NIS2-Richtlinie



Was jetzt zu tun ist.

Cybersicherheitsstrategie für die Zukunft

Was ist NIS-2?

Die NIS2-Richtlinie (Network and Information Security  Directive 2) der Europäischen Union zielt darauf ab, europaweit einheitliche und erhöhte Cybersicherheitsstandards durchzusetzen. Unternehmen in kritischen und wichtigen Sektoren werden zu präventiven Maßnahmen verpflichtet, um Cyberrisiken besser zu kontrollieren und auf Angriffe resilient zu reagieren. Dies fördert die Stabilität der digitalen Infrastruktur und sichert das Vertrauen in digitale Dienste in der EU.


Die Richtlinie verpflichtet Unternehmen in 18 wichtigen Sektoren – einschließlich neuer Bereiche und Zulieferer – zu umfangreichen Maßnahmen wie Risikomanagement, Schutzmechanismen und Meldepflichten. 


Das Ziel ist, Cyberrisiken zu minimieren und die Resilienz europäischer Infrastrukturen zu verbessern, um Krisen besser abwehren zu können und die Stabilität der EU-Infrastruktur zu gewährleisten.

Welche Anforderung bringt NIS2 mit sich?
Die Richtlinie hat umfassende Auswirkungen und betrifft sowohl die technische Infrastruktur als auch die organisatorischen Abläufe in Unternehmen. Um die Vorgaben der Richtlinie zu erfüllen, sollten Sie folgende Maßnahmen in Ihrer Organisation umsetzen:

  • Registrierung (Art. 1 § 33-34 im NIS2UmsuCG-Entwurf)

    Falls NIS2 für Sie zutrifft, sind Sie verpflichtet, sich bei der nationalen Behörde zu registrieren. Die genauen Details hierzu werden noch festgelegt und auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht.


    Folgende Informationen sind einzureichen:

    • Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer
    • Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse
    • öffentliche IP-Adressbereiche und Telefonnummern
    • relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche
    • Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen
    • die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder
    • ggf. weitere Informationen je nach Einrichtungsart

  • Maßnahmen zum Risikomanagement für Cybersicherheit (Art. 1 § 30 im NIS2UmsuCG-Entwurf)

    Die NIS2-Richtlinie fordert von Unternehmen präventive Sicherheitsmaßnahmen auf technischer und organisatorischer Ebene. Diese Maßnahmen sollen sicherstellen, dass die Cybersicherheitsrisiken minimiert und Angriffe bestmöglich abgewehrt werden können. Dabei müssen Sie sowohl die IT-Systeme als auch deren physische Umgebung schützen („All-Gefahren-Ansatz“). Die genaue Angemessenheit dieser Maßnahmen sollten Sie auf Basis eines risikobasierten Ansatzes individuell bestimmen. Folgende Maßnahmen sind Pflicht:

    • Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
    • Vorfallsbewältigung: Etablierung von Prozessen zur Erkennung und Bewältigung von Sicherheitsvorfällen
    • Business Continuity: Implementierung von Backup- und Wiederherstellungsstrategien sowie Krisenmanagementplänen
    • Supply Chain: Sicherheit in der Lieferkette
    • Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
    • Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
    • Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
    • Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
    • Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
    • Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
    • Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

  • Meldepflicht von Sicherheitsvorfällen (Art. 1 § 32 im NIS2UmsuCG-Entwurf)

    Die Meldung relevanter Sicherheitsvorfälle an die nationale Behörde ist unerlässlich, um im Krisenfall eine koordinierte Reaktion zu ermöglichen. Unternehmen, die Meldepflichten nicht einhalten, riskieren Sanktionen und die Einschränkung ihrer Betriebserlaubnis. Für die Meldung an die Behörde gelten dabei folgende Fristen:


    • Frühwarnung innerhalb von 24 h ab Kenntnis: Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
    • Ausführlicher Bericht innerhalb von 72 h ab Kenntnis: Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
    • Fortschritts-/Abschlussbericht ein Monat nach Meldung: Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

  • Verantwortung der Geschäftsführung (Art. 1 § 38 im NIS2UmsuCG-Entwurf)

    • muss die Maßnahmen umsetzen und die Umsetzung überwachen
    • haftet für Verstöße nach den Regeln des jeweiligen Gesellschaftsrechts
    • muss an Schulungen teilnehmen

NIS2 - Wer ist betroffen.

