Beratung
Support
Suche
Close this search box.

Die NIS2-Richtlinie im Unternehmen umsetzen

Was Verantwortliche jetzt wissen müssen
Betrifft uns NIS2 überhaupt?
Kostenfreies Expertengespräch
Icon NIS2

Was ist NIS2?

Die Richtlinie NIS2 (Network and Information Security Directive) wurde durch die EU-Kommission beschlossen, um die Cybersicherheit in der Europäischen Union zu verbessern. Im Fokus stehen dabei Unternehmen und Einrichtungen, bei denen eine erfolgreiche Cyberattacke spürbare Auswirkungen auf die Gesellschaft und Wirtschaft hätte. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss von den Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht überführt werden, was ggf. einige Abweichungen von der EU-Richtlinie bedeutet. Stand heute wären rund 30.000 Unternehmen und Organisationen in Deutschland betroffen.

Webinar-Aufzeichnung

Webinar: A Beginner's Guide to NIS2

Der ideale Startpunkt, wenn Sie gerade ins Thema einsteigen und kompakte Informationen zur NIS2-Richtlinie wünschen. Im Webinar führt Sie unser Team aus Legal- und Security-Spezialisten in die NIS2-Anforderungen ein und beleuchtet diese aus strategischer, juristischer und technischer Perspektive.
Jetzt Aufzeichnung anschauen
Stage NIS2 Webinar

Wer ist betroffen?

Die NIS2-Richtlinie betrifft viele Unternehmen und Organisationen in der EU. Sie erweitert die Anforderungen an die Cybersicherheit und verpflichtet mehr Branchen zur Einhaltung strengerer Sicherheitsstandards. Finden Sie heraus, ob Ihr Unternehmen von NIS2 betroffen ist und welche Maßnahmen Entscheider:innen jetzt ergreifen müssen, um die Vorgaben zu erfüllen und Compliance zu erzielen.

Schwellenwerte für NIS2

Kleine Unternehmen, die durch die Planung und Implementierung umfassender Sicherheitsmaßnahmen schnell überlastet sein könnten, dürfen im Hinblick auf NIS2 aufatmen. Sie sind generell nicht von der Richtlinie betroffen. Denn sie gilt nur für Organisationen, die laut der Definition der EU (Richtlinie 2002/361/EC) ein mittleres oder Großunternehmen darstellen. Die Schwellenwerte liegen bei:
  • mindestens 50 Mitarbeitenden,
  • einem Jahresumsatz und/oder einer Jahresbilanzsumme von mindestens 10 Millionen Euro.

Organisationen und Unternehmen dieser Größe sind allerdings auch nur dann betroffen, wenn sie bestimmten Sektoren angehören.
Icon Unternehmen plusserver

Mittlere und große Unternehmen
+ ab 50 Mitarbeitenden
+ ab 10 Mio. € Jahresumsatz /-bilanz

Mehr Sektoren als bei KRITIS betroffen

Die in der NIS2-Richtlinie der EU definierten Sektoren sind in weiten Teilen mit der KRITIS-Einstufung in Deutschland deckungsgleich. Wichtig zu beachten: Da für KRITIS-Unternehmen teilweise Branchen-Regulierungen gelten oder gelten werden (z. B. DORA im Finanzsektor), werden diese Regulierungen entsprechend dem Lex-specialis-Grundsatz vorrangig betrachtet. Zugleich wird es mit dem Start von NIS2 mitunter Mehrfach-Regulierung geben, zum Beispiel im Energiesektor. Hier werden Teile des Betriebes unter Branchen-Regulierungen (EnWG) fallen und andere Bereiche unter NIS2. Zu den bisherigen KRITIS-Sektoren kommen mit NIS2 weitere regulierte Sektoren hinzu, sodass auch die Gesamtzahl der betroffenen Unternehmen deutlich steigt. Die Richtlinie definiert in ihren Anhängen 1 und 2 die „Sektoren mit hoher Kritikalität“ sowie die „sonstigen kritischen Sektoren“, die sich unter anderem in den möglichen Sanktionen unterscheiden.

