NIS2-Compliance als Management-Aufgabe

NIS2 gilt für Unternehmen aus „wesentlichen" und „wichtigen" Sektoren, wie Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung, digitale Anbieter und Forschung. Betroffen sind in der Regel Organisationen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. Auch IT-Dienstleister und Lieferanten kritischer Einrichtungen können unter NIS2 fallen.

Die EU-Vorgabe zur Umsetzung in nationales Recht endete am 17. Oktober 2024. In Deutschland wird das NIS2-Umsetzungsgesetz voraussichtlich erst im Frühjahr 2025 in Kraft treten. Unternehmen sollten sich dennoch jetzt vorbereiten, da nach Inkrafttreten mit schnellen Kontrollen und ggf. kurzen Übergangsfristen zu rechnen ist.

"Wesentliche Einrichtungen" sind große Unternehmen (meist ab 250 Mitarbeitenden oder 50 Mio. € Umsatz) in kritischen Sektoren. "Wichtige Einrichtungen" sind mittlere Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) in denselben Sektoren. Die Einstufung entscheidet über die Höhe möglicher Sanktionen und die Intensität der staatlichen Aufsicht.

Prüfen Sie Branche, Unternehmensgröße und Kritikalität Ihrer Leistungen. Die meisten mittleren und großen Unternehmen in den genannten Sektoren sind betroffen. Im Zweifel empfiehlt sich eine Gap-Analyse oder externe Beratung, um Risiken und Pflichten zu klären und Haftung zu vermeiden.

In Deutschland wird die NIS2-Richtlinie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert als zentrale Aufsichts- und Meldebehörde für alle betroffenen Unternehmen.

Das Gesetz erweitert den Anwendungsbereich des BSI-Gesetzes (BSIG) erheblich: Neben Betreibern kritischer Infrastrukturen (KRITIS) fallen nun auch mittlere Unternehmen aus über 15 Sektoren unter die Pflichten – darunter Gesundheitswesen, Energie, Verkehr, digitale Dienste, Abfall- und Wasserwirtschaft sowie öffentliche Verwaltung.

Zentrale Pflichten in Deutschland:

• Meldepflicht: Sicherheitsvorfälle müssen binnen 24 Stunden an das BSI-CSIRT gemeldet werden
• Registrierung: Betroffene Unternehmen müssen sich beim BSI registrieren
• Technische Standards: Orientierung an ISO 27001 und BSI-Grundschutz
• Auditpflicht: Regelmäßige Sicherheitsüberprüfungen durch qualifizierte Prüfstellen
• Sanktionen: Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes durch das BSI

Das NIS2-Umsetzungsgesetz wird voraussichtlich im Frühjahr 2025 in Kraft treten. Unternehmen sollten sich bereits jetzt vorbereiten, da mit schnellen Kontrollen und kurzen Übergangsfristen zu rechnen ist. Eine frühzeitige NIS2-Gap-Analyse hilft, Schwachstellen zu identifizieren und Haftungsrisiken zu minimieren.

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Für „wichtige" Einrichtungen gelten bis zu 7 Mio. € oder 1,4 %. Zusätzlich sind persönliche Sanktionen gegen die Geschäftsleitung möglich, z. B. Managementausschluss bei grober Fahrlässigkeit.

Zentrale Neuerungen sind: verpflichtendes Risikomanagement, erweiterte Meldepflichten (Vorfallmeldung binnen 24 Stunden), umfassende Dokumentations- und Nachweispflichten, regelmäßige Überprüfungen/Audits, stärkere Einbindung und Haftung der Geschäftsführung, Sicherheit in der Lieferkette sowie Schulungen und technische Mindestmaßnahmen wie Verschlüsselung.

NIS2 ergänzt Regelwerke wie die DSGVO und ISO 27001. Während die DSGVO den Schutz personenbezogener Daten regelt, fokussiert NIS2 auf die Cybersicherheit von Netz- und Informationssystemen. Es gibt Überschneidungen bei Risikomanagement, Sicherheitsmaßnahmen und Meldepflichten.

Ein integrierter Compliance-Ansatz ist ratsam, um Doppelarbeit zu vermeiden. Meine Berater unterstützen Sie dabei, DSGVO-, ISO 27001- und NIS2-Anforderungen harmonisch zu implementieren – für effiziente Compliance ohne Ressourcenverschwendung.

