NIS-2-Umsetzungsgesetz Mehr Cybersicherheit für KRITIS mit der NIS-2-Richtlinie

Was war die alte NIS-Richtlinie?

Bereits 2016 trat die erste NIS-Richtlinie in Kraft. Ihr Ziel war es, die Cyberresilienz innerhalb der EU zu stärken, insbesondere bei Betreiber:innen kritischer Infrastrukturen (KRITIS). Sie legte Mindeststandards fest, um Netzwerke und Informationssysteme besser gegen Angriffe zu schützen.

Zu den zentralen Vorgaben gehörten:

• Einführung eines Sicherheitsmanagementsystems
• Einhaltung bestehender Sicherheitsrichtlinien
• Regelmäßige Überprüfung aller Netzwerke
• Kontinuierliche Kontrolle vorhandener Systeme

Diese Maßnahmen waren ein wichtiger erster Schritt, doch die rasante technische Entwicklung und die zunehmende Komplexität von Cyberangriffen machten bald deutlich, dass weitergehende Regelungen notwendig sind – der Weg zur NIS-2-Richtlinie war damit geebnet.

Was musst du über die NIS-2-Richtlinie wissen?

Was 2016 noch als moderner Sicherheitsstandard galt, ist heute längst überholt. Deshalb wurde am 16. Januar 2023 die NIS-2-Richtlinie verabschiedet, um den wachsenden Bedrohungen durch Cyberangriffe entgegenzuwirken.

Die neue Richtlinie baut auf der ursprünglichen NIS-Version auf, aktualisiert bestehende Vorgaben und erweitert den Anwendungsbereich deutlich. Neben strengeren Sicherheits- und Meldepflichten umfasst sie nun mehr Branchen: Unterschieden wird zwischen elf „wesentlichen“ und sieben „wichtigen“ Sektoren. Betreiber:innen in diesen Bereichen müssen künftig noch umfassendere Maßnahmen ergreifen, um ihre Netzwerke und Informationssysteme zu schützen.

Was hat sich mit der neuen NIS-2-Richtlinie verändert?

Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 legte Mindeststandards fest, um die Cyberresilienz kritischer Infrastrukturen (KRITIS) zu stärken. Sie verpflichtete Betreiber:innen vor allem dazu, ein Sicherheitsmanagementsystem einzuführen, bestehende Sicherheitsrichtlinien einzuhalten, Netzwerke regelmäßig zu prüfen und Systeme zu kontrollieren.

Mit der NIS-2-Richtlinie, die am 16. Januar 2023 verabschiedet wurde, hat sich der Rahmen deutlich erweitert. Neben strengeren Sicherheitsanforderungen und einer verschärften Meldepflicht wurden weitere Sektoren in den Geltungsbereich aufgenommen. Außerdem müssen Unternehmen jetzt ein umfassendes Cyber-Risikomanagement etablieren, kontinuierliche Überwachungsmaßnahmen umsetzen und sich intensiver mit Themen wie Vorfallreaktion, Geschäftskontinuität und Krisenmanagement befassen. Ziel ist es, das Cybersicherheitsniveau in der gesamten EU nachhaltig zu erhöhen.

Ab wann gilt das NIS-2-Umsetzungsgesetz?

In Deutschland wurde die Richtlinie mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht übertragen. Ziel ist es, die Sicherheit kritischer Infrastrukturen (KRITIS) bereits jetzt zu stärken – auch wenn in der Anfangsphase noch nicht alle rechtlichen Details vollständig geklärt waren.

Seit dem 17. Oktober 2024 gilt die NIS-2-Richtlinie verbindlich in allen EU-Mitgliedsstaaten. Betreiber:innen betroffener Einrichtungen müssen seitdem die neuen Vorgaben umsetzen, um den Schutz ihrer Netzwerke und Informationssysteme zu gewährleisten.

Übrigens: NIS steht für „Network and Information Security“ und bedeutet auf Deutsch „Netzwerk- und Informationssicherheit“.

Welchen Einfluss hat die NIS-2-Richtlinie auf die EU?

Die NIS-2-Richtlinie zielt darauf ab, das Cybersicherheitsniveau in der gesamten EU deutlich zu erhöhen. Für Betreiber:innen kritischer Infrastrukturen (KRITIS) bedeutet das strengere Anforderungen in Bereichen wie Cyber-Risikomanagement, Kontrolle und Überwachung, Reaktion auf Hackerangriffe und Sicherstellung der Geschäftskontinuität. Auch die Meldepflichten wurden verschärft, wodurch sich die Zusammenarbeit und Kommunikation zwischen den EU-Mitgliedstaaten verbessern soll.