Sektoren mit hoher Kritikalität

  • Enegie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastrukturen
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitale Dienste
  • Forschung

NIS2-Ausnahmen

1) Nicht von NIS2 betroffen
Auch wenn Größe und Sektor stimmen, sind einige Unternehmen von der NIS2-Regelung ausgenommen. Dazu gehören Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in folgenden Bereichen ausüben:
  • nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Gesetzesvollzug
  • Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten

2) Von NIS2 betroffen
Unabhängig von ihrer Größe sind folgende Organisationen dennoch von NIS2 betroffen:
  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Anbieter von Vertrauensdiensten
  • Top-Level Domain Name Registries und Anbieter von Domain Name System Services
  • Einrichtungen, die in einem Mitgliedstaat der einzige Anbieter eines Dienstes sind, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten wesentlich ist
  • Anbieter von Diensten, deren Unterbrechung erhebliche Auswirkungen auf die öffentliche Sicherheit, Ordnung oder Gesundheit hat oder ein erhebliche Systemrisiko verursacht, insbesondere mit grenzüberschreitendem Einfluss
  • Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft sind

3) Entscheidung der Mitgliedsstaaten
Die Mitgliedstaaten können bei der Umsetzung in nationales Recht darüber entscheiden, ob die NIS2-Richtlinie ebenfalls gilt für:
  • Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene
  • Bildungseinrichtungen, insbesondere wenn sie kritische Forschung betreiben

Auch Lieferketten von NIS2 betroffen

Zum Anforderungskatalog der NIS2-Richtlinie, der angemessene technische, organisatorische und betriebliche Maßnahmen zum Risikomanagement und Incident Handling vorsieht, gehört auch das Thema Sicherheit der Lieferkette. Das bedeutet, dass auch Unternehmen, die nicht direkt von NIS2 betroffen sind, als Zulieferer indirekt in die Pflicht genommen werden können und für entsprechende Sicherheitsmaßnahmen sorgen müssen. Und zwar dann, wenn ihre Dienstleistung (z. B. Software) potenziell Einfluss auf die Cybersicherheit eines regulierten Unternehmens hat. Letzteres wird in solchen Fällen vertraglich festlegen, dass Zulieferer Sicherheitsmaßnahmen auf dem Stand der Technik implementieren und diese entsprechend dokumentieren. Auf diese Weise kann die Gefahr durch Supply-Chain-Angriffe verringert und Einfallstore für Schadsoftware geschlossen werden.

NIS2-Anforderungen für CEOs

Die Aussage, dass Security zur Chefsache werden muss, ist mit NIS2 so wahr wie nie. Denn die Anforderungen, die in der Richtlinie definiert sind, nehmen die Geschäftsführung explizit in die Pflicht. Und dies wird auch bei der Umsetzung in nationales Recht so bleiben. So heißt es im aktuellen Referentenentwurf (Bearbeitungsstand: 22.07.2024) des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG): „Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.“

Doch nicht nur das, es wird auch eine Haftung der Geschäftsleitung geben, wenn Unternehmen gegen die Richtlinie verstoßen. „Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts.“

Doch wie soll ein CEO sicherstellen, dass ein Unternehmen NIS2-Compliance erreicht und beibehält? Hier sieht der Referentenentwurf vor, dass die Geschäftsleitung regelmäßig an Schulungen teilnimmt. Sie benötigt „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit“.

Aufgaben eines CEO im Rahmen von NIS2

Strategische Ausrichtung

Cyber-Risiko-Management
Informationssicherheit und Compliance

Ressourcenbereitstellung

Personal
Budget
Rahmenbedingungen

Überwachen der Umsetzung

Compliance-Manager:in
Security-Verantwortende:r

NIS2-Anforderungen für Compliance-Verantwortliche

Die NIS2-Richtlinie der EU enthält eine Liste mit Anforderungen, die erfüllt werden müssen, um Compliance zu erreichen. Dieser Katalog wird sich auch bei der Überführung in nationales Recht nicht oder kaum ändern, da die Maßnahmen einen ganzheitlichen Cybersecurity-Ansatz ermöglichen. Als Compliance-Manager:in gilt es also, die Anforderungen genau zu kennen und ihre Umsetzung zu überwachen und zu dokumentieren. Dazu sind regelmäßige interne Audits und entsprechende Berichte erforderlich. Auch die Schulung und Sensibilisierung der Mitarbeitenden ist im Rahmen des Risikomanagements unerlässlich.

