NIS-2-Richtlinie - gesetzliche Anforderungen zur IT-Sicherheit

Durch die NIS-2-Richtlinie (Network and Information Systems Directive) ergeben sich zukünftig (zusätzlich zu den bestehenden Kritischen Infrastrukturen - KRITIS) für rund 30.000 "besonders wichtige" und "wichtige" Einrichtungen erstmals erhöhte Anforderungen hinsichtlich ihrer Netzwerk- und Informationssicherheit. Bisher nicht betroffene Unternehmen müssen spätestens im kommenden Jahr ihr IT-Sicherheitsniveau nach diesen Vorgaben erhöhen.

Das wichtigste in Kürze

  • Seit 17. Oktober 2024 gelten in der EU erhöhte Anforderungen an die Cybersicherheit.
  • Die NIS-2 Richtlinie gilt für bestimmte Unternehmen mit mindestens 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren.
  • Die Betroffenheit lässt sich über die NIS-2 Betroffenheitsprüfung des BSI feststellen.
  • NIS-2 Konformität kann mit einem Informationssicherheitsmanagementsystems (ISMS) erreicht werden. Viele NIS-2-Anforderungen sind aus der DIN EN ISO/IEC 27001 bekannt.
  • Hier finden Sie eine kurze Videozusammenfassung (2 Minuten)

NIS-2-Richtlinie im Überblick

Die NIS-2-Richtlinie zielt darauf ab, die Sicherheitsstandards für Netz- und Informationssysteme in der EU zu harmonisieren und zu verbessern. Sie legt fest, dass Unternehmen in bestimmten Sektoren strenge Sicherheitsanforderungen erfüllen müssen, um ihre Netzwerke und Systeme vor Cyber-Bedrohungen zu schützen.
Betroffene Sektoren:
  • Energieversorgung: Strom-, Gas- und Ölversorgung
  • Transportwesen: Schienen-, Straßen-, Luft- und Seeverkehr
  • Banken und Finanzmärkte: Banken, Zahlungsdienstleister und Finanzmarktinfrastrukturen
  • Gesundheitswesen: Krankenhäuser und andere medizinische Einrichtungen
  • Wasserversorgung: Trinkwasserversorger und Abwasserentsorgung
  • Digitale Infrastrukturen: Cloud-Dienste, Online-Marktplätze und Suchmaschinen
Unternehmen dieser Sektoren sind dazu verpflichtet, umfassende Sicherheitsmaßnahmen zu implementieren, um den Schutz vor Cyberangriffen zu gewährleisten.

Inkrafttreten des Gesetzes

Mit der Verkündung vom 05.12.2025 des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt ab 06.12.2025 eine umfassende Modernisierung des Cybersicherheitsrechts in Kraft.

Betroffenheit von Unternehmen

Die NIS2-Richtlinie betrifft in Deutschland schätzungsweise rund 30.000 Organisationen und Einrichtungen. Diese werden in folgende Sektoren unterteilt:
Betroffenheitsgrad Unternehmensgröße Sektoren
Besonders wichtige Einrichtungen
  • Mindestens 250 Beschäftigte oder
  • Jahresumsatz > 50 Mio. EUR und Jahresbilanz > 43 Mio. EUR
  • Energie
  • Verkehr & Transportwesen, Trinkwasser
  • Digitale Infrastruktur
  • IT-Dienste & Telekommunikation
  • Bank- und Finanzwesen, Gesundheit
  • Öffentliche Verwaltung
  • Weltraum
Wichtige Einrichtungen
  • Mindestens 50 Beschäftigte oder
  • Jahresumsatz und Jahresbilanz jeweils > 10 Mio. EUR
  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Produktion:
    Fertigung und Handel mit chemischen Erzeugnissen
  • Lebensmittelproduktion, Verarbeitung und Vertrieb
  • Produktion: Herstellung und Verarbeitung von Medizinprodukten, Maschinen, Fahrzeuge sowie elektrischen digitalen Geräten
  • Online-Dienste (Suchmaschinen, Online-Marktplätze)
  • Forschung
Unternehmen müssen selbständig ihre Betroffenheit hinsichtlich der NIS-2-Richtlinie ermitteln. Hierzu stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheitsprüfung zur Verfügung, die folgende Schritte beinhaltet:
  1. Eingabe von Unternehmensdaten: Unternehmen müssen ihre eigenen Daten zu Mitarbeiteranzahl, dem Jahresumsatz und der Jahresbilanzsumme eingeben.
  2. Überprüfung der Brancheneinstufung: Der ermittelte Sektor sollte gegengeprüft werden.
  3. Regelmäßige Wiederholung: Die Prüfung der Betroffenheit sollte regelmäßig, um Veränderungen durch Wachstum oder Änderung der Tätigkeitsbereiche zu berücksichtigen.
Unterstützung bietet dabei auch der FitNIS2-Navigator – ein interaktives Online-Tool, das von der Transferstelle CYBERsicher entwickelt wurde und bei der Einschätzung der Betroffenheit hilft.

