NIS2-Richtlinie

NIS2 in Deutschland: Was kleine und mittlere Unternehmen jetzt wissen müssen

Mit der NIS2-Richtlinie hat die Europäische Union einen bedeutenden Schritt in Richtung einer sichereren digitalen Infrastruktur getan. Die neue Gesetzgebung verpflichtet Unternehmen in zahlreichen Branchen zu umfassenden IT-Sicherheitsmaßnahmen. Besonders kleine und mittlere Unternehmen (KMU) sollten sich frühzeitig mit den neuen Anforderungen vertraut machen – denn das Risiko von Cyberangriffen steigt, ebenso wie die gesetzlichen Pflichten. In diesem Artikel erfahren Sie, was NIS2 ist, für wen es gilt und wie Sie sich als Unternehmen vorbereiten sollten.

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete Version der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie wurde von der EU verabschiedet, um ein einheitlich hohes Niveau der Cybersicherheit in den Mitgliedstaaten zu gewährleisten. Ziel ist es, die Resilienz kritischer Infrastrukturen zu stärken und die Reaktionsfähigkeit auf Sicherheitsvorfälle zu verbessern. Die Richtlinie betrifft nun deutlich mehr Unternehmen als ihr Vorgänger – auch viele mittelständische Betriebe sind davon betroffen.

Welche Folgen hat es, wenn NIS2 nicht eingehalten wird?

Die Nichteinhaltung der NIS2-Vorgaben kann erhebliche rechtliche und finanzielle Konsequenzen haben. Unternehmen, die sich nicht an die Richtlinie halten, drohen:

  • Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

  • Haftung von Geschäftsführern, insbesondere bei grober Fahrlässigkeit oder Missachtung von Meldepflichten.

  • Verlust von Geschäftspartnern, da viele größere Unternehmen Sicherheitsnachweise von Zulieferern verlangen.

  • Reputationsschäden, wenn es zu öffentlich gewordenen Sicherheitsvorfällen kommt.

Welche Vorteile bringt die Umsetzung von NIS2?

Trotz des Aufwands bietet die Umsetzung der NIS2-Richtlinie zahlreiche Vorteile:

  • Erhöhung der IT-Sicherheit schützt Unternehmen besser vor Angriffen und Betriebsunterbrechungen.

  • Rechtssicherheit durch die Erfüllung gesetzlicher Vorgaben.

  • Stärkung des Vertrauens von Kunden, Partnern und Investoren.

  • Verbesserte Wettbewerbsfähigkeit, insbesondere bei Ausschreibungen, in denen IT-Sicherheitsstandards verlangt werden.

  • Langfristige Kostenersparnis, da Sicherheitsvorfälle frühzeitig verhindert oder schnell eingedämmt werden können.

Für welche Unternehmen ist die NIS2-Richtlinie relevant?

Die Richtlinie gilt für Unternehmen aus sogenannten wesentlichen und wichtigen Sektoren, wenn sie bestimmte Schwellenwerte überschreiten. Relevanz hat NIS2 für Betriebe, die:

  • Mehr als 50 Mitarbeiter beschäftigen oder

  • Mehr als 10 Millionen Euro Jahresumsatz erzielen.

Besonders betroffen sind:

  • Energie- und Wasserversorger

  • Telekommunikation

  • Finanz- und Versicherungswesen

  • Gesundheitswesen

  • Transport und Logistik

  • Digitale Dienste (z. B. Rechenzentren, Cloud-Dienste)

  • Öffentliche Verwaltung

  • Herstellung kritischer Produkte (z. B. Chemikalien, Maschinenbau)

Auch KMU, die Teil einer kritischen Lieferkette sind, können unter die Richtlinie fallen – selbst wenn sie unterhalb der Schwellenwerte liegen.

Welche Mindestanforderungen beinhaltet NIS2?

NIS2 schreibt umfassende Sicherheitsvorkehrungen vor, darunter:

  • Risikomanagementsysteme zur Identifikation und Bewertung von IT-Risiken

  • Sicherheitsstrategien und Notfallpläne

  • Regelmäßige Sicherheitsprüfungen und Audits

  • Sicherheitsbewusstsein durch Schulungen und Sensibilisierung der Mitarbeitenden

  • Zugriffsmanagement und Verschlüsselung

  • Meldung schwerwiegender Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde

Diese Anforderungen sollen sicherstellen, dass Unternehmen nicht nur auf Angriffe reagieren, sondern sich proaktiv davor schützen.

Was ist der Unterschied zwischen NIS und NIS2?

