Was ist NIS?
Als NIS wird die Netz- und Informationssicherheitsrichtlinie bezeichnet, die sich mit der Verbesserung der IT-Landschaft in der EU beschäftigt und zusätzlich viele Regeln und Leitfäden schafft, vor allem in Bezug auf die Cybersicherheit.
Die NIS-2-Richtlinie baut auf der NIS-Richtlinie aus dem Jahr 2016 auf und erweitert deren Anwendungsbereich. Damit sind wesentlich mehr Unternehmen und Organisationen von den Anforderungen betroffen als bisher: Schätzungsweise zwischen 29.000 und 40.000 Unternehmen bezieht die neue Regelung zusätzlich allein in Deutschland ein.
Möchtest du direkt wissen, wie du NIS-2 für dich nutzen kannst? Dann schau dir unsere Handlungsempfehlungen an.
Wie ist NIS entstanden?
Am 6. Juli 2016 verabschiedete die Europäische Union die „Network and Information Security Directive“ für eine europaweite Erhöhung der Cybersicherheit.
Grund dafür war u. a. die enorme Bedeutung von Netz- und Informationssystemen im europäischen Waren-, Dienstleistungs- und Personenverkehr. Um in diesen Bereichen eine stabile und sichere Infrastruktur gewährleisten zu können, wurde zur Sicherung der digitalen Bestandteile innerhalb von Prozessen nach einem einheitlichen Rechtsrahmen gesucht.
Mit der Schaffung einer europaweiten Cyberresilienz wurden nicht nur einheitliche nationale Ressourcen für Cybersicherheit angestrebt, es wurde auch die innereuropäische Zusammenarbeit der Mitgliedstaaten gefördert.
Wofür gibt es NIS?
Die Europäische Union setzt mit Hilfe der NIS-Richtlinie Mindestsicherheitsanforderungen für Netz- und Informationssysteme. Dies dient der Absicherung und Aufrechterhaltung wesentlicher Dienste und Dienstleistungen in verschiedenen Sektoren, die digitale Systeme beinhalten und von entscheidender Bedeutung für die nationale Infrastruktur sind.
Damit wird eine allgemeine Verbesserung der Cybersicherheitslage erwirkt und eine einheitliche Resilienz gegenüber Cyberangriffen auf entscheidende Knotenpunkte der Infrastruktur aufgebaut. Diese Widerstandsfähigkeit betrifft vor allem kritische bzw. entscheidende Sektoren wie Energie, Verkehr, Gesundheitswesen und Finanzwesen.
Durch die gemeinsame Erarbeitung und den ständigen Austausch über die Sicherheitsrichtlinien und Bedrohungslagen wird die Zusammenarbeit der Mitgliedstaaten gestärkt. Das soll vor allem bei länderübergreifenden Cyberangriffen zunutze gemacht werden und im Schadensfall eine schnellere und effizientere Aufarbeitung zur Folge haben. Anknüpfend daran sorgt die Meldepflicht von Sicherheitsvorfällen dafür, dass andere Mitgliedstaaten sich auf gleiche oder ähnliche Angriffe vorbereiten können, um so frühzeitig mit Gegenmaßnahmen reagieren zu können.
Warum gibt es jetzt NIS-2?
Mit NIS-2 reagiert die EU auf Mängel bzw. Lücken, die in der ursprünglichen Richtlinie vorhanden waren. Einige Kritikpunkte waren so z. B., dass zu wenige Branchen bedacht wurden, wenn eine einheitliche Widerstandsfähigkeit gegen Cyberangriffe in der Wirtschaft und Gesellschaft erreicht werden soll.
Wer ist von der NIS2-Richtlinie betroffen?
Die NIS-2-Richtlinie teilt die betroffenen Unternehmen in acht wesentliche und sieben wichtige Sektoren ein. Zu den wesentlichen Sektoren gehören u. a. Energie, das Gesundheitswesen und Trink-/Abwasserunternehmen. Im Bereich der wichtigen Sektoren finden sich u. a. Lebensmittelunternehmen, Post- bzw. Kurierdienste und Forschungseinrichtungen.
Für die NIS-2-Richtlinie untergliedert die Europäische Union die wesentlichen und wichtigen Unternehmen erneut nach ihrer Unternehmensgröße in große und mittlere Unternehmen. Anhand dieser Größen entscheidet sich der Geltungsbereich der Richtlinie. Weiterhin greifen für die einzelnen Größen spezielle Umsetzungsmaßgaben bzw. Strafen bei Nichteinhaltung.
Vorgaben für mittlere Unternehmen gelten sowohl für wesentliche als auch für wichtige Sektoren, wenn mindestens 50 Mitarbeiter im Unternehmen beschäftigt sind und ein Jahresumsatz bzw. eine Bilanz von mind. 10 Mio. € vorliegt.
