NIS-2 Compliance für Ihr Unternehmen – In 30 Minuten erhalten Sie absolute Klarheit!

Ein Informationssicherheitsmanagementsystem (ISMS) ist die Grundlage für NIS2-Compliance. Der Aufbau eines ISMS bedeutet eine strukturierte IT-Sicherheitsberatung nach z. B. ISO 27001, inklusive Schwachstellenscans, Business Continuity Management (BCM) und IT-Notfallplanung – alles audit-sicher dokumentiert. So schaffen Unternehmen eine solide Basis, um Cyberrisiken systematisch zu minimieren, gesetzliche Anforderungen zu erfüllen und ihre IT-Infrastruktur langfristig resilient und zukunftssicher zu gestalten.

Die Beauftragung eines externen Informationssicherheitsbeauftragten (eISB) ist der effektivste Weg, NIS2-Compliance sicherzustellen und gleichzeitig interne Ressourcen zu schonen. Der eISB übernimmt federführend das IT-Sicherheitsmanagement – von Audit und Sicherheitsprüfung über den Aufbau eines ISMS bis hin zur laufenden Compliance-Beratung – und arbeitet eng mit Ihrem internen Team zusammen. So werden vorhandene Mitarbeiter gezielt ins ISMS eingebunden, Know-how aufgebaut und die Cyberresilienz des gesamten Unternehmens nachhaltig gestärkt. Unternehmen profitieren von höchster Expertise, gesetzlicher Sicherheit und einem aktiven, zukunftsfähigen Sicherheitsmanagement, das das gesamte Unternehmen voranbringt.

Die Betroffenheit von NIS‑2 richtet sich nach zwei Faktoren:

1. Erbringung von Waren oder Dienstleistungen in einem der NIS‑2-Sektoren gegen Entgelt

2. Überschreitung der Schwellenwerte der sogenannten „Size Cap Rule“

Die Sektoren sind in den Anhängen der NIS‑2-Richtlinie definiert:

• Anhang I – Wesentliche Einrichtungen (Essential Entities): 11 Sektoren

• Anhang II – Wichtige Einrichtungen (Important Entities): 7 Sektoren

NIS‑2-betroffene Sektoren

Anhang I – Wesentliche Einrichtungen

• Energie

• Verkehr

• Bankwesen

• Finanzmarktinfrastruktur

• Gesundheitswesen

• Trinkwasser

• Abwasser

• Digitale Infrastruktur

• Verantwortung von IKT-Diensten

• Öffentliche Verwaltung

• Weltraum

Anhang II – Wichtige Einrichtungen

• Post- und Kurierdienste

• Abfallbewirtschaftung

• Produktion, Herstellung und Handel mit chemischen Stoffen

• Produktion, Verarbeitung und Vertrieb von Lebensmitteln

• Verarbeitendes Gewerbe / Herstellung von Waren

• Anbieter digitaler Dienste

• Forschung

Size Cap Rule / Schwellenwerte

• Wichtige Einrichtungen (Important Entities):

  • Mindestens 50 Mitarbeitende oder

  • Über 10 Mio. € Jahresumsatz und über 10 Mio. € Jahresbilanzsumme

• Wesentliche Einrichtungen (Essential Entities):

  • Mindestens 250 Mitarbeitende oder

  • Über 50 Mio. € Jahresumsatz und über 43 Mio. € Jahresbilanzsumme

Ausnahmen:

• Manche Sektoren wie IT & Telekommunikation (z. B. Vertrauensdienstleister, TLD Name Registry, DNS Service Provider, TK-Dienstleister/Netzbetreiber) haben gesonderte Regelungen.

• Für KRITIS bleibt die Definition wie gehabt: Versorgung von mehr als 500.000 Personen mit einer kritischen Dienstleistung.