Pflichten für Unternehmen

  1. Registrierungspflicht (§33, §34): Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handelt es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es dient juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stellt das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit. Das BSI empfiehlt, den Account bei "Mein Unternehmenskonto" bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle. Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.
  2. Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
    Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
  3. Meldepflichten (§32)
  4. Unterrichtungspflichten (§35)
  5. Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)
    siehe BSI-Hinweise zur "NIS-2-Geschäftsleitungsschulung"
Zahlreiche Fragen zu NIS-2 beantwortet das BSI in einem FAQ-Katalog.

Rechtsfolgen

Erfüllt ein Unternehmen die neuen Anforderungen nicht, drohen nicht nur dem Unternehmen selbst, sondern auch den Geschäftsverantwortlichen empfindliche Strafen. Die NIS 2-Richtlinie sieht Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor - je nachdem, welcher Betrag höher ist.

Handlungsempfehlungen für Unternehmen

In Abhängigkeit von Ihrem derzeitigen Sicherheitsniveau empfehlen wir Ihnen diese Vorgehensweise:
  1. NIS-2 Betroffenheitsprüfung durchführen: Starten Sie mit einer NIS-2-Betroffenheitsprüfung (oder FitNIS2-Navigator), um festzustellen, ob Ihr Unternehmen von den NIS2-Richtlinien betroffen ist. Diese Einschätzung ist entscheidend, um die nächsten Schritte gezielt und effizient zu planen.
  2. Teilnahme an NIS-2-Veranstaltungen: Informieren Sie sich durch die Teilnahme NIS-2-Veranstaltungen:Das BSI informiert über NIS-2 in verschiedenen kostenlosen Webinaren.
  3. Überprüfung Ihrer Cybersicherheit mit einem IT-Sicherheitscheck: Weitere Informationen und Anmeldung: CyberSicherheitsCheck für KMU.
  4. Umsetzung der Maßnahmen: Vieles von dem, was die NIS2 fordert, ist bereits aus der DIN ISO/IEC 27001, dem global anerkannten Standard für Informationssicherheit, bekannt. Ein ISMS nach ISO 27001 bietet eine starke Sicherheitsstruktur für Unternehmen, Betriebe und Organisationen. Die vielschichtige und komplexe Natur dieser Systeme berücksichtigt sowohl technische als auch menschliche Sicherheitsaspekte und kann den entscheidenden Unterschied bei Cyberangriffen ausmachen. Auf Basis der Ergebnisse des Assessments sollten konkrete Maßnahmen ergriffen werden:
    • Technologische Konzepte: Implementieren Sie technische Sicherheitsmaßnahmen wie die Einführung einer Zero-Trust-Architektur und die Etablierung von Kryptografie-Standards.
    • Prävention, Detektion und Reaktion: Implementieren Sie ein leistungsfähiges Security Incident Management System, um die kontinuierliche Überwachung, Analyse und schnelle Reaktion auf IT-Sicherheitsvorfälle sicherzustellen. ISO-zertifizierte Managed Security Services (MSS) bieten eine zuverlässige und kosteneffiziente Möglichkeit, sicherheitsrelevante Prozesse zum Schutz vor Cyber-Bedrohungen teilweise oder vollständig auszulagern.
    • Faktor Mensch und Sicherheitskultur: Stärken Sie die Sicherheitskultur in Ihrem Unternehmen durch regelmäßige Schulungen und Awareness-Programme für Ihre Mitarbeiter.
  5. Kontinuierliche Überprüfung und Anpassung: Überwachen Sie die umgesetzten Maßnahmen regelmäßig und passen Sie diese an neue Bedrohungen und Anforderungen an. Eine kontinuierliche Verbesserung Ihrer Sicherheitsprozesse gewährleistet nicht nur den Schutz Ihrer Organisation, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern in Ihre digitale Zuverlässigkeit.

Fazit

Die NIS-2-Richtlinie stellt eine erhebliche Herausforderung für Unternehmen dar, bietet aber gleichzeitig die Möglichkeit, die eigene Cyberresilienz zu stärken und sich besser gegen die zunehmenden Bedrohungen im digitalen Raum zu wappnen. Unternehmen sollten die neuen Anforderungen ernst nehmen und umgehend damit beginnen, ihre internen Strukturen anzupassen, um Strafen zu vermeiden und die Sicherheit ihrer Netzwerke und Informationssysteme zu gewährleisten. Durch die Umsetzung der NIS-2-Richtlinie können Unternehmen nicht nur die Einhaltung gesetzlicher Vorschriften sicherstellen, sondern auch ihr Vertrauen bei Kunden und Partnern stärken.
Sie suchen Unterstützung bei der Umsetzung von NIS-2?
In unserer IHK-Datenbank finden Sie qualifizierte IT-Sicherheitsdienstleister aus der Region. Die gelisteten Unternehmen verfügen über ausgewiesene Expertise und unterstützen Sie praxisnah bei der Analyse, Umsetzung und Absicherung Ihrer IT-Strukturen.