Innovation und Umwelt
Wo finde ich weitere Hilfestellungen?
NIS-2-Richtlinie: Das kommt auf betroffene Unternehmen zu
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit von Unternehmen und Instituten. Sie soll Unternehmen und kritische Infrastrukturen gegenüber Cyberattacken und IT-Störungen schützen. Die Richtlinie enthält Vorgaben und Pflichten für Betroffene.
Was ist die NIS-2-Richtlinie und ab wann gilt sie?
NIS-2 steht für „Network and Information Security“ und ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit innerhalb der Europäischen Union zu stärken. Sie verpflichtet bestimmte Unternehmen und Organisationen, angemessene Sicherheitsmaßnahmen zu ergreifen, um ihre IT-Systeme und Daten zu schützen. Mit Inkrafttreten des deutschen NIS-2-Umsetzungsgesetz am 06.12.2025 gelten die dort aufgeführten Registrierungs- und Meldepflichten. Die zentrale Aufsichtsbehörde in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Welche Unternehmen sind von NIS-2 betroffen?
Alle Unternehmen müssen eigenständig prüfen, ob sie von den Regelungen betroffen sind. Eine behördliche Information erfolgt nicht!
Betroffen sind nicht mehr nur Betreiber kritischer Infrastrukturen, sondern auch viele mittelständische Unternehmen in 18 Sektoren – von Energie und Gesundheit bis zur verarbeitenden Industrie. Voraussetzung: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Umsatz.
Auf der Website der Aufsichtsbehörde, dem Bundesamt für Sicherheit in der Informationstechnik, gibt es ein Webtool “NIS-2-Betroffenheitsprüfung”, das bei der Einschätzung unterstützt, jedoch nicht verbindlich ist.
Auf der Website der Aufsichtsbehörde, dem Bundesamt für Sicherheit in der Informationstechnik, gibt es ein Webtool “NIS-2-Betroffenheitsprüfung”, das bei der Einschätzung unterstützt, jedoch nicht verbindlich ist.
Ein Unternehmen ist betroffen, wenn es
- die Schwellenwerte (Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme) überschreitet UND
- in einem bestimmten Sektor tätig ist
- Von dem Gesetz werden zum einen „besonders wichtige Einrichtungen“ erfasst. Hierunter fallen neben den Betreibern kritischer Anlagen (sog. KRITIS-Unternehmen) auch Unternehmen mit mindestens 250 Mitarbeiter oder über 50 Millionen Euro Jahresumsatz und zudem einer Jahresbilanzsumme von über 43 Millionen Euro aus beispielsweise folgenden Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswirtschaft, Gesundheit, Wasser, Digitale Infrastruktur.
- Zum anderen fallen auch „wichtige Einrichtungen“ in den Anwendungsbereich des Gesetzes. Hierzu zählen Unternehmen aus den o.g. Sektoren sowie beispielsweise Post- und Kurierdienste, Unternehmen aus Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe und Herstellung von Waren, die mindestens 50 Mitarbeiter beschäftigten oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mehr als 10 Millionen Euro aufweisen.
Was muss ein betroffenes Unternehmen konkret tun?
Die Pflichten sind umfangreich: Unternehmen müssen ein Risikomanagement etablieren, Sicherheitskonzepte erstellen, Lieferketten absichern und Mitarbeitende schulen. Außerdem gilt eine Registrierungspflicht bei einer zentralen Meldestelle innerhalb von drei Monaten nach Inkrafttreten. Sicherheitsvorfälle sind künftig streng zu melden: erste Meldung binnen 24 Stunden, eine detaillierte Analyse nach 72 Stunden und ein Abschlussbericht spätestens nach einem Monat.
Letztlich verlangt das Gesetz, dass sich Unternehmen grundlegend mit IT-Sicherheit auseinandersetzen und entsprechende Strukturen implementieren.
- Betroffene Unternehmen müssen sich eigenständig beim BSI bis zum 6.3.2026 registrieren. Der dafür vorgesehene Registrierungsprozess ist zweistufig: Zunächst muss eine Anmeldung beim digitalen Dienst Mein Unternehmenskonto (MUK) erfolgen, dann eine Registrierung im neu entwickelten BSI-Portal.
- Melde- und Dokumentationspflichten auf dem BSI-Portal für erhebliche Sicherheitsvorfälle einhalten
-
Risikomanagement im Unternehmen implementieren und dokumentierenWeitere Infos zum Risikomanagement bietet das BSI in seinem #nis2know-Infopaket.
Welche Folgen drohen bei Nichtbeachtung?
Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen ($65 BSIG). Zudem existiert eine persönliche Haftung der Geschäftsführer.
Wo finde ich weitere Hilfestellungen?
Bundesamt für Sicherheit in der Informationstechnik (BSI):
NIS-2-Starterpaket
NIS-2 - Was tun?
Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI
FAQ zu NIS2
NIS-2-Starterpaket
NIS-2 - Was tun?
Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI
FAQ zu NIS2