NIS2

NIS2-Richtlinie 2025

Was Unternehmen und Institutionen jetzt wissen und tun müssen.

Die neue EU-Richtlinie zur Cybersicherheit, NIS2 (Network and Information Security Directive 2), stellt ab 2025 zahlreiche Unternehmen und Einrichtungen in Deutschland vor umfangreiche Pflichten. Ziel ist es, die Resilienz und Sicherheit kritischer und wichtiger Infrastrukturen in Europa deutlich zu verbessern. Anders als bisher sind erstmals auch viele mittelständische Unternehmen betroffen. Dieser Artikel zeigt, was hinter NIS2 steckt, wer unter die Regelung fällt, welche Anforderungen zu erfüllen sind und welche Risiken bei Nichtbeachtung drohen.

Zur Einordnung: Im Gegensatz zur Europäischen Datenschutzgrundverordnung (DSGVO) handelt es sich bei der NIS2 Direktive nicht um eine Verordnung, die direkt in Deutschland geltendes Recht darstellt. Sie muss zunächst vom deutschen Gesetzgeber in deutsches Recht umgesetzt werden. Dazu gab es bereits einen Regierungsentwurf der „alten“ Ampelregierung. Mittlerweile hat die „neue“ Regierungskoalition das Thema aufgegriffen und einen modifizierten Entwurf auf den Weg gebracht. Aus der EU-Richtlinie sowie dem Entwurf lässt sich mittlerweile sehr gut ablesen, was auf die Unternehmen und Behörden in Deutschland zukommt.

 

1. Hintergrund und Zielsetzung der NIS2-Richtlinie

Die NIS2-Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Ziel der Richtlinie ist die Harmonisierung der Cybersicherheitsstandards innerhalb der EU, die Stärkung der Resilienz gegen Cyberbedrohungen sowie die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten.

Die Richtlinie ist eine Weiterentwicklung der NIS1-Richtlinie aus dem Jahr 2016 und reagiert auf die zunehmende Bedrohungslage durch Cyberkriminalität, staatlich gelenkte Angriffe und Schwachstellen in digitalen Lieferketten.

 

2. Wer ist betroffen? Klassifizierung und Schwellenwerte

Die NIS2-Richtlinie gilt für „wesentliche“ und „wichtige“ Einrichtungen in insgesamt 18 Sektoren. Entscheidend für die Betroffenheit sind:

a) Sektorenzugehörigkeit:

  • Sektoren mit hoher Kritikalität (Anhang I): Energie, Gesundheit, Verkehr, digitale Infrastruktur, öffentliche Verwaltung u.a.

  • Sonstige kritische Sektoren (Anhang II): Lebensmittelproduktion, Postdienste, Abfallwirtschaft, IT-Dienstleistungen, digitale Dienste etc.

b) Unternehmensgröße:

  • Betroffen sind Unternehmen mit mindestens 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz oder Bilanzsumme.

c) Klassifizierung:

  • Besonders wichtige Einrichtungen: z. B. Unternehmen mit über 250 Mitarbeitenden oder 50+ Mio. Euro Umsatz und 43+ Mio. Euro Bilanzsumme.

  • Wichtige Einrichtungen: z. B. Mittelständische Unternehmen mit 50-249 Mitarbeitenden oder 10-50 Mio. Euro Umsatz.

 

3. Was verlangt die NIS2-Richtlinie konkret?

Die Richtlinie fordert umfassende organisatorische und technische Maßnahmen zur Cybersicherheit. Diese lassen sich in folgende Kernbereiche gliedern:

a) Risikomanagement und Informationssicherheit (Art. 21 NIS2)

  • Durchführung von Risikoanalysen

  • Implementierung eines Informationssicherheitsmanagementsystems (ISMS), wobei der „Stand der Technik“ zu berücksichtigen ist

  • Zugriffskontrollen, Sicherheitsrichtlinien, Schulungen

  • Wirksamkeitskontrollen und kontinuierliche Verbesserung

b) Incident Management und Meldepflichten

  • Meldepflicht bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden (Sofortmeldung), 72 Stunden (Detailbericht) und einem Monat (Abschlussbericht)

c) Business Continuity Management (BCM)

