NIS2-Richtlinie: Wer ist betroffen und was ist jetzt zu tun?
Cyberangriffe nehmen stetig zu. 81 Prozent der deutschen Unternehmen waren laut einer aktuellen Bitkom-Umfrage in den vergangenen 12 Monaten betroffen. Nun reagiert auch die EU mit verschärften Regeln: Die NIS2-Richtlinie verpflichtet bald rund 29.000 deutsche Unternehmen zu umfassenden Cybersicherheitsmaßnahmen – bei Nichteinhaltung drohen Strafen bis hin zur persönlichen Haftung von Geschäftsführern. Wer ist betroffen und was ist jetzt zu tun?
Hinweis: Dieser Beitrag basiert auf dem aktuellen Stand der Informationen zur NIS2-Richtlinie (Stand: 24. März 2025). Da die nationale Umsetzung in Deutschland noch aussteht, können sich Details noch ändern.
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (offiziell: Richtlinie (EU) 2022/2555) ist die Weiterentwicklung der ersten europäischen Cybersicherheitsrichtlinie von 2016. Sie wurde Ende 2022 veröffentlicht und trat Anfang 2023 in Kraft. Ziel ist es, ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU zu schaffen, indem:
- Schwachstellen in der digitalen Infrastruktur geschlossen werden
- Unterschiedliche Standards zwischen den EU-Ländern vereinheitlicht werden
- Ein gemeinsames Vorgehen gegen Cyberbedrohungen entwickelt wird
In Deutschland ist mit einer Umsetzung frühestens im zweiten Quartal 2025 zu rechnen – später als ursprünglich vorgesehen, hauptsächlich wegen Verzögerungen im Gesetzgebungsprozess. Sobald das Gesetz in Kraft tritt, müssen die Maßnahmen unverzüglich umgesetzt werden. Übergangsfristen sind nicht vorgesehen.
Welche Unternehmen sind betroffen?
NIS2-Richtlinie betrifft Unternehmen in 18 kritischen Sektoren, darunter u.a. Energie, Verkehr, Finanzwesen, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung. Unternehmen sind nur dann betroffen, wenn sie in einem der 18 explizit genannten kritischen Sektoren tätig sind und gleichzeitig die nachfolgenden Kriterien erfüllen:
- Mittelständische Unternehmen („wichtige Einrichtungen“): 50–249 Mitarbeiter oder ein Umsatz von 10–50 Millionen Euro, mit einer Bilanz von weniger als 43 Millionen Euro.
- Große Unternehmen („wesentliche Einrichtungen“): ≥250 Mitarbeiter oder ein Umsatz von ≥50 Millionen Euro.
Die Einstufung in eine dieser Kategorien entscheidet über die konkreten Anforderungen und Sanktionen bei Nichteinhaltung.
Welche Anforderungen stellt die NIS2-Richtlinie?
Unternehmen müssen nun umfassendere Cybersicherheitsmaßnahmen implementieren, darunter:
- Cybersicherheitsrisikomanagement: Systematische Identifikation und Minderung von Risiken.
- Lieferketten-Sicherheit: Sicherheitsstandards müssen auch bei Partnern und Zulieferern gewährleistet sein.
- Geschäftskontinuitätsplanung: Erstellung von Plänen, um kritische Geschäftsprozesse im Krisenfall aufrechtzuerhalten.
- Verschlüsselung und Zugangsschutz: Technische Sicherung sensibler Daten und Systeme.
- Vorfallmeldungen: Schnellstmögliche Meldung von Sicherheitsvorfällen an zuständige Behörden.
Welche Sanktionen drohen bei Verstößen?
Die möglichen Strafen bei Nichteinhaltung der NIS2-Vorgaben sind hoch:
- Für wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
- Für wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
Achtung: Persönliche Haftung der Geschäftsführung
Die NIS2-Richtlinie sieht strengere Haftungsregeln für die Geschäftsleitung vor. Geschäftsführer und Vorstände können künftig direkt zur Verantwortung gezogen werden, wenn sie ihre Aufsichtspflichten im Bereich Cybersicherheit vernachlässigen. Es ist daher ratsam, die neue Richtlinie zum Anlass zu nehmen, die IT-Sicherheitsstrukturen im eigenen Unternehmen noch einmal grundlegend zu überprüfen.
Unterstützung vom BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Hilfestellungen für betroffene Unternehmen:
- Eine Betroffenheitsprüfung, mit der Sie einfach feststellen können, ob Ihr Unternehmen unter die Richtlinie fällt
- Einen Entscheidungsbaum zur Einstufung Ihres Unternehmens
- Häufig gestellte Fragen mit verständlichen Antworten
- Konkrete Handlungsempfehlungen zur Vorbereitung
- Online-Webinar am 06.05.2025 um 10:00 Uhr
Diese Tools sind nicht rechtlich bindend, basieren jedoch auf der EU-Richtlinie und bieten einen ersten Überblick.
