Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Cybersicherheit, die im Januar 2023 in Kraft trat und bis Oktober 2024 in nationales Recht umgesetzt werden musste. In Deutschland erfolgte die Umsetzung durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz).
NIS2 löst die ursprüngliche NIS-Richtlinie (2016) ab und erweitert den Anwendungsbereich erheblich: Statt einiger hundert KRITIS-Unternehmen sind nun schätzungsweise 30.000 Unternehmen in Deutschland betroffen.
Wer ist von NIS2 betroffen?
NIS2 unterscheidet zwischen Wesentlichen Einrichtungen (Essential Entities) und Wichtigen Einrichtungen (Important Entities):
Wesentliche Einrichtungen (Essential)
Betrifft Unternehmen in kritischen Sektoren mit:
- ≥ 250 Mitarbeiter oder ≥ 50 Mio. € Jahresumsatz
Sektoren: Energie, Verkehr, Banken, Finanzmarkt, Gesundheit, Trinkwasser, Digitale Infrastruktur, IKT-Dienste, Raumfahrt
Wichtige Einrichtungen (Important)
Betrifft Unternehmen in erweiterten Sektoren mit:
- ≥ 50 Mitarbeiter oder ≥ 10 Mio. € Jahresumsatz
Sektoren: Post, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, Fahrzeugbau, Digitalanbieter, Forschung
Tipp für Unternehmen in der Rhein-Neckar-Region: Viele Maschinenbau-, Pharma- und Chemieunternehmen in Heidelberg, Mannheim und Ludwigshafen fallen unter NIS2. Klären Sie Ihre Betroffenheit mit einem IT-Sicherheitsexperten.
Was verlangt NIS2 konkret?
1. Risikomanagement
Unternehmen müssen ein dokumentiertes Risikomanagement für IT-Sicherheit einführen:
- Risikoidentifikation und -bewertung
- Sicherheitsmaßnahmen basierend auf Risikoanalyse
- Regelmäßige Überprüfung (mindestens jährlich)
2. Incident Response und Meldepflichten
Bei erheblichen Sicherheitsvorfällen gelten strikte Meldefristen:
- 24 Stunden: Erste Frühwarnung an BSI
- 72 Stunden: Vollständige Erstmeldung (Umfang, Ursache, Maßnahmen)
- 1 Monat: Abschlussbericht
Ein "erheblicher Vorfall" liegt vor, wenn Dienste erheblich gestört werden oder große finanzielle Verluste entstehen.
3. Technische Sicherheitsmaßnahmen (Mindestanforderungen)
NIS2 schreibt konkrete technische Maßnahmen vor:
- Multi-Faktor-Authentifizierung (MFA) für alle Zugänge
- Verschlüsselung von Daten in Übertragung und Speicherung
- Netzwerksegmentierung (VLANs, Zero Trust)
- Patch-Management – regelmäßige Sicherheitsupdates
- Backup und Recovery – regelmäßige Tests
- Zugriffsmanagement (Least Privilege, Privileged Access)
- Sicherheitsüberwachung (Logging, SIEM)
- Lieferkettensicherheit – Anforderungen an Dienstleister
4. Sicherheit der Lieferkette
Unternehmen müssen ihre Drittanbieter und IT-Dienstleister auf Sicherheit prüfen:
- IT-Dienstleister müssen NIS2-konforme Sicherheitsstandards nachweisen
- Verträge müssen Sicherheitsanforderungen enthalten
- Regelmäßige Überprüfung der Dienstleister-Sicherheit
5. Schulung und Sensibilisierung
Geschäftsführung und Vorstand sind persönlich verantwortlich:
- Regelmäßige Schulungen zu Cybersicherheit
- Sicherheitsbewusstsein für alle Mitarbeiter
- Dokumentation der Schulungsmaßnahmen
6. Registrierung beim BSI
Betroffene Unternehmen müssen sich beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren und eine Kontaktperson benennen.
Sanktionen und Bußgelder
NIS2 sieht deutlich höhere Bußgelder als die Vorgängerrichtlinie vor:
| Kategorie | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes |
Persönliche Haftung: Geschäftsführer und Vorstände können bei grober Fahrlässigkeit persönlich haftbar gemacht werden.
NIS2-Umsetzungs-Checkliste für KMU
Kurzfristig (sofort)
- Betroffenheit prüfen: Falle ich unter NIS2?
- Kontaktperson für BSI-Meldungen benennen
- BSI-Registrierung (wenn betroffen)
- Incident-Response-Prozess dokumentieren
Mittelfristig (3–6 Monate)
- MFA für alle Systeme und Zugänge einführen
- Patch-Management-Prozess dokumentieren und umsetzen
- Backup-Strategie überprüfen und testen
- Netzwerksegmentierung implementieren
- Logging und Monitoring einrichten
Langfristig (6–12 Monate)
- Risikomanagement-Framework einführen (ISO 27001 oder BSI-Grundschutz)
- Lieferketten-Sicherheit überprüfen (Dienstleister-Audits)
- Mitarbeiterschulungen durchführen und dokumentieren
- Penetrationstest oder Security-Audit beauftragen
- Versicherungsschutz (Cyber-Versicherung) prüfen
NIS2 und ISO 27001
Unternehmen die ISO 27001 zertifiziert sind, haben einen erheblichen Vorteil: Das ISMS (Information Security Management System) deckt viele NIS2-Anforderungen bereits ab. Eine ISO-27001-Zertifizierung kann als Nachweis der NIS2-Konformität dienen.
Für KMU die keine vollständige ISO-27001-Zertifizierung anstreben: BSI IT-Grundschutz als deutschen Standard nutzen – pragmatischer Einstieg mit konkreten Maßnahmenkatalogen.
FAQ
Bin ich als kleines Unternehmen mit 30 Mitarbeitern betroffen?
Unter 50 Mitarbeiter und unter 10 Mio. € Umsatz: grundsätzlich nicht betroffen – außer Sie gehören zu einem KRITIS-Sektor oder sind als wesentliche Einrichtung eingestuft.
Was ist wenn ich NIS2 ignoriere?
Behörden können Audits anordnen, Bußgelder verhängen und im Extremfall den Betrieb einschränken. Die BSI-Aufsichtsbefugnisse wurden erheblich erweitert.
Muss ich sofort alle Maßnahmen umsetzen?
Nein – ein dokumentierter, risikobasierter Umsetzungsplan genügt zunächst. Vollständige Umsetzung wird erwartet, aber eine strukturierte Vorgehensweise zeigt guten Willen.
Fazit
NIS2 ist keine bürokratische Pflicht, sondern eine Chance: Unternehmen die ihre IT-Sicherheit jetzt professionalisieren, schützen sich gleichzeitig vor realen Cyberangriffen.
Als IT-Sicherheitsexperten in Heidelberg begleiten wir KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region bei der NIS2-Umsetzung – von der Gap-Analyse bis zur Zertifizierung. Jetzt NIS2-Beratung anfragen.