Die NIS2-Richtlinie erweitert die Cybersicherheitspflichten auf zehntausende deutsche Unternehmen. Ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in kritischen Sektoren drohen bei Verstößen Bußgelder bis 10 Millionen Euro. Ein Überblick für den Mittelstand.
Was ist die NIS2-Richtlinie?
NIS2 steht für "Network and Information Security Directive 2" – die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie wurde am 14. Dezember 2022 vom Europäischen Rat verabschiedet. In Deutschland erfolgt die Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG).
Gegenüber der Vorgängerrichtlinie erweitert NIS2 den Anwendungsbereich erheblich: Statt weniger hundert kritischer Infrastrukturen in Deutschland sind nun schätzungsweise 29.000 bis 40.000 deutsche Unternehmen betroffen.
Wen betrifft NIS2? Die Schwellenwerte im Detail
Betroffene Sektoren
NIS2 gilt für Unternehmen in folgenden Sektoren:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Forschung, Pharmahersteller)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Cloud, Rechenzentren, DNS, ISPs)
- IKT-Dienstleistungsmanagement (Managed Service Provider, MSSP)
- Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe
Größenschwellen
Innerhalb der betroffenen Sektoren gilt NIS2 für Unternehmen mit mindestens:
- 50 Mitarbeitern (Vollzeitäquivalent) ODER
- 10 Millionen Euro Jahresumsatz und 2 Millionen Euro Jahresbilanzsumme
Pflichten für betroffene Unternehmen
Risikomanagementmaßnahmen (Artikel 21)
- Risikoanalyse und Sicherheitskonzept für Informationssysteme
- Incident Response: Konzepte für Bewältigung von Sicherheitsvorfällen
- Business Continuity: Backup-Management, Wiederherstellung, Krisenmanagement
- Lieferkettensicherheit: Sicherheitsanforderungen an Lieferanten und Dienstleister
- Kryptographie und Verschlüsselung
- Zugangskontrolle und Multi-Faktor-Authentifizierung
Meldepflichten bei Sicherheitsvorfällen
- 24 Stunden: Erstmeldung (Frühwarnung) an das BSI
- 72 Stunden: Vollständige Meldung mit Bewertung
- 1 Monat: Abschlussbericht mit Ursachenanalyse
Haftung der Geschäftsführung
NIS2 stellt die persönliche Haftung von Leitungsorganen explizit klar. Geschäftsführer und Vorstände müssen die Cybersicherheitsmaßnahmen billigen und können bei Pflichtverletzungen persönlich haftbar gemacht werden.
Bußgelder und Handlungsempfehlungen
- Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
Konkrete Handlungsschritte für den Mittelstand:
- Betroffenheit prüfen: Fällt das Unternehmen in einen der Sektoren und überschreitet die Schwellenwerte?
- Gap-Analyse durchführen: Vergleich der bestehenden Sicherheitsmaßnahmen mit den NIS2-Anforderungen
- Incident-Response-Plan erstellen: Klare Prozesse für Meldung und Reaktion auf Sicherheitsvorfälle
- MFA einführen: Multi-Faktor-Authentifizierung für alle kritischen Systeme
"NIS2 ist keine bürokratische Übung. Die Anforderungen spiegeln den Mindeststandard wider, den Unternehmen für ihre eigene Überlebensfähigkeit in der aktuellen Bedrohungslage benötigen." – Bundesamt für Sicherheit in der Informationstechnik (BSI)
Häufige Fragen
Muss ich mein Unternehmen aktiv bei einer Behörde registrieren?
Ja, betroffene Einrichtungen müssen sich beim BSI registrieren. Das BSI stellt eine Registrierungsplattform bereit. Die Registrierungspflicht gilt unabhängig davon, ob das Unternehmen bereits nach anderen Gesetzen reguliert ist.
Gilt NIS2 auch für Unternehmen, die IT-Dienstleistungen für betroffene Sektoren erbringen?
Ja, explizit. Managed Service Provider (MSPs) und MSSPs sind in Anhang II der NIS2-Richtlinie als "Wichtige Einrichtungen" aufgeführt und unterliegen direkt den NIS2-Pflichten.
Was gilt als "erheblicher Sicherheitsvorfall", der gemeldet werden muss?
Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstörungen verursacht oder erhebliche finanzielle Verluste zur Folge hat. Im Zweifel empfiehlt das BSI, lieber zu früh zu melden als zu spät.
Welche Strafen drohen bei Nichteinhaltung?
Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4% des Umsatzes. Leitungsorgane können persönlich haftbar gemacht werden.
Kann ein Unternehmen NIS2-Compliance extern auslagern?
Die Verantwortung bleibt immer beim Unternehmen und seiner Geschäftsführung. Technische Umsetzung kann an qualifizierte MSSPs delegiert werden. Auslagerung befreit nicht von der Haftung.