NIS 2 Richtlinie

NIS 2 Richtlinie: Was sich jetzt für KRITIS-Betreiber, Mittelstand und IT-Dienstleister ändert

/in

Mit dem NIS 2 Umsetzungsgesetz setzt Deutschland die NIS 2 Richtlinie in nationales Recht um – und schafft den umfassendsten Cybersicherheitsrahmen seit dem IT-Sicherheitsgesetz. Der Bundestag hat das Gesetz verabschiedet, der Bundesrat hat zugestimmt. Damit steigt die Zahl der verpflichteten Organisationen auf rund 29.000 Unternehmen. Das Gesetz tritt voraussichtlich Ende 2025 oder Anfang 2026 in Kraft. Unternehmen sollten sich jetzt intensiv mit den Anforderungen der NIS 2 Richtlinie beschäftigen.

Die Regulierung betrifft nicht mehr nur KRITIS-Betreiber. Auch zahlreiche mittelständische Unternehmen und IT-Dienstleister fallen erstmals unter verbindliche Sicherheitsanforderungen. Damit rückt die Umsetzung der NIS 2 Richtlinie in den Mittelpunkt der Unternehmensverantwortung.

Hintergrundinfos zur EU-Richtlinie finden Sie im offiziellen Dokument: Richtlinie (EU) 2022/2555 – EUR-Lex (https://eur-lex.europa.eu/eli/dir/2022/2555/oj)
Einen Überblick zur nationalen Umsetzung bietet das BSI: BSI – NIS 2 Informationen (https://www.bsi.bund.de/DE/Themen/Regulierte-Unternehmen/NIS2/nis2_node.html)

Wer fällt unter die NIS-2-Richtlinie?

Besonders wichtige Einrichtungen

Große Unternehmen aus Energie, Gesundheit, Verkehr, digitaler Infrastruktur, Finanzwesen und zentralen Verwaltungsbereichen. Für sie gelten besonders stringente  Umsetzungsmaßnahmen.

Wichtige Einrichtungen

Viele mittelständische Unternehmen, die bisher nicht reguliert waren – z. B. aus Fertigung, Chemie, Lebensmittelproduktion, Entsorgung oder Logistik.

IT-Dienstleister

Unabhängig von ihrer Größe gelten viele IT-Unternehmen durch die NIS 2 Richtlinie als regulierte Einrichtungen, z. B. Cloud-Provider, Rechenzentren, SAAS– und PAAS-Anbieter und Telekommunikationsdienste.

Weiterführende Einordnung durch ENISA: ENISA – Informationen zur NIS-Richtlinie (https://www.enisa.europa.eu/topics/csirt-cert-services/nis-directive)

Die wichtigsten Pflichten der NIS 2 Richtlinie

Registrierung beim BSI

Innerhalb von drei Monaten nach Inkrafttreten müssen sich alle betroffenen Unternehmen beim BSI registrieren – ein zentraler Schritt in der Umsetzung der NIS-2-Richtlinie.

Einführung eines Risikomanagements

Die NIS 2 Richtlinie verlangt ein umfassendes Informationssicherheits-Managementsystem (ISMS), bestehend aus:

  • Risikoanalyse
  • Maßnahmen nach Stand der Technik
  • Netzwerk- und Systemsicherheit
  • Patch- und Schwachstellenmanagement
  • Notfall- und Business-Continuity-Konzepten
  • Schulungen und Awareness
  • Dokumentation und Verantwortlichkeiten

Empfohlene Basis für ISMS-Strukturen: ISO/IEC 27001 Standard (https://www.iso.org/standard/82875.html)

Strenge Meldepflichten

Teil der NIS 2 Richtlinie sind verbindliche Meldefristen:

  1. Meldung innerhalb von 24 Stunden
  2. Vertiefte Meldung in 72 Stunden
  3. Abschlussbericht nach 30 Tagen

Details zu Meldewegen finden sich beim BSI: BSI – Meldepflichten (https://www.bsi.bund.de/DE/Themen/Regulierte-Unternehmen/Meldepflichten/meldepflichten_node.html)

Lieferketten-Sicherheit

Unternehmen müssen die Cybersicherheit ihrer Dienstleister und Anbieter nachweislich steuern. Das ist ein Kernbestandteil der NIS 2 Richtlinie in Deutschland.