Allein im wesentlichen Sektor gelten für große Unternehmen strengere Vorgaben, wenn mehr als 250 Mitarbeiter im Betrieb arbeiten und ein Umsatz von mind. 50 Mio. € bzw. eine Bilanz von mind. 43 Mio. € vorliegt.
Zusätzlich zu diesen vordefinierten Geltungsbereichen können vereinzelt auch Betriebe unterhalb der Größenschwellenwerte unter NIS-2 fallen, wenn sie mit ihren Dienstleistungen und Produkten kritisch bzw. gesellschaftlich und ökonomisch relevant für das Land sind.
Mit dem NIS-2-Check können Sie in wenigen Schritten herausfinden, ob Ihr Unternehmen von der Richtlinie betroffen ist.
Welche Anforderungen beinhaltet die NIS2-Richtlinie?
In der NIS–2-Richtlinie werden potenzielle Cybergefahren beachtet. So werden Anforderungen an Netzwerke, die IT-Infrastruktur, aber auch an Hardware gestellt. Vier Geschäftsbereiche sind davon betroffen:
Risikomanagement, Unternehmensverantwortung, Meldepflichten und Business Continuity.
Innerhalb dieser Bereiche sind zehn grundlegende Pflichten für wesentliche und wichtige Sektoren umzusetzen:
Sicherheitsvorschriften für Angestellte, die Zugriff auf sensible und wichtige Daten haben; inklusive Vorgaben zum Datenzugang
– Überblick über alle Vermögenswerte und richtiger Umgang damit in Schadensfall
Notfallplan für den Geschäftsbetrieb während und nach eines Sicherheitsvorfalls
– aktuelle Backups
– Notfallplan für Zugang zu IT-Systemen und deren Betriebsfunktionen während und nach eines Sicherheitsvorfalls
Sicherheitsvorschriften bei der Beschaffung, der Entwicklung und dem Betreiben von Informationssystemen
– Fokus auf den Umgang und das Melden von Schwachstellen
Cybersecurity-Schulungen und Umgang für eine grundlegende „Computerhygiene“
Vorgaben zum Umgang mit Kryptographie und, wenn nötig, Verschlüsselungen
Konzepte für den Umgang mit Sicherheitsvorfällen
Risikobewertung und Sicherheitsrichtlinien für Informationssysteme
Regelungen zur Untersuchung der Effektivität der Sicherheitsmaßnahmen
Verwendung von Multi-Faktor-Authentifizierung
– Sprach-, Text- und Videoverschlüsselung sowie verschlüsselte Notfallkommunikation, falls angebracht
Absicherung der Lieferketten
– Bewertung des Sicherheitsniveaus aller Lieferanten
– Ergreifung Sicherheitsmaßnahmen entsprechend der Schwachstellen der jeweiligen Direktlieferanten
Es genügt also nicht, sich auf wenige Punkte zu konzentrieren; man sollte vielmehr auf einen ganzheitlichen Ansatz Wert legen und möglichst viele Details bedenken. Auch sollte man nicht bis zur Verabschiedung des Gesetzes in Deutschland warten, da viele dieser Punkte Zeit beanspruchen, bis die Umsetzung durchgeführt ist.
Damit die Umsetzung dieser Pflichten für Sie so einfach wie möglich bleibt, haben wir eine Lösung entwickelt, die diese Anforderungen direkt adressiert: Unser NIS-2-Paket bietet Ihnen die notwendige Sicherheit bei der Verschlüsselung und Authentifizierung, um die gesetzlichen Vorgaben effizient zu erfüllen.
Zeitlicher Rahmen der NIS-2-Einführung
Die Entwicklung zu einem sicheren Europa begann 2016 mit der ersten NIS-Richtlinie. Da diese jedoch Lücken aufwies, verabschiedete die EU im Dezember 2022 die NIS-2-Richtlinie. Während die EU den Mitgliedstaaten eine Umsetzungsfrist bis zum 17. Oktober 2024 einräumte, erfolgte die nationale Umsetzung in Deutschland nach einer Verzögerung durch das NIS2UmsuCG. Seit Dezember 2025 ist das Gesetz nun offiziell in Kraft, womit die Zeit der Freiwilligkeit endgültig beendet ist.
Welche Unterschiede gibt es von NIS zu NIS2?
Während die NIS-Richtlinie in den Augen vieler Kritiker zu kurz gedacht war, geht die NIS-2-Richtlinie hier weiter, indem sie alle wichtigen Organisationen zusätzlich zur kritischen Infrastruktur bzw. den wesentlichen Sektoren betrachtet.
Weiterhin stellt NIS-2 konkretere Anforderungen an betroffene Unternehmen und ist in der Umsetzung deutlicher, um die Komplexität der ursprünglichen Richtlinien aufzubrechen.
Die NIS-2-Richtlinie gibt nun einen umfassenden Überblick darüber, was in welchen Bereichen gefordert wird und was im Schadensfall zu tun ist.