Besonders der EU-Binnenmarkt steht im Fokus – und damit auch die deutsche Wirtschaft als eine der größten Exportnationen. Deutschland ist seit Jahren ein bevorzugtes Ziel für Cyberkriminelle. Allein 2023 belief sich der wirtschaftliche Schaden durch Industriespionage, Sabotage und Datendiebstahl auf rund 206 Milliarden Euro (2022: 203 Mrd., 2021: 223 Mrd.). Durch den erweiterten Anwendungsbereich der NIS-2-Richtlinie werden künftig deutlich mehr Unternehmen verpflichtet sein, proaktive Cybersicherheitsmaßnahmen umzusetzen – mit dem Ziel, diese Schadenssummen langfristig zu senken.

Was sind KRITIS und wer gehört dazu?

Im Zusammenhang mit der NIS-2-Richtlinie taucht der Begriff KRITIS häufig auf. Er steht für kritische Infrastrukturen – also Unternehmen und Organisationen, deren Funktion für das staatliche Gemeinwesen von wesentlicher Bedeutung ist.

Fallen solche Betreiber:innen aus, kommt es oft zu erheblichen Störungen der öffentlichen Sicherheit, zu Versorgungsengpässen oder zu schweren wirtschaftlichen Schäden. Besonders betroffen sind Branchen und Dienstleistungen, die eine zentrale Rolle für das Funktionieren des EU-Binnenmarktes spielen. Genau deshalb kommt der NIS-2-Richtlinie hier eine so große Bedeutung zu – sie soll sicherstellen, dass diese Strukturen bestmöglich gegen Cyberangriffe und andere Bedrohungen geschützt sind.

Was beinhaltet die NIS-2-Richtlinie?

Die NIS-2-Richtlinie definiert klar, welche Unternehmen und Organisationen als Betreiber:innen kritischer Infrastrukturen (KRITIS) gelten und welche Anforderungen für sie verbindlich sind. Ziel ist es, Cybersicherheitsmaßnahmen zu verschärfen und den Stand der Technik in allen relevanten Bereichen sicherzustellen.

Betroffene Unternehmen sind verpflichtet:

• Ihre Schutzmaßnahmen gegen Cyberangriffe zu verstärken
• Moderne, strenge Sicherheitsstandards einzuführen
• Sämtliche IT-Systeme stets auf dem aktuellen Stand zu halten

Im Vergleich zur alten NIS-Richtlinie wurde der Geltungsbereich deutlich ausgeweitet. Die NIS-2 unterscheidet dabei zwischen elf „wesentlichen“ und sieben „wichtigen“ Sektoren. Durch diese Erweiterung sind allein in Deutschland rund 30.000 Unternehmen betroffen.

Wesentliche Sektoren:

• Energie
• Straßen-, Schienen-, Luft- und Schiffsverkehr
• Wasser
• Digitale Infrastruktur und IT-Dienste
• Bank- und Finanzwesen
• Gesundheit
• Öffentliche Verwaltung
• Raumfahrt

Wichtige Sektoren:

• Abfallwirtschaft
• Post- und Kurierdienste
• Chemische Erzeugnisse
• Lebensmittel
• Hersteller:innen
• Digitale Anbieter:innen
• Forschungseinrichtungen

Ab wann gilt die NIS-2-Richtlinie für dein Unternehmen?

Ob die neuen NIS-2-Vorgaben für dein Unternehmen gelten, hängt nicht nur davon ab, ob es zu den kritischen Infrastrukturen (KRITIS) zählt. Durch die erweiterten Sektoren sind deutlich mehr Unternehmen betroffen als zuvor.

Entscheidend sind vor allem Unternehmensgröße und Umsatz. Das NIS-2-Umsetzungsgesetz unterscheidet dabei zwischen mittleren und großen Unternehmen:

• Mittlere Unternehmen: 50 bis 250 Mitarbeitende, 10 bis 50 Millionen Euro Jahresumsatz und eine Bilanzsumme unter 43 Millionen Euro
• Große Unternehmen: mehr als 250 Mitarbeitende, über 50 Millionen Euro Jahresumsatz und eine Bilanzsumme über 43 Millionen Euro

Fällt dein Unternehmen in eine dieser Kategorien und gehört zu einem der relevanten Sektoren, bist du verpflichtet, die Vorgaben der NIS-2-Richtlinie umzusetzen.

Bekommst du eine Meldung, wenn dein Unternehmen betroffen ist?