Registrierung beim BSI
Sobald das deutsche „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (kurz: NIS2UmsuCG) in Kraft tritt, müssen sich betroffene Unternehmen, die als „wesentlich“ oder „wichtig“ eingestuft werden, innerhalb von drei Monaten beim BSI melden. Dabei müssen sie Daten wie Firmenname, Sektor und Kontaktdaten sowie eine Selbsteinschätzung ihrer Betroffenheit angeben.
Ausblick
Cybersicherheit wird auch für mittelständische Unternehmen immer wichtiger. Auch hier ist die Zahl der Cyberangriffe stetig gestiegen. Es ist daher ratsam, das Thema auf die Agenda zu setzen, sich beraten zu lassen und entsprechende Kompetenzen aufzubauen. Betroffene Unternehmen sollten die Zeit bis zum Inkrafttreten nutzen, um ihre IT-Sicherheitsmaßnahmen zu überprüfen und anzupassen, denn das Thema Cybersicherheit wird durch die Digitalisierung und den Einsatz von KI auch in Zukunft nicht an Bedeutung verlieren.
Berater in Ihrer Region gesucht?
BeratersucheNewsletter für Unternehmer
FAQ zur NIS2-Richtlinie
Was genau ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network and Information Security Directive 2.0) ist eine EU-Vorschrift, die einen einheitlichen Rahmen für Cybersicherheit in der gesamten EU schafft. Sie ist die Nachfolgerin der ersten NIS-Richtlinie und wurde entwickelt, um die Cyberresilienz kritischer Sektoren zu stärken.
Bis wann muss mein Unternehmen die Anforderungen erfüllen?
In Deutschland ist die Umsetzung im zweiten Quartal 2025 geplant. Dann müssen alle betroffenen Unternehmen die Anforderungen der Richtlinie erfüllen. Es ist möglich, dass Deutschland eine zusätzliche Frist oder gestaffelte Anforderungen einführt – das hängt vom konkreten Gesetzestext ab, der zum Stand heute (24. März 2025) noch nicht final veröffentlicht ist.
In der Vergangenheit gab es bei der Umsetzung der ursprünglichen NIS-Richtlinie (2016) keine großzügigen Übergangsfristen, sondern die Pflichten galten unmittelbar nach Inkrafttreten des nationalen Gesetzes.
Wie unterscheidet sich NIS2 von der ursprünglichen NIS-Richtlinie?
NIS2 hat einen deutlich erweiterten Anwendungsbereich (mehr betroffene Sektoren und Unternehmen), strengere Sicherheitsanforderungen, höhere Strafen und neue Haftungsregelungen für die Unternehmensleitung.
Wie finde ich heraus, ob mein Unternehmen betroffen ist?
Das BSI stellt eine „NIS-2-Betroffenheitsprüfung“ online zur Verfügung. Alternativ können Sie prüfen, ob Ihr Unternehmen in einem der 18 kritischen Sektoren (Anhang I und II) tätig ist und ob es die Größenkriterien erfüllt:
- Mittelständische Unternehmen: 50–249 Mitarbeiter oder ein Umsatz von 10–50 Millionen Euro, mit einer Bilanz von weniger als 43 Millionen Euro.
- Große Unternehmen: ≥250 Mitarbeiter oder ein Umsatz von ≥50 Millionen Euro.
Welches sind die 18 kritischen Sektoren?
Eine vollständige Auflistung der 18 kritischen Sektoren der NIS2-Richtlinie findest du in den Anhängen I und II der Richtlinie (EU) 2022/2555. Diese Anhänge teilen die Sektoren in „Sektoren mit hoher Kritikalität“ (Anhang I) und „sonstige kritische Sektoren“ (Anhang II) auf.
