Seit Oktober 2024 gilt die NIS2-Richtlinie in Deutschland als Gesetz – und viele Unternehmen haben bis heute nicht vollständig reagiert. Dabei sind die Anforderungen, Fristen und möglichen Bußgelder alles andere als trivial. Was ist NIS2, wen betrifft es, und was musst du als Unternehmen oder IT-Verantwortlicher im DACH-Raum jetzt konkret tun?
Was ist die NIS2-Richtlinie?
NIS2 steht für Network and Information Security Directive 2 – die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die ältere NIS1-Richtlinie von 2016 und erweitert den Geltungsbereich massiv: Statt einiger hundert kritischer Betreiber fallen nun schätzungsweise 29.000 bis 40.000 Unternehmen allein in Deutschland unter die Regelung.
Ziel ist es, das Cybersicherheitsniveau in der EU zu vereinheitlichen und kritische Infrastrukturen besser gegen Angriffe zu schützen. NIS2 ist dabei keine Empfehlung – sondern verbindliches Recht mit empfindlichen Sanktionen bei Verstößen.
Wen betrifft NIS2?
NIS2 unterscheidet zwischen zwei Kategorien:
Wesentliche Einrichtungen (Essential Entities)
Betrifft große Unternehmen (über 250 Mitarbeiter oder mehr als 50 Mio. Euro Jahresumsatz) in Sektoren wie: Energie, Wasser, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung.
Wichtige Einrichtungen (Important Entities)
Betrifft mittlere Unternehmen (über 50 Mitarbeiter oder mehr als 10 Mio. Euro Jahresumsatz) in erweiterten Sektoren wie: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Maschinenbau, Automobil, digitale Anbieter (Cloud, Rechenzentren, Online-Marktplätze).
Wichtig für KMUs: Auch wenn du selbst unter den Schwellenwerten liegst, könntest du betroffen sein, wenn du als Dienstleister oder Zulieferer für wesentliche Einrichtungen tätig bist – die sogenannte Lieferketten-Problematik.
Was müssen betroffene Unternehmen konkret tun?
- Risikomanagement: Systematische Erfassung und Bewertung von Cybersicherheitsrisiken, dokumentiert und regelmäßig überprüft.
- Incident Response: Prozesse für die Erkennung, Reaktion und Meldung von Sicherheitsvorfällen – schwerwiegende Vorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden.
- Business Continuity: Notfallpläne und Backup-Systeme, um den Betrieb bei Angriffen aufrechtzuerhalten.
- Lieferkettensicherheit: Überprüfung der Sicherheitsmaßnahmen von Dienstleistern und Zulieferern.
- Kryptografie und Verschlüsselung: Einsatz zeitgemäßer Verschlüsselungsstandards für sensible Daten.
- Zugangskontrollen: Multi-Faktor-Authentifizierung (MFA) ist für alle relevanten Systeme Pflicht.
- Schulungen: Regelmäßige Cybersicherheits-Schulungen für Mitarbeiter und Führungskräfte.
Was droht bei Nichteinhaltung?
Die Sanktionen sind empfindlich: Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes. Hinzu kommen mögliche persönliche Haftung der Geschäftsführung.
Die Situation in Deutschland, Österreich und der Schweiz
Deutschland hat NIS2 mit dem NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht umgesetzt. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die zuständige Aufsichtsbehörde. Unternehmen sollten sich auf dem BSI-Portal registrieren.
Österreich hat NIS2 ebenfalls umgesetzt – die zuständige Behörde ist die ENISA-Kontaktstelle beim Bundeskanzleramt sowie die nationale Cybersicherheitsbehörde. Die Schweiz ist als Nicht-EU-Land nicht direkt betroffen, hat aber ein analoges Informationssicherheitsgesetz (ISG) sowie das BUND-CyberSafe-Programm.
Häufige Fragen zur NIS2-Richtlinie
Bin ich als kleines Unternehmen von NIS2 betroffen?
Direkt wahrscheinlich nicht – die Schwellenwerte (50 Mitarbeiter oder 10 Mio. Euro Umsatz) schließen die meisten Kleinstunternehmen aus. Indirekt jedoch möglicherweise schon: Wenn du Dienstleistungen für betroffene Unternehmen erbringst, können diese NIS2-konforme Sicherheitsanforderungen an dich als Zulieferer weitergeben.
Wer ist in Deutschland für NIS2 zuständig?
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die zentrale Aufsichtsbehörde. Auf bsi.bund.de finden sich aktuelle Informationen, Checklisten und das Registrierungsportal für betroffene Unternehmen.
Was ist der Unterschied zwischen NIS2 und DSGVO?
Die DSGVO regelt den Schutz personenbezogener Daten. NIS2 regelt die Sicherheit von Netz- und Informationssystemen – also Cyberresilienz und Vorfallsmanagement. Beide Regelwerke ergänzen sich: Ein Cyberangriff kann sowohl NIS2- als auch DSGVO-Pflichten auslösen.
Wo fange ich mit der NIS2-Compliance an?
Starte mit einer Gap-Analyse: Welche Anforderungen erfüllst du bereits, wo bestehen Lücken? Das BSI bietet kostenlose Orientierungshilfen. Für kleine Teams ist ein externer Cybersicherheitsberater oft der schnellste Weg zur Compliance.
Das könnte dich auch interessieren
- 🔒 Cybersicherheit für Einsteiger 2026: So schützt du dich wirklich
- 🤖 EU AI Act 2026: Was sich ab August ändert
- 💻 Windows 11 vs. Linux 2026: Was lohnt sich wirklich?
Ist dein Unternehmen schon NIS2-konform? Schreib es in die Kommentare!
Kommentar verfassen