Aufgaben im Bereich Compliance-Management

Audits und Überprüfungen

Status quo der Sicherheitsmaßnahmen gemessen an den Anforderungen

Berichte und Dokumentation

Sicherheitslage
Durchgeführte Maßnahmen
Prozesse und Aktivitäten

Schulung und Sensibilisierung

Richtiges Verhalten
Bedeutung von Cybersicherheit

NIS2 für Security-Verantwortliche ​

Ein wichtiges Stichwort im Kontext der NIS2 ist der „Stand der Technik“. Die in der Richtlinie „genannten Maßnahmen müssen unter Berücksichtigung des Stands der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist.“ In der Praxis bedeutet dies, dass die technischen Maßnahmen beständig an die Bedrohungslage angepasst werden müssen.

Zum Glück starten die meisten Unternehmen nicht bei null, wenn es darum geht, die Mindestanforderungen an die Cybersicherheit nach NIS2 umzusetzen. Mit Hilfe einer Gap-Analyse können Security-Verantwortliche feststellen, wo sie mit ihren bereits implementierten Lösungen im Hinblick auf NIS2 aktuell stehen. Daraus lässt sich dann der konkrete Handlungsbedarf hinsichtlich der technischen Maßnahmen ableiten.

Die Zusammenarbeit mit externen Consulting- und Lösungsanbietern kann sowohl bei der Planung als auch beim Betrieb für deutliche Entlastung sorgen. Mit passenden Lösungen wie einem Security Operations Center (SOC) lassen sich auch weitere Anforderungen – wie die Berichtspflicht an die Geschäftsleitung im Rahmen eines Risikomanagements – leichter erfüllen.

Welche Aufgaben kommen auf Security-Verantwortliche zu?

Sicherheitsstrategie

Gap-Analyse
Implementierung nötiger Maßnahmen/Lösungen

Betrieb

Wartung und Updates von Security-Lösungen
Schulung des IT-Personals

Incident Response

Pläne und Prozesse
Disaster Recovery

NIS2-Anforderungen

Wenn Ihre Organisation von NIS2 betroffen ist, sollten Sie sich über die Anforderungen und den Maßnahmenkatalog informieren. Im Anschluss können Sie dann im Detail analysieren, welche Maßnahmen Sie bereits umgesetzt haben und welche NIS2-Anforderungen Sie mit welcher Priorität angehen müssen.

Blogartikel: Ihr Guide durch den Dschungel der NIS2-Anforderungen

Wir haben für Sie die Richtlinie durchgearbeitet und eine Zusammenfassung der wichtigsten NIS2-Anforderungen und -Maßnahmen erstellt.
Blog lesen

Analyse

Welche Maßnahmen haben Sie bereits umgesetzt und wo sind noch Lücken in Ihrer Security-Strategie? In diesem Schritt nehmen Sie Ihre technischen und organisatorischen Security-Maßnahmen ganzheitlich und strukturiert unter die Lupe. So können Sie Ihren konkreten Handlungsbedarf im Rahmen einer Gap-Analyse ermitteln und die notwendigen Maßnahmen und Lösungen priorisieren.
NIS2 Assesment

NIS2-Assessment & -Beratung bei plusserver

Sie wissen bereits, dass Ihr Unternehmen von NIS2 betroffen ist, aber nicht, ob und wie Ihr Unternehmen die Anforderungen erfüllen kann?

Unser NIS2-Assessment verschafft Klarheit. Nach unserem intensiven Workshop sind Sie in der Lage, konkrete Schritte zu unternehmen, um Ihre Cybersicherheit auf das Niveau der NIS2-Anforderungen zu heben.

