Die NIS2-Richtlinie

Zusammenfassung auf einen Blick

Wer sich einen ersten Überblick über die NIS2-Richtlinie verschaffen möchte, wird mit Informationen überflutet. Für einen einfachen und kompakten Einstieg ins Thema finden Sie hier eine Zusammenstellung der wichtigsten Fakten rund um NIS2.

Was ist NIS2?

Die NIS2 löst die NIS1 ab, die bereits seit 2016 Unternehmen der kritischen Infrastruktur zur Einhaltung von Cybersicherheitsstandards verpflichtet. Im Vergleich zu ihrem Vorgänger erweitert die NIS2-Richtlinie deutlich den Kreis der betroffenen Unternehmen, verstärkt die regulatorischen Pflichten und intensiviert die behördliche Überwachung.

Was sind die Ziele der EU-Richtlinie?

Die fortschreitende Digitalisierung hat zu einer länderübergreifenden Bedrohungslage im Bereich der Cybersicherheit geführt. Mit der Einführung der NIS2-EU-Richtlinie wurden die bisherigen Regelungen erweitert, um die Cyberresilienz sowohl im öffentlichen als auch im privaten Sektor zu stärken und die Handlungsfähigkeit der Behörden in der gesamten EU zu verbessern. Die Hauptziele dieser EU-weiten Gesetzgebung lassen sich wie folgt zusammenfassen:

  • Die Mitgliedstaaten der EU sollen besser für den Umgang mit Cyberbedrohungen ausgestattet sein.
  • Die Zusammenarbeit und der Informationsaustausch zwischen den Mitgliedstaaten sollen intensiviert werden.
  • In allen Schlüsselsektoren, die für Wirtschaft und Gesellschaft von zentraler Bedeutung sind, soll eine durchgängige Sicherheitskultur etabliert werden.

Welche Frist gilt für die Umsetzung der NIS2-Richtlinie?

Ursprünglich sollte die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umgesetzt sein. Deutschland wird diesen Termin jedoch nicht einhalten können. Der erste offizielle Referentenentwurf wurde im Mai 2024 veröffentlicht, gefolgt von einer Verbändeanhörung und weiteren Entwürfen. Der Gesetzentwurf zur Umsetzung wurde am 24. Juli 2024 vom Bundeskabinett beschlossen. Aktuell wird von einer Verzögerung von etwa 3 bis 6 Monaten ausgegangen, sodass das NIS2UmsuCG voraussichtlich Anfang 2025 in Kraft treten wird. Unternehmen sollten sich auf diese zeitlichen Verschiebungen einstellen und frühzeitig mit der Vorbereitung beginnen, um den neuen Anforderungen rechtzeitig gerecht zu werden.

Cybersecurity

Wer gehört zu den betroffenen Unternehmen?

Die NIS2-EU-Richtlinie definiert 18 Sektoren, die jeweils in wesentliche und wichtige Einrichtungen eingeteilt sind.

Wesentliche Sektoren der NIS 2 Richtlinie

  • Gesundheitswesen
  • Energiesektor
  • Trinkwasserversorgung
  • Banken
  • Finanzmarktinfrastrukturwesen
  • Digitale Infrastruktur
  • Weitere Gesundheitsbereiche (Pharmaunternehmen, kritische Medizinprodukte)
  • Verkehr
  • Abwasser
  • Raumfahrt
  • IKCT-Anbieter (B2B)
  • Öffentliche Verwaltung

Wichtige Sektoren als kritische Einrichtungen

  • Chemikalien
  • Lebensmittel
  • Verarbeitendes Gewerbe: Hersteller kritischer Waren (z. B. PC, Automobile, Maschinenbau)
  • Post- und Kurierdienstleister
  • Abfallentsorgung
  • Forschung

 

Das sind die NIS-2 Anforderungen auf einen Blick

Im Wesentlichen definiert die NIS2 EU- Richtlinie vier Anforderungen, die Unternehmen bis zur Fristsetzung umsetzen müssen.