Quelle: BSI – Bundesamt für Sicherheit in der Informationstechnik

• Die NIS-2-Richtlinie ist eine EU-weit geltende Cybersecurity-Regelung, die im EU-Amtsblatt am 27. Dezember 2022 veröffentlicht wurde und ab dem 18. Oktober 2024 anzuwenden ist.
• Deutschland hatte die Umsetzungsfrist verpasst, setzt aber mit dem sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) darauf, die Richtlinie nun im nationalen Recht zu verankern.
• Zwar liegt ein Regierungsentwurf vor, doch ist das Gesetz bislang nicht verabschiedet. Die EU-Kommission hat deshalb im November 2024 ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.
• Nun ist zu erwarten, dass das Gesetz noch 2025 oder zum Jahreswechsel 2025/26 ohne lange Umsetzungsfrist kommen wird und viele Unternehmen vor große Herausforderungen stellt!

• Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich.
• Mit der NIS-2-Richtlinie werden rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU erlassen.
• Es geht darum, ein einheitliches Sicherheitsniveau in den Mitgliedstaaten der EU schaffen und verbessern.
• Die Umsetzung der NIS-2-Richtlinie in nationales Recht wird duch ein nationales Umstzungsgesetz erreicht.
• Das BSI wird für ca. 29.000 neue "wesentliche" (essential) und "wichtige" Einrichtungen (important entities) zur Aufsichtsbehörde; die bisherigen regulierten KRITIS werden eine Teilmenge der "wesentlichen" Einrichtungen.
• Einführung von abgestuften Registrierungs- und Meldepflichten für "wesentliche" (essential) und "wichtige" Einrichtungen (important entities), KRITIS bleiben am strengsten reguliert.
• Unternehmen müssen angemessene, wirksame und geeignete Risikomanagementmaßnahmen umsetzen.

Betroffene Unternehmen müssen geeignete technische und organisatorische Maßnahmen umsetzen, um ein hohes Sicherheitsniveau zu gewährleisten. Und vor allem diese auch nachweisen können.

Dazu gehören unter anderem:

• Risikomanagement und Sicherheitsstrategien zur Prävention und Minimierung von Cybervorfällen

• Regelmäßige Sicherheitsüberprüfungen sowie die Einführung und Pflege eines Informationssicherheits-Managementsystems (ISMS)

• Benennung eines Informationssicherheitsbeauftragten (ISB) zur Koordination der Sicherheitsmaßnahmen

• Schulung und Sensibilisierung der Mitarbeiter im Bereich Cybersicherheit

• Meldepflichten bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden an die zuständige Behörde

• Absicherung der Lieferketten, einschließlich der Prüfung von IT-Dienstleistern und Partnern

• und und und ...

➡Die konkrete Ausgestaltung dieser Maßnahmen hängt stark von der Größe, Branche, IT-Struktur und Risikolage des Unternehmens ab – eine individuelle Anpassung ist zwingend erforderlich.

• NIS-2-verpflichtete Unternehmen müssen sich beim BSI registrieren, es wird eine Meldepflicht geben und es wird für einige Unternehmen voraussichtlich auch eine Nachweispflicht geben.
• Die Ausgestaltung dieser Pflichten kommt auf das nationale Umsetzungsgesetz an, das noch nicht verabschiedet ist.
• "Wesentliche Einrichtungen" (essential entities) und "wichtige Einrichtungen" (important entities) werden verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
• Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.

Konkrete Risikomanagementmaßnahmen, die umgesetzt werden müssen

• Konzepte in Bezug auf die Risikoanalyse
• Bewältigung von Sicherheitsvorfällen,
• Aufrechterhaltung des Betriebs
• Sicherheit der Lieferkette
• Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle für Anlagen
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung
• Schulungen von Geschäftsführung und Personal