Nein – eine offizielle Benachrichtigung gibt es nicht. Fällt dein Unternehmen in einen der betroffenen Sektoren, musst du eigenständig ein Risikomanagement einführen und sowohl technische als auch organisatorische Maßnahmen umsetzen, um die Sicherheit folgender Bereiche zu gewährleisten:

• Anlagen

• Netzwerke

• IT-Systeme

• Lieferketten

Ob dein Unternehmen überhaupt unter die NIS-2-Richtlinie fällt, musst du ebenfalls selbst prüfen. Von behördlicher Seite ist hier keine direkte Unterstützung vorgesehen.

Welche organisatorischen und technischen Maßnahmen verlangt die NIS-2-Richtlinie?

Ist dein Unternehmen von der NIS-2-Richtlinie betroffen, musst du konkrete Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Diese orientieren sich am „gefahrenübergreifenden“ Ansatz, müssen dem aktuellen Stand der Technik entsprechen und berücksichtigen europäische sowie internationale Normen.

Wichtige Handlungsfelder sind:

• Risikoanalyse und Sicherheit für Informationssysteme
• Bewältigung von Sicherheitsvorfällen
• Backup- und Krisenmanagement
• Sicherheit der Lieferketten (inkl. Vorgaben aus dem Lieferkettengesetz)
• Sicherheit in Entwicklung, Beschaffung und Wartung
• Schwachstellenmanagement
• Regelmäßige Bewertung der Cybersicherheitslage und des Risikomanagements
• Schulung der Mitarbeitenden in Cybersicherheit
• Verschlüsselung und Multi-Faktor-Authentifizierung
• Personalsicherheit, Zugriffskontrolle und Anlagen-Management
• Sichere Kommunikation in Sprache, Video und Text
• Notfallkommunikation mit hohem Sicherheitsstandard

Wichtig: Dokumentiere jede Maßnahme lückenlos. Nur so kannst du im Ernstfall nachweisen, dass du deine Pflichten erfüllt hast – und dich damit von der Haftung befreien.

Was droht bei Nichteinhaltung?

Auch wenn es keine offizielle Benachrichtigung gibt, ob dein Unternehmen die NIS-2-Richtlinie umsetzen muss, ist Ignorieren keine Option. Neben der Erweiterung der betroffenen Sektoren hat die EU auch die Sanktionen deutlich verschärft:

• Wesentliche Einrichtungen: Bußgeld bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
• Wichtige Einrichtungen: Bußgeld bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Zusätzlich gilt eine verschärfte Meldepflicht. Unternehmen müssen signifikante Störungen oder Vorfälle unverzüglich an die nationale Cyber-Sicherheitsbehörde melden – in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Meldung erfolgt in drei Stufen:

1. Innerhalb von 24 Stunden: Vorläufiger Bericht nach Bekanntwerden des Vorfalls.
2. Innerhalb von 72 Stunden: Ergänzung des Berichts mit einer ersten Bewertung.
3. Innerhalb eines Monats: Abschlussbericht mit detaillierter Beschreibung, Art der Bedrohung und möglichen grenzüberschreitenden Auswirkungen.

Stärkt die NIS-2 auch Nicht-KRITIS-Unternehmen?

Die NIS-2-Richtlinie trägt grundsätzlich dazu bei, die Cyberresilienz von Unternehmen zu erhöhen – unabhängig davon, ob sie offiziell als KRITIS gelten oder nicht. Eine gestärkte Netzwerksicherheit und robuste Informationssysteme sind für jede Organisation empfehlenswert, um wirtschaftliche Verluste und Reputationsschäden zu vermeiden.

Die Bedrohung durch Cyberangriffe wächst stetig. Die Frage lautet längst nicht mehr, ob dein Unternehmen angegriffen wird, sondern wann. Deshalb solltest du auch ohne gesetzliche Verpflichtung präventiv handeln, Sicherheitslücken schließen und ein hohes Schutzniveau etablieren, um im Ernstfall handlungsfähig zu bleiben.

Mit NIS-2 gut gerüstet gegen die Cyberbedrohungen von morgen

Die neue EU-Richtlinie ist ein wichtiger Schritt zur Stärkung der Cybersicherheit in Europa. Für Betreiber*innen kritischer Infrastrukturen (KRITIS) und alle weiteren Unternehmen, die von den neuen Regelungen betroffen sind, gilt es nun, die Anforderungen vollständig umzusetzen und dauerhaft im Blick zu behalten.

Die erweiterten Sicherheitsstandards und verschärften Meldepflichten fördern eine engere Zusammenarbeit zwischen den EU-Mitgliedsstaaten. Unternehmen, die die NIS-2-Vorgaben fristgerecht umgesetzt haben, sind damit nicht nur gesetzeskonform, sondern auch besser gewappnet, um künftige Bedrohungen abzuwehren und ihre digitale Sicherheit nachhaltig zu sichern.