Kostenfreies Erstgespräch vereinbaren

Umsetzung

Die NIS2-Umsetzung kann erfolgen, wenn Sie die Anforderungen verstanden, mögliche Security-Gaps aufgedeckt und einen Fahrplan für das weitere Vorgehen aufgestellt haben.
NIS2 Checkliste

Whitepaper: Checkliste für NIS2

Für Ihre NIS2-Umsetzung finden Sie im Whitepaper nützliche Fakten sowie eine praktische Checkliste inkl. Tipps zu den passenden Security-Lösungen.
Checkliste herunterladen

Webinar-Aufzeichnung: Prozesse, Tools und Services zur Umsetzung von NIS2

Erfahren Sie in dieser Webinar-Aufzeichnung, wie plusserver Sie Schritt für Schritt bei der Umsetzung der NIS2-Anforderungen begleiten kann. Angefangen beim NIS2-Assessment inkl. Gap-Analyse bis hin zu schnell und einfach verfügbaren „As-a-Service“-Lösungen wie zum Beispiel einem Security Operations Center (SOC).

Webinar-Aufzeichnung ansehen

Lösungen

plusserver-Lösungen, die Sie bei Ihrer NIS2-Compliance unterstützen

Die NIS2-Richtlinie sieht einen Mindestkatalog an technischen und organisatorischen Maßnahmen vor, die betroffene Unternehmen ergreifen müssen. Wie kann ein Provider wie plusserver Sie bei diesen Maßnahmen unterstützen?

Unser Farbcode verrät Ihnen, welche Lösungen wir – auch gemeinsam mit unserem Partner-Ökosystem – für Ihre NIS2-Compliance im Portfolio haben:

Security-Beratung/Consul­ting

Security-Lösungen

Zertifizierte Infrastruktur

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme + + +
  2. Bewältigung von Sicherheitsvorfällen + + +
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement + + +
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern + +
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen + +
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit + +
  7. Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit +
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung + + 
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen + + 
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung + + 

FAQ

Falls Sie weitere Fragen haben, die hier noch nicht beantwortet wurden, nehmen Sie gerne direkt Kontakt mit uns auf.

Das IT-SiG 2.0 ist seit Mai 2021 in Kraft und betrifft ausschließlich kritische Infrastrukturen (KRITIS) in Deutschland. Das übergeordnete Ziel von SiG 2.0 ist die Stärkung der nationalen Sicherheit. Mit dem Inkrafttreten des IT-Sicherheitsgesetzes 2.0 wurden die Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik (BSI) deutlich erweitert. Generell verfolgen NIS2 und IT-SiG 2.0 dasselbe Ziel, jedoch einmal auf nationaler und einmal auf europäischer Ebene. Neben NIS2 tritt im Oktober in Deutschland das KRITIS-Dachgesetz in Kraft und beide lösen die bisherige Regulierung in Deutschland ab.
Obwohl es sich bei NIS2 und der DSGVO um getrennte Rechtsinstrumente handelt, ergänzen sie einander und tragen gemeinsam zur Stärkung des Datenschutzes und der Cybersicherheit in der EU bei. Die DSGVO konzentriert sich hauptsächlich auf den Schutz personenbezogener Daten, während die NIS-Richtlinie den Schwerpunkt auf die Gewährleistung der Cybersicherheit in kritischen Infrastrukturen und Diensten legt.
Obwohl sich beide Rechtsvorschriften auf Cybersicherheit konzentrieren und auf EU-Ebene entwickelt werden, haben sie unterschiedliche Schwerpunkte. NIS2 konzentriert sich auf wesentliche Dienste und digitale Dienstleister in verschiedenen Branchen, während DORA (Digital Operational Resilience Act) speziell auf den Finanzdienstleistungssektor ausgerichtet ist. Dies beantwortet auch die Frage, welches Gesetz für beaufsichtigte Institute und Unternehmen des europäischen Finanzsektors zukünftig gilt. Denn als spezielles Gesetz (lex specialis) übertrumpft DORA die generelle Rechtsvorschrift NIS2.

Ausführliche Informationen und Hilfestellungen rund um DORA sind zum Beispiel bei der BaFin zu finden.