Die ursprüngliche NIS-Richtlinie von 2016 war ein erster Versuch, europaweit einheitliche Standards für die IT-Sicherheit zu schaffen. Sie war jedoch auf eine vergleichsweise kleine Gruppe von Unternehmen beschränkt. NIS2 erweitert diese Anforderungen deutlich:

  • Größerer Geltungsbereich, auch für KMU in wichtigen Sektoren

  • Klarere und detailliertere Sicherheitsvorgaben

  • Strengere Meldepflichten

  • Höhere Bußgelder

  • Stärkere behördliche Kontrolle

  • Direkte Verantwortung des Managements

Was ist neu in der NIS2-Richtlinie?

Neben der Ausweitung des Geltungsbereichs und der verschärften Haftung bringt NIS2 folgende Neuerungen:

  • Meldepflicht bei Sicherheitsvorfällen innerhalb von 24 Stunden

  • Berücksichtigung von Drittanbietern und der Lieferkette bei der Risikobewertung

  • Einbindung der Unternehmensleitung in Sicherheitsprozesse

  • Verpflichtung zur Zusammenarbeit mit staatlichen Stellen

  • Stärkere Harmonisierung der Sicherheitsstandards in der EU

Sektoren, die von NIS2 betroffen sind

NIS2 unterscheidet zwischen zwei Kategorien:

  • Wesentliche Einrichtungen (z. B. Energie, Wasser, Finanzen, Gesundheit, Verkehr)

  • Wichtige Einrichtungen (z. B. Lebensmittelproduktion, Maschinenbau, Postdienste, digitale Infrastruktur)

Insgesamt sind 18 Sektoren aufgelistet, viele davon für den Mittelstand relevant. Es ist also wichtig, sich frühzeitig zu informieren, ob das eigene Unternehmen unter die Regelung fällt.

Ab wann gilt die NIS2-Richtlinie?

Die NIS2-Richtlinie ist bereits seit dem 16. Januar 2023 in Kraft. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Vorgaben in nationales Recht zu überführen. In Deutschland geschieht das durch das sogenannte NIS2-Umsetzungsgesetz (NIS2UmsuCG).

NIS2UmsuCG – Umsetzung von NIS2 in Deutschland

Das NIS2UmsuCG bildet den gesetzlichen Rahmen für die Umsetzung der EU-Vorgaben in Deutschland. Es regelt:

  • Zuständigkeiten (z. B. BSI als Aufsichtsbehörde)

  • Meldeverfahren bei Vorfällen

  • Sanktionsrahmen

  • Kriterien zur Einstufung als „wesentliche“ oder „wichtige“ Einrichtung

NIS2UmsuCG – Stand September 2023

Im September 2023 befand sich das Gesetz noch im Entwurfsstadium. Das Bundesinnenministerium arbeitet an einer finalen Version, die Unternehmen frühzeitig Planungssicherheit geben soll. Gleichzeitig veröffentlicht das BSI erste Handreichungen und Empfehlungen, die als Orientierungshilfe für Unternehmen dienen.

Bedeutung von NIS2 für den Mittelstand

Der Mittelstand ist das Rückgrat der deutschen Wirtschaft – aber auch zunehmend Zielscheibe von Cyberangriffen. Mit NIS2 werden nun viele mittelständische Unternehmen erstmals verpflichtet, strukturiert in ihre IT-Sicherheit zu investieren. Auch wenn dies mit Aufwand verbunden ist, bietet es langfristig klare Vorteile:

  • Wettbewerbsfähigkeit stärken

  • Zugang zu sensiblen Märkten sichern

  • Haftungsrisiken minimieren

  • Mitarbeitende für IT-Risiken sensibilisieren

Fordert die NIS2-Richtlinie eine Zertifizierung?

Eine verpflichtende Zertifizierung ist in der NIS2-Richtlinie nicht direkt vorgeschrieben. Allerdings orientieren sich Behörden und Partnerunternehmen zunehmend an etablierten Standards wie:

  • ISO/IEC 27001

  • BSI IT-Grundschutz

  • TISAX (für die Automobilindustrie)

Für viele Unternehmen ist eine Zertifizierung ein sinnvoller Weg, um ihre Sicherheitsmaßnahmen nachweisbar zu dokumentieren und Vertrauen aufzubauen.

Fazit

 

Mit NIS2 rückt die Cybersicherheit in den Mittelpunkt unternehmerischer Verantwortung. Insbesondere kleine und mittlere Unternehmen sollten die Zeit bis Oktober 2024 nutzen, um sich strategisch auf die neuen Anforderungen vorzubereiten. Wer frühzeitig handelt, schützt nicht nur sein Unternehmen, sondern positioniert sich auch als verlässlicher Partner in einer digital vernetzten Wirtschaft.