Was ist NIS-2 und welche Unternehmen sind betroffen?

Schon die NIS-1-Richtlinie aus dem Jahr 2016 hatte zum Ziel, mehr Cybersicherheit in der Europäischen Union zu schaffen. Auch die überarbeitete NIS-2 ist eine Reaktion auf die immer weiterwachsende Bedrohungslage und – damit einhergehend – gestiegene Anforderungen an den Schutz von IT-Systemen. Das gilt besonders für Organisationen und Unternehmen, die kritische und wichtige Infrastrukturen betreiben. Erfahren Sie hier, was das bedeutet, welche Unternehmen betroffen sind und welche Maßnahmen sie ergreifen müssen.  

Definition: Was ist NIS-2?

NIS-2 steht für Network and Information Systems (NIS) Directive 2 und ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie ist die überarbeitete Version der aktuellen Richtlinie für Netz- und Informationssicherheit (NIS1-Richtlinie) und hat diese zum 18. Oktober 2024 aufgehoben. NIS-2 definiert unter anderem, welche Unternehmen und Organisationen als kritische oder wichtige Infrastrukturen gelten und legt Mindeststandards für deren Informationssicherheit fest.  

Die NIS-2-Umsetzung in Deutschland erfolgt über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es wandelt die Vorgaben der NIS-2-Richtlinie in nationales Recht um. Die Maßnahmen sollen die wachsende Bedrohung durch Cyberangriffe eindämmen und sind eine Reaktion darauf, dass die Abhängigkeit von digitalen Technologien in allen Bereichen des täglichen Lebens wächst.  

Anforderungen der NIS-2-Richtlinie

Im Vergleich zu NIS-1 stellt NIS-2 einige neue Anforderungen für mehr Cybersicherheit an betroffene Unternehmen, die sich auch auf interne Prozesse und Systeme auswirken. Dazu gehören im Wesentlichen folgende Pflichten:  

  1. NIS-2-Eigenbewertung als „besonders wichtige Einrichtung“ (KRITIS) oder „wichtige Einrichtung“ 
  2. Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von drei Monaten 
  3. Meldung von Sicherheitsvorfällen an das BSI 
  4. Informationsaustausch von Unternehmen der Kategorie „besonders wichtige Einrichtung“ über die zentrale Austauschplattform des BSI (BISP) für eine effektive Kommunikation bei Sicherheitsvorfällen 
  5. Einhaltung der Sicherheitsanforderungen: Die NIS-2-Anforderungen erfordern eine intensive Auseinandersetzung mit den neuen Vorgaben für besser geschützte Netzwerk- und Informationssysteme. Dies beinhaltet die Implementierung von Maßnahmen und -verfahren für das Cyber Risk Management. 
  6. Registrierung und Einhaltung der Vorschriften in anderen Mitgliedsstaaten: Ist ein Unternehmen in mehreren EU-Mitgliedsstaaten aktiv, muss es sich auch dort bei der zuständigen Behörde registrieren und die jeweiligen Vorschriften jedes einzelnen Mitgliedsstaats einhalten.  

Wer ist von der NIS-2-Richtlinie betroffen?

Ob ein Unternehmen von der NIS-2-Richtlinie betroffen ist oder nicht, hängt von seiner Größe und dem Sektor ab, in dem es tätig ist. Grundsätzlich gilt NIS-2 für öffentliche und private Einrichtungen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanz von mindestens 10 Millionen Euro. 

Allerdings sind Unternehmen bestimmter Sektoren auch unabhängig von ihrer Größe von NIS-2 betroffen. Dazu zählen unter anderem Teile der digitalen Infrastruktur, die öffentliche Verwaltung oder kritische Infrastrukturen (KRITIS). Im Vergleich zu NIS-1 erweitert NIS-2 den Kreis der betroffenen Unternehmen deutlich. Bundesweit werden sich etwa 30.000 Einrichtungen an die Vorgaben halten und für umfassende Cybersicherheit sorgen müssen.  

Sektoren mit hoher Kritikalität

Nach Anhang I der NIS-2 werden folgende Branchen als Sektoren mit „hoher Kritikalität“ eingestuft:  

  • Energie  
  • Verkehr  
  • Bank- und Finanzwesen  
  • Gesundheitswesen  
  • Wasserversorgung  
  • Digitale Infrastruktur  
  • Öffentliche Verwaltung  
  • Weltraum  
  • Verwaltung von IKT-Diensten 

Sonstige kritische Sektoren

Anhang II von NIS-2 definiert zudem folgende Branchen als kritische Sektoren:  

  • Post- und Kurierdienste  
  • Abfallwirtschaft  
  • Chemie 
  • Ernährung 
  • Forschung  
  • Digitale Dienste 
  • Herstellung von Waren 

Was müssen die von der NIS-2 betroffenen Unternehmen tun?