In Deutschland ist das BSI die zuständige Behörde für die Überwachung der betroffenen Unternehmen sowie die Verhängung entsprechender Sanktionen bei Verstößen. Mit der Richtlinie erhält das Bundesinstitut erweiterte Befugnisse und Verantwortungsbereiche. Statt der derzeit 4.500 beaufsichtigten Unternehmen werden es mit NIS2 ca. 29.000 Unternehmen sein.

Gleichzeitig wird das Bundesinstitut weiterhin Hilfestellungen anbieten, um die Cybersicherheit in KRITIS-Unternehmen zu stärken. So können die Betreiber schon heute auf MIRTs (Mobile Incident Response Teams) des BSI zugreifen, die bei der Bewältigung von Cyberangriffen unterstützen.

Zum einen sind in der Richtlinie Bußgelder für allgemeine Tatbestände festgeschrieben, die nicht zwischen den NIS2-Betreibergruppen unterscheiden, also für alle regulierten Unternehmen gelten. Je nach Art des Verstoßes liegen diese zwischen 100.000 und 2 Millionen Euro.

Zum anderen unterscheidet die Richtlinie bei bestimmten Tatbeständen zwischen „besonders wichtigen“ und „wichtigen Einrichtungen“, die sich durch die Art ihrer Dienste sowie Umsatz und Anzahl der Mitarbeitenden abgrenzen.

„Besonders wichtige Einrichtungen“ stammen ausschließlich aus den Sektoren mit hoher Kritikalität (siehe oben), während die „wichtigen Einrichtungen“ alle „weiteren kritischen Sektoren“ sowie ebenfalls Sektoren mit hoher Kritikalität – allerdings unterhalb bestimmter Schwellenwerte – umfassen.

Bußgelder für besonders wichtige Einrichtungen liegen je nach Verstoß zwischen 100.000 Euro bis zu 10 Millionen Euro bzw. 2 Prozent des Jahresumsatzes.

Bußgelder für wichtige Einrichtungen betragen bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes.

Die möglichen Tatbestände reichen von Verstößen gegen Risikomanagementmaßnahmen und Meldepflichten oder der falschen bzw. unvollständigen Nachweiserbringung über die Erfüllung der Anforderungen und die Nicht-Herausgabe von Informationen bis hin zu nicht erreichbaren Kontaktstellen.

Neben den finanziellen Sanktionen ist auch die persönliche Haftung der Geschäftsleitung zu beachten. Das BSI soll als Aufsichtsbehörde weitergehende Befugnisse erhalten. Damit wird es beispielsweise Menschen, „die als Geschäftsführung oder gesetzliche Vertreter für Leitungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen“ können.

Haben Sie noch Fragen?

Senden Sie mir einfach eine Nachricht mit Ihrem Anliegen und ich melde mich schnellstmöglich zurück.

Daniel Graßner

Daniel Graßer

Senior Director of Security Services

E-Mail: beratung@plusserver.com

Tel. +49 2203 1045 3500

Erfahren Sie mehr

Download

Webinar-Aufzeichnung: NIS2 Umsetzung

NIS2: von ersten Schritten bei der Bestandsaufnahme, hin zu Gap-Analyse und Erstellung eines Fahrplans für die Umsetzung. Alle Details im Webinar.
Mehr erfahren
Download

Webinar-Aufzeichnung: A Beginner’s Guide to NIS2

In der Webinar-Aufzeichnung beleuchtet unser Expertenteam NIS2 aus strategischer, juristischer und technischer Perspektive.
Mehr erfahren
Download

NIS2-Assessment

Ready für NIS2? Unsere Security-Consultants finden es heraus und erstellen einen individuellen Fahrplan für Ihre nächsten Schritte.
Mehr erfahren
Download

Checkliste für NIS2

Finden Sie im Whitepaper nützliche Fakten sowie eine praktische Checkliste inkl. Tipps zu den passenden Lösungen rund um NIS2.
Mehr erfahren
Blog

NIS2-Anforderungen: Ihr Guide durch den Paragrafen-Dschungel

Jetzt die Anforderungen der NIS2-Richtlinie verstehen und richtig umsetzen.
Mehr erfahren
Download

Merkblatt zu NIS2

Erfahren Sie die wichtigsten Fakten zur Security-Richtlinie auf einen Blick.
Mehr erfahren