Die NIS2-Richtlinie der EU ist seit Oktober 2024 in Kraft und betrifft schätzungsweise 30.000 deutsche Unternehmen aus 18 verschiedenen Branchen. Als IT-Systemhaus HTH beobachten wir täglich, wie unsere Kunden mit den neuen Anforderungen kämpfen.
Inhalt
Die wichtigsten Fakten:
- Geltungsbereich: Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in definierten Sektoren
- Bußgelder: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
- Meldepflicht: Sicherheitsvorfälle innerhalb von 24 Stunden melden
- Führungshaftung: Geschäftsführer werden persönlich zur Verantwortung gezogen
Sind Sie betroffen? Dieser Artikel gibt Ihnen Klarheit.
Was ist NIS2 und warum betrifft sie mich?
Die Network and Information Security Directive 2 (NIS2) ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016. Sie reagiert auf die dramatisch gestiegenen Cyberbedrohungen der letzten Jahre.
Warum wurde NIS2 verschärft?
- Cyberattacken verursachen allein in Deutschland um die 200 Milliarden Euro Schaden jährlich (Bitkom-Studie)
- 30% der Unternehmen waren bereits Opfer von Datenverlust im Millionenbereich
- Kritische Infrastrukturen werden zunehmend digitaler und damit angreifbarer
Die neue Richtlinie zielt darauf ab, die Cybersicherheit in der gesamten EU zu harmonisieren und gleichzeitig mehr Unternehmen in die Verantwortung zu nehmen.
Die zwei entscheidenden Kriterien: Bin ich betroffen?
Ob Ihr Unternehmen unter NIS2 fällt, hängt von zwei Hauptkriterien ab, die beide erfüllt sein müssen:
Kriterium 1: Unternehmensgröße
Schwellenwerte für die Betroffenheit:
- Mindestens 50 Mitarbeiter ODER
- Jahresumsatz über 10 Millionen Euro ODER
- Jahresbilanzsumme über 10 Millionen Euro
Wichtiger Hinweis: Es reicht bereits aus, wenn einer dieser drei Werte überschritten wird. Die Berechnung erfolgt nach EU-Richtlinie 2003/361/EG.
Kriterium 2: Sektorzugehörigkeit
Ihr Unternehmen muss einem der 18 definierten Sektoren angehören, die in zwei Kategorien unterteilt sind:
Essential Entities: Die 11 kritischen Sektoren
Diese Unternehmen gelten als besonders kritisch und unterliegen strengerer Aufsicht:
1. Energie
- Stromnetzbetreiber
- Gas- und Ölversorger
- Wasserstoffnetze
- Raffineriebetreiber
2. Transport
- Flughäfen und Seehäfen
- Bahnunternehmen
- Öffentlicher Personenverkehr
- Logistikunternehmen über bestimmter Größe
3. Bankwesen & Finanzmarkt
- Banken und Sparkassen
- Zahlungsdienstleister
- Versicherungsunternehmen
- Handelsplätze
4. Gesundheitswesen
- Krankenhäuser
- Medizinproduktehersteller
- Pharmaunternehmen
- Labore und Forschungseinrichtungen
5. Trinkwasser und Abwasser
- Wasserversorger
- Kläranlagenbetreiber
- Wasserwirtschaftsunternehmen
6. Digitale Infrastruktur
- Cloud-Anbieter
- Rechenzentren
- Internezt-Knoten (IXP)
- DNS-Dienstleister
- CDN-Betreiber
7. IKT-Dienstleister
- Managed Service Provider
- Managed Security Service Provider
8. Öffentliche Verwaltung
- Bundesministerien
- Landesregierungen
- Kritische Behörden
9. Weltraum
- Satellitenbetreiber
- Bodeninfrastruktur
10. Post- und Kurierdienste
- Nationale Postdienstleister
- Große Kurierdienste
11. Abwasserwirtschaft
- Abwasserentsorgung
- Kläranlagen
Important Entities: Die 7 wichtigen Sektoren
Diese Unternehmen unterliegen weniger strikter Aufsicht, haben aber dieselben Pflichten:
1. Abfallwirtschaft
- Entsorgungsunternehmen
- Recyclinganlagen
2. Chemische Industrie
- Chemiehersteller
- Chemiekalienhehändler
3. Lebensmittelindustrie
- Lebensmittelproduzenten
- Großhändler
- Lieferketten-Akteure
4. Verarbeitendes Gewerbe
- Maschinenbau
- Automobilindustrie
- Elektronikhersteller
- Medizinprodukte
5. Digitale Anbieter
- Online-Marktplätze
- Suchmaschinen
- Soziale Netzwerke
6. Forschung
- Universitäten
- Forschungsinstitute
7. Weitere Fertigungsindustrie
- Textilhersteller
- Möberlhersteller
- Sonstige Fertigungsbetriebe
Sonderfälle und Ausnahmen: Wann gelten andere Regeln?
