NIS2 in Deutschland: welche Pflichten auf Unternehmen zukommen und wer betroffen ist
Die Richtlinie NIS2 (Network and Information Security 2) ist die größte Änderung der europäischen Cybersicherheitsgesetzgebung des letzten Jahrzehnts. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Gegenüber der ursprünglichen NIS-Richtlinie erweitert sie den Kreis der betroffenen Unternehmen erheblich — von einigen Hundert auf schätzungsweise mehrere Zehntausend Einrichtungen.
Wer von NIS2 betroffen ist
Die deutsche Umsetzung unterscheidet zwei Kategorien von Einrichtungen nach Sektor und Größe:
Besonders wichtige Einrichtungen — Großunternehmen (250+ Mitarbeitende oder Umsatz über 50 Mio. €) in Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, Verwaltung von ICT-Diensten, öffentliche Verwaltung und Weltraum.
Wichtige Einrichtungen — mittlere Unternehmen (50+ Mitarbeitende oder Umsatz über 10 Mio. €) in denselben Sektoren, zusätzlich Unternehmen in weiteren kritischen Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (Elektronik, Maschinen, Fahrzeuge, Medizinprodukte), digitale Anbieter und Forschung.
Kleinunternehmen liegen im Allgemeinen außerhalb des direkten Anwendungsbereichs — aber Vorsicht vor zwei Fallstricken. Erstens gibt es Ausnahmen (etwa als einziger Anbieter eines kritischen Dienstes in einer Region). Zweitens müssen betroffene Einrichtungen die Sicherheit der Lieferkette adressieren — wenn Sie also ein Unternehmen beliefern, das unter NIS2 fällt, landen dessen Sicherheitsanforderungen in Ihrem Vertrag.
Sind Sie unsicher? Testen Sie sich im 2-Minuten-NIS2-Self-Check.
Die wichtigsten Pflichten
- Maßnahmen zum Management von Cyberrisiken — Risikoanalyse, Sicherheitsrichtlinien, Zugriffsmanagement, Verschlüsselung, Backups, Schwachstellenmanagement und Sicherheit der Lieferkette.
- Meldung von Sicherheitsvorfällen — ein erheblicher Vorfall muss als Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme gemeldet werden, eine ausführlichere Meldung folgt innerhalb von 72 Stunden. Innerhalb eines Monats ist ein Abschlussbericht vorzulegen.
- Verantwortung der Geschäftsleitung — die Geschäftsleitung billigt die Maßnahmen, absolviert Schulungen und trägt die persönliche Verantwortung für Verstöße. Das ist eine Neuerung, die Informationssicherheit zum Vorstandsthema macht.
- Registrierung — betroffene Einrichtungen müssen sich bei der zuständigen Aufsichtsbehörde registrieren (in Deutschland das BSI, Bundesamt für Sicherheit in der Informationstechnik).
Bußgelder
Für besonders wichtige Einrichtungen bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes, für wichtige Einrichtungen bis zu 7 Millionen € oder 1,4 % des Umsatzes. Neben Bußgeldern drohen auch die Aussetzung von Zertifizierungen sowie ein vorübergehendes Tätigkeitsverbot für die Geschäftsleitung.
So bereiten Sie sich vor: ISO 27001 als Fundament
NIS2 schreibt keinen konkreten Rahmen vor, doch ihre Anforderungen überschneiden sich nahezu vollständig mit der Norm ISO/IEC 27001 — dem Managementsystem für Informationssicherheit (ISMS). Richtlinien, Risikoanalyse, Incident-Management, Lieferkette, Schulungen — all das sind verpflichtende Bestandteile eines ISMS. Ein Unternehmen mit funktionierendem ISO 27001 hat einen wesentlichen Teil der NIS2-Hausaufgaben bereits erledigt, und das Zertifikat dient als starker Nachweis der Sorgfaltspflicht gegenüber der Aufsichtsbehörde.
Der erste Schritt ist die Dokumentation: Informationssicherheitsrichtlinie, Risikoanalyse, Incident-Response-Plan und weitere verpflichtende Dokumente. Genau hier kann ISOForge Monate an Arbeit einsparen — es generiert auditfähige, auf Ihr Unternehmen zugeschnittene Dokumentation auf Deutsch und hilft, sie auch nach der Zertifizierung zu pflegen: Risikoregister, Vorfallsverzeichnis mit NIS2-Fristen, Lieferantenregister und Compliance-Kalender.
Zusammenfassung
- NIS2 betrifft mittlere und große Unternehmen in 18 Sektoren — prüfen Sie Ihren Anwendungsbereich.
- Zentrale Fristen: 24 h Frühwarnung, 72 h Vorfallsmeldung.
- Die Geschäftsleitung trägt persönliche Verantwortung.
- ISO 27001 ist der direkteste Weg zur Konformität — beginnen Sie mit der Dokumentation.