Ja, für einzelne Sektoren wie Energie, Gesundheit, Transport oder Finanzwesen gelten teils zusätzliche Vorgaben oder Schnittstellen zu anderen Regulierungen:

• Energie-Sektor: EnWG (Energiewirtschaftsgesetz), IT-Sicherheitskatalog
• Finanzwesen: DORA (Digital Operational Resilience Act)
• Kritische Infrastrukturen: KRITIS-Verordnung, BSI-Grundschutz
• Automotive: TISAX (Trusted Information Security Assessment Exchange)

Unternehmen sollten branchenspezifische Anforderungen frühzeitig identifizieren und mit NIS2-Maßnahmen synchronisieren. Unsere Branchenexperten kennen die Schnittstellen und entwickeln maßgeschneiderte Compliance-Strategien für Ihren Sektor.

Das Risikomanagement muss alle IT-Systeme, Prozesse und Lieferanten umfassen, die für die Erbringung Ihrer Dienste relevant sind. Es sind regelmäßige Risikoanalysen, die Umsetzung angemessener technischer und organisatorischer Maßnahmen sowie die kontinuierliche Überprüfung der Wirksamkeit vorgeschrieben. Auch die Sicherheit der Lieferkette ist explizit zu berücksichtigen.

Unternehmen müssen die Umsetzung aller technischen und organisatorischen Maßnahmen dokumentieren und auf Anfrage der Aufsichtsbehörde (z.B. BSI) nachweisen. Für Betreiber kritischer Anlagen sind regelmäßige Prüfungen und Nachweise vorgeschrieben, für andere Einrichtungen Stichproben und umfassende Dokumentationspflichten.

Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden an die zuständige Behörde (in Deutschland das BSI) gemeldet werden. Eine detailliertere Meldung folgt binnen 72 Stunden, ein Abschlussbericht binnen eines Monats. Die Meldung erfolgt über zentrale Meldestellen und umfasst Informationen zu Art, Umfang und Auswirkungen des Vorfalls sowie getroffene Gegenmaßnahmen.

Unternehmen müssen strukturierte Incident-Response-Pläne entwickeln, die klare Rollen, Verantwortlichkeiten und Eskalationswege definieren. Diese umfassen Erkennung, Bewertung, Eindämmung, Beseitigung und Wiederherstellung nach Sicherheitsvorfällen. Regelmäßige Tests und Übungen der Notfallpläne sind verpflichtend, ebenso die Dokumentation aller Aktivitäten für spätere Analysen.

Die Geschäftsleitung ist für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich. Bei grober Pflichtverletzung drohen persönliche Sanktionen, etwa Bußgelder oder ein temporäres Verbot, Leitungsfunktionen auszuüben. Eine aktive Einbindung und regelmäßige Schulung der Geschäftsführung sind daher unerlässlich und ein zentraler Punkt meiner Beratung.

Compliance-Beauftragte koordinieren die NIS2-Implementierung, führen Gap-Analysen durch und entwickeln Maßnahmenpläne. Sie überwachen die Einhaltung der Anforderungen, erstellen die erforderliche Dokumentation und fungieren als Schnittstelle zu Behörden. Ihre Aufgabe ist es auch, bestehende Compliance-Strukturen (wie DSGVO) mit NIS2-Anforderungen zu harmonisieren.

Die Interne Revision entwickelt NIS2-spezifische Prüfstandards und führt regelmäßige Audits der Cybersicherheitsmaßnahmen durch. Sie bewertet die Wirksamkeit implementierter Kontrollen, prüft die Vollständigkeit der Dokumentation und identifiziert Schwachstellen im Compliance-System. Ihre unabhängige Bewertung hilft dabei, Risiken frühzeitig zu erkennen und die kontinuierliche Verbesserung zu fördern.

Externe Dienstleister müssen vertraglich zu NIS2-konformen Sicherheitsmaßnahmen verpflichtet werden. Unternehmen sind für die regelmäßige Überprüfung und Bewertung ihrer kritischen Lieferanten verantwortlich. Dies umfasst Due-Diligence-Prüfungen, kontinuierliches Monitoring und die Etablierung von Notfallplänen für den Ausfall wichtiger Dienstleister. Die Lieferkettensicherheit wird zu einem zentralen Compliance-Element.