Und auch die Überwachung und andere Verantwortlichkeiten wurden deutlicher herausgearbeitet. So steht nun fest, dass für Deutschland zwar als große Aufsichtsbehörde das BSI zuständig für die Kontrolle der Umsetzung ist, es aber auch in der Lage ist, an andere Institutionen Aufgaben in diesem Bereich abzugeben.
Welche Sanktionen drohen bei Nichteinhaltung?
Da die Umsetzung von NIS-2 in nationales Recht durch die einzelnen Länder individuell erfolgt, können die Sanktionen von Mitgliedstaat zu Mitgliedstaat variieren.
Allgemein werden die Sanktionen aber in drei Kategorien unterteilt:
- Nicht-monetäre Sachstrafen
- Verwaltungsstrafen
- Strafrechtliche Sanktionen
Bei Nichteinhaltung der Sicherheitsvorschriften oder Nichtmeldung von Sicherheitsvorfällen können die Strafen wie folgt ausfallen:
- Nicht-monetäre Sachstrafen
- Compliance-Anordnungen
- verbindliche Handlungsanweisungen
- Anordnungen zur Durchführung von Sicherheitsüberprüfungen
- Anordnung zur Benachrichtigung der Kunden im Schadensfall
Das BSI ist in Deutschland dafür zuständig, die Umsetzung der NIS-2–Maßnahmen zu überprüfen. Stellt es eine ausbleibende oder unzureichende Realisierung der Vorschriften fest, ist es berechtigt, diese Sachstrafen zu verhängen.
- Verwaltungsstrafen
Hier werden erste Unterschiede zwischen den wesentlichen und wichtigen Sektoren deutlich: Strafen für Unternehmen im wesentlichen Sektor fallen deutlich höher aus. Hier können Bußgelder in Höhe von 10.000.000 € oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Bei Verstößen gegen die NIS-2-Richtlinie von Unternehmen im wichtigen Sektor können immerhin noch Strafen von bis zu 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.
- Strafrechtliche Sanktionen
Die NIS-2-Richtlinie verfolgt in der Verantwortlichkeit für die Umsetzung der Maßnahmen einen neuen Ansatz. Weg vom Druck auf die IT-Abteilung soll nun das Managements persönlich haftbar gemacht werden für grobe Fahrlässigkeit bei Sicherheitsvorfällen.
Kann diese nachgewiesen werden, können folgende Strafen eintreten:
- Anordnung der Veröffentlichung von Compliance-Verstöße des Unternehmens
- bei Sicherheitsvorfall Abgabe öffentlicher Erklärungen zur Identifizierung der natürlichen und juristischen Personen und zur Art des Vorfalls
- bei Unternehmen im wesentlichen Sektor, kann Person bei wiederholten Verstößen ein vorübergehendes Ausübungsverbot von Führungspositionen erhalten
Diese Maßnahmen sollen vor allem das C-Level-Management zur Rechenschaft ziehen, aber primär präventiv zur Einhaltung und Umsetzung der Vorgaben genutzt werden.
Lassen Sie es nicht so weit kommen: Mit unserem NIS-2-Paket sichern Sie Ihr Unternehmen und die Geschäftsführung gegen diese Risiken ab und sorgen für eine rechtskonforme IT-Infrastruktur.
Welche Vorteile hat NIS?
Durch die NIS–2-Richtlinie werden Unternehmen beauftragt, sich mit den Themen Risikomanagement, Reaktion im Falle eines Angriffs, Business–Continuity und technisch-organisatorische Maßnahmen zu beschäftigen. Was zunächst vielleicht nach überflüssiger Arbeit klingt, hilft jedoch im Schadensfall, professionell mit der Situation umzugehen und den finanziellen Schaden so gering wie möglich zu halten. Und auch die Erfahrung der letzten Jahre zeigt: Wer sich früh auf einen Angriff vorbereitet, kann im Ernstfall schneller und besser reagieren und hat die Situation schneller überwunden als diejenigen, die diesen Prozess aufschieben. Es ist keine Frage mehr, ob man angegriffen wird, sondern nur, wann.
Handlungsempfehlung
Bereit für eine reibungslose Umsetzung der NIS–2-Richtlinie in Ihrem Unternehmen? Unsere Zusammenfassung bietet Ihnen einfache, auf Ihre Bedürfnisse abgestimmte Ansätze zur erfolgreichen Integration. Lassen Sie sich von unseren Experten und Expertinnen unterstützen und bleiben Sie einen Schritt voraus in Sachen Cybersicherheit. Jetzt herunterladen und aktiv werden!
Wo erfahre ich noch mehr?
Wir können mit unserem Wissensartikel nur einen groben Abriss der NIS-2-Richtlinie geben. Da es sich um eine EU-Vorgabe handelt, variiert die Umsetzung national von Mitgliedstaat zu Mitgliedstaat.
Trotzdem möchten wir an dieser Stelle die Chance nutzen und auf weiterführende Informationen hinweisen: