NIS2 gilt für Unternehmen aus „wesentlichen" und „wichtigen" Sektoren, wie Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung, digitale Anbieter und Forschung. Betroffen sind in der Regel Organisationen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. Auch IT-Dienstleister und Lieferanten kritischer Einrichtungen können unter NIS2 fallen.

Die EU-Vorgabe zur Umsetzung in nationales Recht endete am 17. Oktober 2024. In Deutschland wird das NIS2-Umsetzungsgesetz voraussichtlich erst im Frühjahr 2025 in Kraft treten. Unternehmen sollten sich dennoch jetzt vorbereiten, da nach Inkrafttreten mit schnellen Kontrollen und ggf. kurzen Übergangsfristen zu rechnen ist.

"Wesentliche Einrichtungen" sind große Unternehmen (meist ab 250 Mitarbeitenden oder 50 Mio. € Umsatz) in kritischen Sektoren. "Wichtige Einrichtungen" sind mittlere Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) in denselben Sektoren. Die Einstufung entscheidet über die Höhe möglicher Sanktionen und die Intensität der staatlichen Aufsicht.

Prüfen Sie Branche, Unternehmensgröße und Kritikalität Ihrer Leistungen. Die meisten mittleren und großen Unternehmen in den genannten Sektoren sind betroffen. Im Zweifel empfiehlt sich eine Gap-Analyse oder externe Beratung, um Risiken und Pflichten zu klären und Haftung zu vermeiden.

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Für „wichtige" Einrichtungen gelten bis zu 7 Mio. € oder 1,4 %. Zusätzlich sind persönliche Sanktionen gegen die Geschäftsleitung möglich, z. B. Managementausschluss bei grober Fahrlässigkeit.

Zentrale Neuerungen sind: verpflichtendes Risikomanagement, erweiterte Meldepflichten (Vorfallmeldung binnen 24 Stunden), umfassende Dokumentations- und Nachweispflichten, regelmäßige Überprüfungen/Audits, stärkere Einbindung und Haftung der Geschäftsführung, Sicherheit in der Lieferkette sowie Schulungen und technische Mindestmaßnahmen wie Verschlüsselung.

NIS2 ergänzt Regelwerke wie die DSGVO. Während die DSGVO den Schutz personenbezogener Daten regelt, fokussiert NIS2 auf die Cybersicherheit von Netz- und Informationssystemen. Es gibt Überschneidungen bei Risikomanagement, Sicherheitsmaßnahmen und Meldepflichten. Ein integrierter Compliance-Ansatz ist ratsam, um Doppelarbeit zu vermeiden.

Ja, für einzelne Sektoren wie Energie, Gesundheit, Transport oder Finanzwesen gelten teils zusätzliche Vorgaben oder Schnittstellen zu anderen Regulierungen (z.B. KRITIS, EnWG, DORA). Unternehmen sollten prüfen, welche branchenspezifischen Anforderungen zusätzlich zur NIS2-Richtlinie zu erfüllen sind.

Das Risikomanagement muss alle IT-Systeme, Prozesse und Lieferanten umfassen, die für die Erbringung Ihrer Dienste relevant sind. Es sind regelmäßige Risikoanalysen, die Umsetzung angemessener technischer und organisatorischer Maßnahmen sowie die kontinuierliche Überprüfung der Wirksamkeit vorgeschrieben. Auch die Sicherheit der Lieferkette ist explizit zu berücksichtigen.

Unternehmen müssen die Umsetzung aller technischen und organisatorischen Maßnahmen dokumentieren und auf Anfrage der Aufsichtsbehörde (z.B. BSI) nachweisen. Für Betreiber kritischer Anlagen sind regelmäßige Prüfungen und Nachweise vorgeschrieben, für andere Einrichtungen Stichproben und umfassende Dokumentationspflichten.

Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden an die zuständige Behörde (in Deutschland das BSI) gemeldet werden. Eine detailliertere Meldung folgt binnen 72 Stunden, ein Abschlussbericht binnen eines Monats. Die Meldung erfolgt über zentrale Meldestellen und umfasst Informationen zu Art, Umfang und Auswirkungen des Vorfalls sowie getroffene Gegenmaßnahmen.

Unternehmen müssen strukturierte Incident-Response-Pläne entwickeln, die klare Rollen, Verantwortlichkeiten und Eskalationswege definieren. Diese umfassen Erkennung, Bewertung, Eindämmung, Beseitigung und Wiederherstellung nach Sicherheitsvorfällen. Regelmäßige Tests und Übungen der Notfallpläne sind verpflichtend, ebenso die Dokumentation aller Aktivitäten für spätere Analysen.

Die Geschäftsleitung ist für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich. Bei grober Pflichtverletzung drohen persönliche Sanktionen, etwa Bußgelder oder ein temporäres Verbot, Leitungsfunktionen auszuüben. Eine aktive Einbindung und regelmäßige Schulung der Geschäftsführung sind daher unerlässlich.

Compliance-Beauftragte koordinieren die NIS2-Implementierung, führen Gap-Analysen durch und entwickeln Maßnahmenpläne. Sie überwachen die Einhaltung der Anforderungen, erstellen die erforderliche Dokumentation und fungieren als Schnittstelle zu Behörden. Ihre Aufgabe ist es auch, bestehende Compliance-Strukturen (wie DSGVO) mit NIS2-Anforderungen zu harmonisieren.

Die Interne Revision entwickelt NIS2-spezifische Prüfstandards und führt regelmäßige Audits der Cybersicherheitsmaßnahmen durch. Sie bewertet die Wirksamkeit implementierter Kontrollen, prüft die Vollständigkeit der Dokumentation und identifiziert Schwachstellen im Compliance-System. Ihre unabhängige Bewertung hilft dabei, Risiken frühzeitig zu erkennen und die kontinuierliche Verbesserung zu fördern.

Externe Dienstleister müssen vertraglich zu NIS2-konformen Sicherheitsmaßnahmen verpflichtet werden. Unternehmen sind für die regelmäßige Überprüfung und Bewertung ihrer kritischen Lieferanten verantwortlich. Dies umfasst Due-Diligence-Prüfungen, kontinuierliches Monitoring und die Etablierung von Notfallplänen für den Ausfall wichtiger Dienstleister. Die Lieferkettensicherheit wird zu einem zentralen Compliance-Element.