Onlinezugangsgesetzes (OZG). MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit.
Das BSI empfiehlt, den Account bei "Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim unter anderem für NIS-2 neu entwickelten BSI-Portal zu registrieren.
Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und dient unter anderem als Meldestelle für erhebliche Sicherheitsvorfälle.
Welche Folgen drohen bei Nichtbeachtung?
Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen von einer Aufsichtsbehörde. Diese verfügen über Kontroll- und Weisungsrecht bei der Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsführer beziehungsweise Leitungsorgane.
Wo finde ich weitere Hilfestellungen?
- Fragen und Antworten (FAQ) zu NIS-2 vom BSI
- Infoblatt NIS-2 Mittelstand-Digital Zentrum Handel
- NIS-2 Anlaufstelle NRW bei eurobits e. V.
- Fragen und Antworten (FAQ) zu NIS-2 vom BSI
- Infoblatt NIS-2 Mittelstand-Digital Zentrum Handel
- NIS-2 Anlaufstelle NRW bei eurobits e. V.
DIHK zur Verabschiedung des NIS2-Umsetzungsgesetzes im Bundesstaat
Die Kritikpunkte, die die Deutsche Industrie- und Handelskammer (DIHK) bereits im Gesetzentwurf geäußert hatte, bleiben bestehen. Hier finden Sie die DIHK-Position zum NIS2-Umsetzungsgesetz.
Hinweis:
Die Informationen und Auskünfte der IHK Aachen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.
Die Informationen und Auskünfte der IHK Aachen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.