Von NIS-2 betroffene Unternehmen, Organisationen und Einrichtungen müssen die Anforderungen der Richtlinie erfüllen und dauerhaft einhalten. Im Wesentlichen geht es darum, ein umfassendes Sicherheitskonzept zu erstellen. Dieses umfasst ein effektives Incident Management, Business Continuity Management, die Sicherheit der Lieferkette, die Überwachung von Systemen sowie die Schulung von Mitarbeitenden.  

Maßnahmen im Cyber-Risikomanagement

Das Cyber Risk Management bildet unter NIS-2 eine tragende Säule. Deshalb müssen betroffene Unternehmen das Cyberrisiko regelmäßige bewerten. Die Identifikation von potenziellen Bedrohungen und Schwachstellen gilt dabei als notwendiger Schritt, um gewährleisten zu können, dass Informationssysteme und Netzwerke verfügbar, integer und vertraulich sind. Auf Basis der Risikobewertung gilt es dann, angemessene Maßnahmen zu ergreifen, die das Cyberrisiko mindern und die Resilienz der Einrichtung gegenüber Angriffen erhöhen.  

Pflicht zur Meldung von Sicherheitsvorfällen

Gleichzeitig sollen Unternehmen möglichst gut auf den Ernstfall vorbereitet sein und sowohl intern als auch extern ein klares Meldewesen für Sicherheitsvorfälle einrichten. Dazu gehört auch, Mitarbeiter darin zu schulen, wie sie Sicherheitsvorfälle und Bedrohungen innerhalb des Unternehmens und beim BSI melden. 

Verantwortung der Geschäftsleitung

Eine Besonderheit von NIS-2 ist die Rolle, die sie der Geschäftsführung für die Schaffung und Gewährleistung einer effizienten Cybersicherheit zuschreibt. Die Unternehmensleitung soll deren Bedeutung verstehen und ist verpflichtet, die notwendigen Ressourcen bereitzustellen und proaktiv notwendige Maßnahmen zu ergreifen. Bei Verstößen hat das BSI nach dem NIS2-Umsetzungsgesetz das Recht der Geschäftsleitung ihre Tätigkeit zu untersagen 

Maßnahmen zur Umsetzung von NIS-2

Rein rechtlich definiert das NIS-2-Umsetzungsgesetz die konkreten Maßnahmen für Deutschland. Wie bereits erwähnt, zielen sie auf ein effizientes Sicherheitskonzept ab und beinhalten konkrete Pflichten in folgenden Bereichen:  

  1. Sicherheitsrichtlinien für schützenswerte Daten: Unternehmen müssen regelmäßige Risikoanalysen und konkrete Sicherheitskonzepte umsetzen. Die Analyse besonders schützenswerter Daten leitet jeweils die technischen und organisatorischen Maßnahmen für deren Schutz ab.  
  2. Geschäftskontinuität: Damit der Betrieb auch im Ernstfall weiter gehen kann, braucht es außerdem Konzepte zur Krisenbewältigung und Aufrechterhaltung der Geschäfte bei Sicherheitsvorfällen. Zu den Maßnahmen für dieses Krisen- und Business Continuity Management gehören beispielsweise Back-ups.  
  3. Sicherheit der Lieferkette: Unternehmen müssen dafür sorgen, dass ihre gesamte Lieferkette möglichst gut vor Cyberangriffen geschützt ist. Dementsprechend brauchen sie detailliertere Informationen über ihre Zulieferer, Dienstleister und Subunternehmen und müssen ihre Beziehung zu ihnen gegebenenfalls vertiefen.  
  4. Neuanschaffungen: Wenn der Erwerb oder die Entwicklung neuer IT-Systeme ansteht, müssen auch diese die nötigen Kriterien für Cybersicherheit erfüllen.  
  5. Verschlüsselung und Kryptografie: Damit sensible Daten sicher versendet und gespeichert werden, müssen Unternehmen explizite Regelungen und Richtlinien für Verschlüsselungsverfahren und -techniken formulieren und anwenden.  
  6. Konzept für Mitarbeiterschulung: Auch die Sensibilisierung von Mitarbeitenden und entsprechende Schulungskonzepte zählen zu den NIS-2-Anforderungen. 
  7. Zugangskontrolle: Der Zugriff auf Unternehmensressourcen soll nach Zero-Trust-Prinzipien inklusive konkreter Regelungen für Passwörter und Mehr-Faktoren-Authentifizierung erfolgen.  
  8. Meldepflicht: Nach NIS-2 sind Unternehmen verpflichtet, Sicherheitsvorfälle innerhalb von 24 Stunden beim BSI zu melden und Klienten über Probleme zu informieren.  