• Unternehmen sollten sich auch vor dem Gesetz auf die Umsetzung vorbereiten

Verantwortliche benennen

• Unternehmen sollten mind. 2 Personen benennen, die die Verantwortung für IT-Sicherheit im Unternehmen tragen
• Diese Personen sollten die Koordination für IT-Sicherheit im  Unternehmen übernehmen
• Die Verantwortlichen sollten alle relevanten Stellen im Unternehmen vernetzen (Geschäftsführung, Compliance, Informationssicherheitsbeauftragte)

Verantwortung übernehmen

• Geschäftsführungen tragen laut Gesetz persönliche Verantwortung für die IT-Sicherheit ihrer Einrichtung
• Geschäftsführungen müssen die Umsetzung der geeigneten, verhältnismäßigen und wirksamen technische und organisatorische Maßnahmen beaufsichtigen.
• Geschäftsführungen müssen sich zu IT-Sicherheit schulen lassen und sollten sich schon jetzt zu Schulungsangeboten informieren.

Cybersicherheit erfassen

• Einrichtungen sollten eine Bestandsaufnahme der IT-Sicherheit vornehmen
• Je nach Einstiegsniveau gibt es andere Möglichkeiten
• Einrichtungen, die bei IT-Sicherheit noch sehr am Anfang stehen, sollten ggf. auf externe Unterstützung zurückgreifen
• Möglichkeiten, eine Bestandsaufnahme der IT-Sicherheit vorzunehmen, sind der CyberRisikoCheck, der BSI-IT-Grundschutz oder eine Orientierung an Standards wie der ISO 27001/2

Cybersicherheit verbessern

• Stand der Technik umsetzen
• Risikomanagement, Incident Management, Business Continuity, ISMS, Sichern der Lieferkette, Schulungen, etc.

Auf Pflichten vorbereiten

• Auf Meldewege vorbereiten und Erreichbarkeit sicherstellen
• Auf Empfang CSW/Lageberichte des BSI vorbereiten
• Wer ist zuständig, wenn es zu Vorfällen kommt?
• Vernetzungsangebote UP KRITIS/ACS
• Registrierung mitdenken

Die Nicht-Umsetzung der NIS-2-Anforderungen birgt gravierende Folgen – sowohl für das Unternehmen als auch für einzelne Verantwortliche:

• Hohe Bußgelder: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

• Behördliche Auflagen: Anordnungen zur sofortigen Umsetzung von Sicherheitsmaßnahmen, verpflichtende externe Prüfungen oder sogar Einschränkungen im Betrieb.

• Haftung der Geschäftsleitung: Führungskräfte können persönlich in die Verantwortung genommen werden, wenn sie ihre Organisationspflichten verletzen (Managerhaftung).

• Reputationsschäden: Öffentlich gewordene Sicherheitsvorfälle können das Vertrauen von Kunden, Partnern und Investoren nachhaltig schädigen.

• etc.

Besonderer Hinweis für IT-Administratoren und interne Verantwortliche:

• Haftung interner Rollen: Datenschutzbeauftragte und Admins können persönlich in die Verantwortung geraten, wenn sie grob fahrlässig oder vorsätzlich handeln.

• Doppelbestrafung möglich: Ein Verstoß kann sowohl nach DSGVO als auch künftig nach NIS-2 geahndet werden – mit separaten Verfahren und Strafen.

Wer bewusst notwendige Sicherheitsmaßnahmen unterlässt oder deren Umsetzung behindert, kann arbeitsrechtlich (z. B. Abmahnung, Kündigung) und strafrechtlich (z. B. wegen grober Fahrlässigkeit oder Vorsatz) belangt werden – insbesondere, wenn dadurch ein Sicherheitsvorfall begünstigt wird. Auch die Unterlassung einer gesetzlich vorgeschriebenen Meldung kann zu persönlichen Konsequenzen führen.

➡ Fazit: NIS-2 ist keine optionale Empfehlung, sondern eine rechtlich bindende Verpflichtung – für die Unternehmensführung und alle, die mit der IT-Sicherheit, Compliance und dem Datenschutz betraut sind.