Anhang I: Sektoren mit hoher Kritikalität
- Energie: Elektrizität, Fernwärme/Kälte, Öl, Gas
- Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
- Bankwesen: Kreditinstitute
- Finanzmarktinfrastrukturen: Handelssysteme, Zahlungs- und Abrechnungssysteme
- Gesundheitswesen: Gesundheitsdienstleister (z. B. Krankenhäuser), Hersteller medizinischer Geräte
- Trinkwasser: Versorgung und Verteilung
- Abwasser: Sammlung und Behandlung
- Digitale Infrastruktur: Internetknotenpunkte, DNS-Dienste, Top-Level-Domain-Registrierungen, Cloud-Dienste
- IKT-Dienstemanagement: Managed Services, Managed Security Services
- Öffentliche Verwaltung: Zentrale und regionale Behörden (mit Ausnahmen, z. B. Justiz)
- Raumfahrt: Betreiber von bodengebundenen Infrastrukturen für Raumfahrtsysteme
Anhang II: Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Industrie: Herstellung, Umschlag und Vertrieb von Chemikalien
- Lebensmittel: Produktion, Verarbeitung, Vertrieb (großflächig)
- Verarbeitendes Gewerbe/Fertigung: z. B. medizinische Geräte, Computer/Elektronik, Maschinenbau, Fahrzeugbau
- Digitale Diensteanbieter: Online-Marktplätze, Suchmaschinen, soziale Netzwerke
- Forschung: Forschungseinrichtungen mit kritischer Bedeutung
Die genauen Definitionen und Unterkategorien (z. B. „Elektrizitätsunternehmen“ oder „Flughafenbetreiber“) sind im Anhang der Richtlinie spezifiziert. Die Sektoren sind bewusst breit gefasst, und die nationale Umsetzung (in Deutschland durch das NIS2UmsuCG) kann zusätzliche Details oder Ausnahmen festlegen.
Was bedeutet die Einteilung in "wesentliche" und "wichtige" Einrichtungen?
Diese Klassifizierung bestimmt, wie streng die Anforderungen und möglichen Sanktionen sind. „Wesentliche Einrichtungen“ sind für die Gesellschaft besonders kritisch und unterliegen daher strengeren Auflagen als „wichtige Einrichtungen“.
Sind auch kleine Unternehmen mit weniger als 50 Mitarbeitern betroffen?
In der Regel nicht. Ausnahmen können jedoch für Unternehmen gelten, die in bestimmten hochkritischen Bereichen tätig sind oder spezifische kritische Dienstleistungen erbringen.
Welche konkreten Maßnahmen muss mein Unternehmen umsetzen?
Die wichtigsten Maßnahmen umfassen:
- Implementierung eines Cybersicherheitsrisikomanagements
- Sicherung der Lieferkette
- Erstellung von Geschäftskontinuitätsplänen
- Stärkung der Datensicherheit und Zugangskontrollen
- Einrichtung von Meldeverfahren für Sicherheitsvorfälle
- Entwicklung von Reaktionsplänen für Cybervorfälle
Innerhalb welcher Frist müssen Vorfälle gemeldet werden?
Nach derzeitigem Stand müssen „erhebliche Sicherheitsvorfälle“ (z.B. solche, die Dienste stark beeinträchtigen oder Daten gefährden) innerhalb von 24 Stunden initial gemeldet werden. Eine detailliertere Meldung muss dann innerhalb von 72 Stunden und ein Abschlussbericht spätestens einen Monat nach dem Vorfall erfolgen.
Kann ich als Geschäftsführer persönlich haftbar gemacht werden?
Ja, die NIS2-Richtlinie führt eine persönliche Haftung für Führungskräfte ein, wenn diese ihre Aufsichtspflichten im Bereich Cybersicherheit vernachlässigen.
Brauchen wir einen Cybersicherheitsbeauftragten?
Die NIS2-Richtlinie schreibt keinen speziellen Beauftragten vor, aber Sie benötigen klare Verantwortlichkeiten für Cybersicherheit in Ihrem Unternehmen. Je nach Größe und Komplexität kann ein dedizierter Beauftragter sinnvoll sein.
Müssen wir bestimmte Zertifizierungen erlangen?
Die NIS2-Richtlinie schreibt keine spezifischen Zertifizierungen vor, empfiehlt jedoch die Nutzung europäischer und internationaler Standards. Zertifizierungen wie ISO 27001 können helfen, die Anforderungen zu erfüllen und den Nachweis zu erleichtern.
Gelten besondere Regeln für Unternehmen, die bereits KRITIS-Anforderungen erfüllen?
Unternehmen, die bereits als Kritische Infrastrukturen (KRITIS) eingestuft sind, müssen sich dennoch mit den neuen NIS2-Anforderungen vertraut machen. Viele der bestehenden Maßnahmen werden wahrscheinlich übertragbar sein, aber es können zusätzliche Anforderungen hinzukommen.
Wie verhält sich NIS2 zu anderen Vorschriften wie der DSGVO oder der DORA-Verordnung?
NIS2 ergänzt bestehende Regelungen. Während die DSGVO den Schutz personenbezogener Daten regelt, konzentriert sich NIS2 auf die allgemeine Cybersicherheit und Netzwerksicherheit. Die DORA-Verordnung gilt speziell für den Finanzsektor und enthält ähnliche, aber sektorspezifische Anforderungen.