Immer betroffen – unabhängig von der Größe
Bestimmte Betreiber unterliegen NIS2 unabhängig von Mitarbeiterzahl oder Umsatz:
- Kritische Teile der digitalen Infrastruktur
- Systemrelevante Verwaltungseinrichtungen
- Betreiber mit hohem Systemrisiko
Vollständige Ausnahmen
Diese Bereiche sind komplett ausgenommen:
- Verteidigung und nationale Sicherheit
- Öffentliche Sicherheit und Strafverfolgung
- Justiz und Parlamente
- Zentralbanken
- Sehr kleine Unternehmen (unter 50 Mitarbeiter UND unter 10 Mio. € Umsatz)
Die „Size-Cap“-Regelung erklärt
Die Size-Cap-Regelung ist ein zentrales Element der NIS 2 Richtlinie. Sie sorgt dafür, dass:
- Mittlere und große Unternehmen angemessen reguliert werden
- Kleine Unternehmen nicht überlastet werden
- Kritische Akteure unabhängig von ihrer Größe erfasst werden
Diese differenzierte Herangehensweise berücksichtigt die unterschiedlichen Ressourcen und Risiken verschiedener Unternehmensgrößen.
Unterschiede zwischen Essential und Important Entities
| Aspekt | Essential Entities | Important Entities |
|---|---|---|
| Aufsicht | Proaktiv (ohne Anlass) | Reaktiv (anlassbezogen) |
| Bußgelder | Bis 10 Mio. € oder 2% Jahresumsatz | Bis 7 Mio. € oder 1,4% Jahresumsatz |
| Kontrollen | Regelmäßige Überprüfungen | Bei Verdacht oder Vorfall |
| Meldepflichten | Gleich (24h für erhebliche Vorfälle) | Gleich (24h für erhebliche Vorfälle) |
Konsequenzen für betroffene Unternehmen
Verschärfte Sicherheitsanforderungen
Technische Maßnahmen:
- Incident Response und Business Continuity Management
- Supply Chain Security (Lieferkettenrisiken)
- Multi-Faktor-Authentifizierung
- Verschlüsselung sensibler Daten
- Regelmäßige Sicherheitsupdates
Organisatorische Maßnahmen:
- Cybersicherheits-Governance
- Risikomanagement
- Mitarbeiterschulungen
- Dokumentation aller Prozesse
Meldepflichten bei Sicherheitsvorfällen
Zeitliche Fristen:
- Innerhalb von 24 Stunden: Erste Meldung an zuständige Behörde
- Innerhalb von 72 Stunden: Detaillierte Folgemeldung
- Innerhalb eines Monats: Abschlussbericht
Was muss gemeldet werden:
- Cyberangriffe mit erheblichen Auswirkungen
- Betriebsstörungen durch IT-Sicherheitsvorfälle
- Datenschutzverletzungen mit Sicherheitsbezug
Führungshaftung und persönliche Verantwortung
Neue Pflichten für Geschäftsführer:
- Persönliche Teilnahme an Cybersicherheitsschulungen
- Sicherstellung angemessener Sicherheitsmaßnahmen
- Persönliche Haftung bei groben Verstößen
Handlungsempfehlungen: So bereiten Sie sich vor
Sofortmaßnahmen (1-3 Monate)
- Betroffenheitsprüfung durchführen
- Sektorzugehörigkeit überprüfen
- Unternehmensgröße bewerten
- Rechtliche Beratung einholen
- Ist-Analyse der IT-Sicherheit
- Aktuelle Sicherheitsmaßnahmen dokumentieren
- Schwachstellen identifizieren
- Gap-Analyse zu NIS2-Anforderungen
- Notfallkontakte etablieren
- Zuständige Behörden identifizieren
- Meldewege definieren
- Krisenteam zusammenstellen
Mittelfristige Maßnahmen (3-12 Monate)
- ISMS implementieren
- Informationssicherheitsmanagementsystem nach ISO 27001
- Risikomanagement-Prozesse etablieren
- Sicherheitsrichtlinien entwickeln
- Technische Sicherheit ausbauen
- Monitoring und Logging verbessern
- Backup– und Recovery-Strategien überprüfen
- Netzwerksegmentierung implementieren
- Mitarbeiter schulen
- Cybersecurity-Awareness-Programme
- Phishing-Simulationen
- Incident-Response-Trainings
Langfristige Strategien (12+ Monate)
- Kontinuierliche Verbesserung
- Regelmäßige Sicherheitsaudits
- Penetrationstests
- Compliance-Monitoring
- Lieferkettenmanagement
- Sicherheitsanforderungen für Dienstleister
- Vertragsanpassungen
- Risikobewertung von Partnern