Dokumentation & Nachweise

  • Besonders wichtige Einrichtungen: Prüfpflicht mindestens alle drei Jahre
  • Wichtige Einrichtungen: stichprobenartige Kontrolle
  • Alle Einrichtungen: lückenlose Dokumentation

Bußgelder

VDie EU macht ernst: Verstöße gegen die Umsetzung der NIS-2-Richtlinie können mit bis zu 20 Mio. € oder 2 % des globalen Jahresumsatzes geahndet werden.

Offizielle Stellungnahme der Bundesregierung: Bundesregierung – NIS 2 Informationen (https://www.bundesregierung.de/breg-de/themen/digitalisierung/nis2-richtlinie-2290626)

Verantwortung der Geschäftsführung

Ein zentraler Teil der NIS 2 Richtlinie Umsetzung ist die verschärfte Verantwortung der Unternehmensleitung.
Geschäftsführungen müssen:

  • Maßnahmen freigeben
  • Ressourcen bereitstellen
  • Risiken verstehen
  • Schulungen absolvieren
  • Umsetzung überwachen

Die Verantwortung bleibt – selbst wenn Aufgaben delegiert werden.

Auswirkungen auf KRITIS, Mittelstand und IT-Dienstleister

KRITIS-Betreiber

Für sie verschärfen sich in der NIS 2 Umsetzung vor allem Meldefristen, Lieferkettenverantwortung und europäische Abstimmung. Neu ist auch die Möglichkeit des Verbots kritischer Komponenten.

Offizielle KRITIS-Definition: BMI – KRITIS Definition (https://www.bmi.bund.de/DE/themen/sicherheit/krisenmanagement/krisenpraevention/kritis/kritis-node.html)

Mittelstand

Viele mittelständische Unternehmen müssen erstmals ein ISMS aufbauen und die NIS-2-Pflichten umsetzen. Dazu gehören:

  • Strukturierte Sicherheitsprozesse
  • Regelmäßige Schulungen
  • Dokumentation
  • Lieferkettenprüfungen

IT-Dienstleister

Sie sind besonders betroffen:

  1. Sie selbst müssen die NIS 2 Richtlinie Umsetzung erfüllen.
  2. Kunden verlangen Nachweise und Sicherheitsstandards.

ISO 27001 oder BSI-Grundschutz werden damit zum de-facto-Maßstab.

NIS 2 Richtlinie & ISO 27001 als Umsetzungsbasis

Viele Anforderungen der NIS 2 Richtlinie lassen sich durch ISO 27001 und den BSI-Grundschutz effizient abbilden. Unternehmen mit bestehenden Strukturen profitieren stark und haben einen klaren Startvorteil bei der NIS 2 Umsetzung.

BSI-Grundschutz-Kompendium: BSI IT-Grundschutz (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationssicherheit/IT-Grundschutz/it-grundschutz_node.html)

Unser Angebot: So unterstützt Securance-iAP bei der Umsetzung der NIS 2 Richtlinie

Securance-iAP begleitet Unternehmen bei allen Schritten rund um die NIS 2 Richtlinie – von der Einstufung bis zum finalen Audit.

Wir unterstützen Sie dabei:

  • Ihre Einstufung nach der NIS 2 Richtlinie vorzunehmen
  • bestehende Sicherheitsmaßnahmen zu analysieren
  • ein auditfähiges ISMS aufzubauen
  • Lieferkettenanforderungen umzusetzen
  • Melde- und Notfallprozesse zu etablieren
  • Audits und Nachweise vorzubereiten

Securance-iAP – Ihr Partner für eine sichere und auditfähige Umsetzung der NIS 2 Richtlinie.

Das könnte Dich auch interessieren
Projektbegleitende Prüfung – mehr Sicherheit und Transparenz im ProjektProjektbegleitende Prüfung – mehr Sicherheit und Transparenz im Projekt
KritisWas ist KRITIS? Definition und Anforderungen für Unternehmen in Deutschland
Securance iAP auf der Data Center World 2025 – Zukunftsfähiger RechenzentrumsbetriebZukunftsfähiger Rechenzentrumsbetrieb – Securance-iAP auf der Data Center World 2025
NIS-2, DORA - Gemeinsamkeiten und Unterschiedeistockphoto/Bablab NIS 2 und DORA: Gemeinsamkeiten, Unterschiede und wichtige Informationen
Die Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensystemeistockphoto.com/CamerisDie Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensysteme
E-Evidence, Stilisierte Karte vom vernetzten EuropaE-Evidence-Verordnung: Was Unternehmen in der EU jetzt wissen müssen