  • Notfallpläne, Backup-Strategien, Wiederanlaufkonzepte

d) Lieferkettensicherheit

  • Sicherheit in der Zusammenarbeit mit Dienstleistern und Lieferanten

  • Bewertung, Vertragsanpassung, Auditierung

e) Technische Mindestanforderungen

  • Verschlüsselung, Netzwerksegmentierung, Monitoring, Multi-Faktor-Authentifizierung

f) Verantwortung der Geschäftsleitung

  • Pflicht zur Teilnahme an Cybersicherheitsschulungen

  • Überwachung der Maßnahmen und Ressourcenbereitstellung

  • Dokumentation und Berichterstattung

 

4. Sanktionen und Haftungsrisiken

Die NIS2-Richtlinie sieht bei Verstoßen empfindliche Strafen vor:

  • Für besonders wichtige Einrichtungen: bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes

  • Für wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes

Hinzu kommt eine brisante Neuerung: Persönliche Haftung der Geschäftsleitung. Leitungsorgane haften mit ihrem Privatvermögen für unterlassene oder fehlerhafte Risikomanagementmaßnahmen.

Mögliche Folgen:

  • Schadensersatzforderungen

  • Verlust der Geschäftsführungsbefugnis

  • Ausschluss aus Lieferketten

 

5. Was Unternehmen jetzt tun sollten: Schritt-für-Schritt-Vorgehen

Phase 1: Betroffenheitsprüfung und Ist-Analyse

  • Eigene Zugehörigkeit zu Sektor und Betroffenheit klären

  • Klassifizierung (wichtig/besonders wichtig) ermitteln

  • Bestehende Sicherheitsstrukturen analysieren (grobe Gap-Analyse)

Phase 2: Maßnahmen und Prozesse definieren

  • Gouvernance-Struktur aufbauen (Benennung von Verantwortlichkeiten, z.B. CISO (Chief Information Security Officer))

  • ISMS ein- oder weiterführen (z. B. nach ISO 27001)

  • Meldeverfahren, Notfallpläne und Sicherheitsrichtlinien erstellen

Phase 3: Technische Umsetzung

  • Firewall, EDR, Backup, SIEM, MFA implementieren

  • Schwachstellenmanagement und Monitoring etablieren

Phase 4: Lieferkette und Schulung

  • Lieferanten-Assessment und Vertragsanpassung

  • Schulungen für Mitarbeiter und Geschäftsleitung

 

6. Branchenspezifische Herausforderungen in Hamburg und Schleswig-Holstein

  • Maritime Wirtschaft & Logistik (Hamburg): OT-Security, Hafen-IT, multimodale Transportketten

  • Windenergie & Offshore-Technik (SH): SCADA-Sicherheit, Fernwartung, ICS-Absicherung

  • Medizintechnik & Life Sciences: Datenschutz, Fernbehandlung, Zuliefererprüfung

 

Fazit: NIS2 als Chance begreifen

Die NIS2-Richtlinie stellt viele Unternehmen vor Herausforderungen – aber auch vor eine enorme Chance: Wer frühzeitig handelt, kann Sicherheitsrisiken deutlich reduzieren, regulatorische Bußgelder vermeiden und sich strategisch im Markt positionieren. Cybersicherheit wird zum Qualitäts- und Vertrauenskriterium. Entscheidend ist, jetzt aktiv zu werden und einen strukturierten Weg zur Compliance zu beschreiten.

Möglicher Aktionsplan:

  1. NIS2-Fitness-Check durchführen lassen

  2. Gap-Analyse und Roadmap definieren

  3. ISMS aufbauen oder weiterentwickeln

  4. Maßnahmen technisch und organisatorisch umsetzen

  5. Kontinuierlich verbessern und Reifegrad steigern

Zurück

KRITIS: Im Fokus der Hacker:innen: Kritische Infrastrukturen (KRITIS)
Weiter

ISMS (Informationssicherheits-Management-System)