Was bedeutet die NIS2-Richtlinie für Ihr Unternehmen?

Sektoren

Die NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben:


  • Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme
  • Einige Sonderfälle unabhängig von ihrer Größe (z.B. Teile der digitalen Infrastruktur und öffentlichen Verwaltung, Anbieter öffentlicher Telekommunikationsdienste, Betreiber öffentlicher Telekommunikationsnetze, KRITIS)

Anhang 1 der NIS2:

Sektoren mit hoher Kritikalität

  • Energie

    Elektrizität

    • Elektrizitätsunternehmen
    • Verteilernetzbetreiber
    • Übertragungsnetzbetreiber
    • Erzeuger
    • nominierte Strommarktbetreiber
    • Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten
    • Betreiber von Ladepunkten für Elektromobilität
    • Fernwärme und -kälte

    Betreiber von Fernwärme oder Fernkälte

    Erdöl

    • Betreiber von Erdöl-Fernleitungen
    • Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen
    • zentrale Bevorratungsstellen
    • Erdgas

    Versorgungsunternehmen

    • Verteilernetzbetreiber
    • Fernleitungsnetzbetreiber
    • Betreiber einer Speicheranlage
    • Betreiber einer LNG-Anlage
    • Erdgasunternehmen
    • Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgaa

    Wasserstoff

    • Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

  • Verkehr

    Luftverkehr 

    • Luftfahrtunternehmen
    • Flughafenleitungsorgane
    • Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

    Schienenverkehr 

    • Infrastrukturbetreiber
    • Eisenbahnunternehmen

    Schifffahrt 

    • Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt
    • Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen
    • Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
    • Betreiber von Schiffsverkehrsdiensten

    Straßenverkehr 

    • Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist)
    • Betreiber intelligenter Verkehrssysteme

     

  • Bankwesen

    • Kreditinstitue

  • Finanzmarktinfrastrukturen

    • Betreiber von Handelsplätzen
    • zentrale Gegenparteien

  • Gesundheitswesen

    • Gesundheitsdienstleister
    • EU-Referenzlaboratorien
    • Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben
    • Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen
    • Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

  • Trinkwasser

    • Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“
    • außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

  • Abwasser

    • Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln
    • außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

  • Digitale Infrastruktur

    • Betreiber von Internet-Knoten
    • DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern
    • TLD-Namenregister
    • Anbieter von Cloud-Computing-Diensten
    • Anbieter von Rechenzentrumsdiensten
    • Betreiber von Inhaltszustellnetzen
    • Vertrauensdiensteanbieter
    • Anbieter öffentlicher elektronischer Kommunikationsnetze
    • Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

  • Verwaltung von IKT-Diensten (B2B)

    • Anbieter verwalteter Dienste
    • Anbieter verwalteter Sicherheitsdienste.

  • Öffentliche Verwaltung

    • Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht
    • Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Rech

  • Weltraum

    • Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen
    • außer Anbieter öffentlicher elektronischer Kommunikationsnetze

Anhang 2 der NIS2:

Sonstige kritische Sektoren

  • Post- und Kurierdienste

    • Anbieter von Postdiensten
    • einschließlich Anbieter von Kurierdiensten

  • Abfallbewirtschaftung

    • Unternehmen der Abfallbewirtschaftung
    • ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

  • Produktion, Herstellung und Handel mit chemischen Stoffen

    • Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
    • Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren

  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln

    • Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

  • Verarbeitendes Gewerbe/Herstellung von Waren

    Herstellung von Medizinprodukten und In-vitro-Diagnostika

    • Einrichtungen, die Medizinprodukte herstellen
    • Einrichtungen, die In-vitro-Diagnostika herstellen
    • außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

    Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen

    • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

    Herstellung von elektrischen Ausrüstungen

    • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

    Maschinenbau

    • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

    Herstellung von Kraftwagen und Kraftwagenteilen

    • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

    sonstiger Fahrzeugbau

    • Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

  • Anbieter digitaler dienste

    • Anbieter von Online-Marktplätzen
    • Anbieter von Online-Suchmaschinen
    • Anbieter von Plattformen für Dienste sozialer Netzwerke

  • Forschung

    • Forschungseinrichtungen

Ist Ihr Unternehmen betroffen?

Sind Sie unsicher, ob Ihr Unternehmen vom NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betroffen ist?


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu einen Betroffenheitsentscheidungsbaum erstellt und bietet zusätzlich eine Betroffenheitsprüfung als Erstorientierung an. Mit gezielten, auf den Gesetzentwurf abgestimmten Fragen hilft Ihnen die Prüfung, Ihr Unternehmen einzuordnen.


NIS2 Betroffenheitsentscheidungsbaum

NIS2

Sanktionen.

Was passiert, wenn die NIS-2 Vorschriften nicht einhalten werden?

Wie sehen die behördliche Aufsicht und Geldstrafen aus?

Bei Verstößen gegen die Risikomanagementmaßnahmen (Art. 1 § 30 NIS2UmsuCG-Entwurf) oder die Meldepflicht bei Sicherheitsvorfällen (Art. 1 § 32 NIS2UmsuCG-Entwurf) drohen hohe Bußgelder. Der deutsche NIS2UmsuCG-Entwurf unterscheidet dabei zwischen besonders wichtigen und wichtigen Einrichtungen. Beide unterliegen grundsätzlich den gleichen Pflichten, jedoch variiert die Intensität der Aufsicht und die Höhe der Strafen bei Nichteinhaltung.

Besonders wichtige Einrichtungen

(= „wesentliche Einrichtungen“ in der NIS-2-Richtlinie)

Wer zählt dazu?

Große Unternehmen aus Anlage 1 im NIS2UmsuCG-Entwurf

  • > 249 Beschäftigte, oder
  • > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz

Größenunabhängige Sonderfälle


Aufsicht durch Behörden (Art. 1 § 61-62)

Proaktive Aufsicht ohne vorige Hinweise auf Verstöße, zum Beispiel (nach Ermessen des BSI):

  • Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern)
  • Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten)
  • direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte
  • Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung


Geldstrafen bei Verstößen (Art. 1 § 65)

Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Wichtige Einrichtungen

(= „wichtige Einrichtungen“ in der NIS-2-Richtlinie)

Wer zählt dazu?

Große Unternehmen aus Anlage 2 im NIS2UmsuCG-Entwurf

  • > 249 Beschäftigte, oder
  • > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz

Mittlere Unternehmen aus Anlage 1 oder Anlage 2 im NIS2UmsuCG-Entwurf

  • mind. 50 Beschäftigte, oder
  • > 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz
  • kein großes Unternehmen

Größenunabhängige Sonderfälle

Hinweis: Die Einstufung als „besonders wichtig“ geht immer vor.


Aufsicht durch Behörden (Art. 1 § 61-62)

Reaktive Aufsicht nur nach Hinweisen auf Verstöße, zum Beispiel (nach Ermessen des BSI):

  • Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern)
  • Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten)
  • direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte
  • Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung


Geldstrafen bei Verstößen (Art. 1 § 65)

Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist

Sind Sie bereits NIS2-fit oder benötigen Sie noch Unterstützung bei offenen Themen?


Vereinbaren Sie einen Termin