  1. Registrierungspflicht bei der nationalen Behörde
    Alle betroffenen Unternehmen müssen sich beim BSI als „verpflichtende Institution“ registrieren.

     

  2. Einrichtung einer Risikobewertung und eines Risikomanagements
    Die NIS2-Richtlinie definiert konkret 10 Maßnahmen, mit denen sie ihre Cyberresilienz stärken sollen. Dazu gehört beispielsweise ein Konzept für die Risikoanalyse, die Einrichtung eines Business Continuity Managements und den Einsatz von Verschlüsselungstechnologien.
  3. Meldepflichten bei einem Sicherheitsvorfall
    Im Falle eines Cyberangriffs muss eine Meldung an die Behörde erfolgen. Eine Frühwarnung muss bereits innerhalb von 24 Stunden erfolgen.
  4. Überwachungspflicht der Geschäftsleitung
    NIS2 nimmt die Geschäftsführung und den Vorstand persönlich in die Pflicht. Wird die NIS2-Richtlinie nicht pünktlich oder vollständig umgesetzt, haften die Verantwortlichen persönlichen.

Besondere Anforderungen der NIS2-Richtlinie an die Lieferkette

Eine Besonderheit der NIS-2 Richtlinie besteht darin, dass sie die Anforderungen an die Cybersicherheitsstandards auch auf ihre Lieferanten und Geschäftspartner ausdehnt. Dies ist besonders wichtig, da ein Angriff auf die Lieferkette den Angreifern potenziell Zugang zu den Netzwerken von Kunden und Partnern ermöglichen kann. Je nach Art der Produkte oder Dienstleistungen, die ein Lieferant bereitstellt, können zuständige Behörden im Einzelfall auch den Nachweis einer Cybersicherheitszertifizierung verlangen.

Welche Strafen drohen bei Nichteinhaltung?

Unternehmen, die die neuen Regelungen der NIS2-Richtlinie nicht beachten oder diese nicht korrekt bzw. vollständig umsetzen, setzen sich erheblichen Risiken aus. Es sind für Verstöße gegen die NIS2-Richtlinie in Deutschland Geldstrafen von bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes des Unternehmens vorgesehen. Bei besonders gravierenden Verstößen können die Strafen sogar auf bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes ansteigen. In beiden Fällen wird der jeweils höhere Betrag angewendet.

Umsetzung der NIS2-Richtlinie mit BREKOM

Die meisten mittelständischen Unternehmen haben weder das Know-how noch die Expertise, um die Anforderungen der NIS2-Richtlinie pünktlich und korrekt zu implementieren. BREKOM hat sich auf die IT-Security für mittelständische Produktionsunternehmen spezialisiert. Wir bieten zeit- und budgetschonende Lösungen für Ihre NIS2-Konformität.

Cybersecurity

Beitrag teilen:

FAQ: Ihre häufigen Fragen zur NIS2 Richtlinie und der Umsetzung in Deutschland

Wer überwacht die Einhaltung der NIS2 Richtlinie in Deutschland?

Die Einhaltung der NIS2-Richtlinie wird durch nationale Aufsichtsbehörden überwacht, die für die Durchsetzung der neuen Regeln zuständig sind. In Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) als zentrale Stelle definiert.

Wie kann sich die Umsetzung der NIS2-Richtlinie in meinem Unternehmen strategisch angehen?

Im ersten Schritt bietet BREKOM Ihnen ein NIS2-Assessment an, indem ihre NIS2-Betroffenheit geprüft wird. Anschließend erarbeiten unsere Experten einen Umsetzungsplan. Wir begleiten Sie anschließend durch alle Schritte bis zur NIS2-Konformität und bleiben dauerhaft Ihr Ansprechpartner für einen sicheren NIS2-Betrieb.

Das könnte Sie auch interessieren:

Cybersecurity

NIS2 – Checkliste

NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich

Weiterlesen >
Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.