Tipp: Wenn auch Ihre Organisation die Anforderungen der Richtlinie umsetzen muss, nutzen Sie unsere NIS2-Checkliste für betroffene Unternehmen 

Warum ist NIS-2 so wichtig?

Der neue Vorschlag der EU-Kommission für die NIS-Richtlinie soll die Mängel von NIS-1 beheben und geht auf die Zwänge aktueller Bedrohungslagen ein. Denn Fakt ist: Cyberangriffe kosteten allein die deutsche Wirtschaft nach Angaben des Branchenverbands Bitcom im Jahr 2023 mehr als 200 Milliarden Euro. Die Gefahr von Cyberangriffen ist also hoch und mögliche Folgen enorm.  

Hinzukommt, dass internationale Lieferketten und die zunehmende Vernetzung Cybersicherheit zu einer grenzüberschreitenden Angelegenheit machen. NIS-2 soll die Maßnahmen zum Schutz von Netzwerken und Informationssystemen innerhalb der EU deshalb möglichst zukunftssicher gestalten und den Mitgliedsstaaten gleichzeitig Autonomie bei der Umsetzung gewähren.  

Zusammenfassung

Nach aktuellem Stand wird das NIS-2-Umsetzungsgesetz im März 2025 in Kraft treten. Erst dann lässt sich mit letzter Sicherheit sagen, was im Zuge der Richtlinie auf deutsche Unternehmen zukommt. Klar ist, dass die Umsetzung der Anforderungen – je nach aktuellem Stand in puncto Cybersicherheit – für viele Unternehmen zunächst mit entsprechenden Änderungen und den damit einhergehenden Kosten für die Implementierung verbunden ist.  

Wenn auch Ihr Unternehmen oder Ihre Einrichtung von NIS-2 betroffen ist, kann Ihnen Nexus mit seinen Lösungen für sichere digitale Identitäten für Mitarbeitende und IoT-Plattformen bei der Umsetzung helfen. So schützen Sie Ihre Organisation nicht nur besser vor Cyberrisiken, sondern erfüllen gleichzeitig die von NIS-2 geforderten Compliance-Standards.  

FAQ zu NIS-2

Wie hängt NIS-2 mit der OT- und IoT-Umgebung zusammen?

Die NIS-2-Richtlinie enthält Regelungen für verschiedene Branchen, die vermehrt OT- und IoT-Lösungen nutzen – beispielsweise in Verkehr und Logistik, der Energie- und Wasserversorgung oder in öffentlichen Verwaltungen. Da OT-Umgebungen IoT-Umgebungen das Internet nutzen, sind sie grundsätzlich auch Cyberbedrohungen ausgesetzt. Wenn solche Lösungen in Einrichtungen mit einer gewissen Größe und für einen entsprechenden Sektor im Einsatz sind, müssen sie dementsprechend nach NIS-2 umfassenden gegen Cyberangriffe geschützt werden.  

Wann tritt NIS-2 in Kraft?

NIS-2 ist offiziell am 16. Januar 2023 in Kraft getreten. In Deutschland regelt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) die nationale Umsetzung der europäischen Richtlinie. Der aktuelle Entwurf wurde am 22. Juli 2024 vom Kabinett beschlossen und soll bis März 2025 alle Instanzen der Gesetzgebung durchlaufen und in Kraft treten. 

Was ist der Unterschied zwischen NIS-1 und NIS-2?

NIS-2 ist die überarbeitete Version von NIS-1 und enthält eine Reihe von Anpassungen. Diese umfassen unter anderem den Anwendungsbereich – also die Art und Anzahl der betroffenen Unternehmen, Meldepflichten, Strafen und Sanktionen sowie Vorschriften zu EU-weiten Zertifizierungen und Normen. Außerdem setzt NIS-2 verstärkt auf eine Zusammenarbeit und Koordination zwischen der EU und einzelnen Mitgliedsstaaten sowie zwischen Wirtschaft und Politik, um Cyberrisiken zu bekämpfen.  

Gibt es eine Checkliste, mit der ich überprüfen kann, ob mein Unternehmen von NIS-2 betroffen ist?

Mit der NIS-2-Eigenbewertung von Nexus können Sie überprüfen, ob Ihr Unternehmen von der Richtlinie betroffen ist. Falls ja, hilft Ihnen unserer NIS2-Checkliste für betroffene Unternehmen bei der Umsetzung der notwendigen Maßnahmen.