DE

|

NIS 2 Richtlinie: Neue Cybersicherheitsanforderungen

Mit dem Inkrafttreten des deutschen NIS‑2‑Umsetzungsgesetzes am 6. Dezember 2025 wurde das nationale Cybersicherheitsrecht umfassend modernisiert. Die Richtlinie reagiert auf die zunehmend angespannte Bedrohungslage in Europa, in der Cyberangriffe auf Unternehmen, kritische Infrastrukturen und staatliche Einrichtungen stark zugenommen haben.

In Deutschland sind künftig rund 30.000 Unternehmen verpflichtet, die neuen Anforderungen umzusetzen. Betroffenen sind nicht nur klassische Betreiber kritischer Infrastrukturen, sondern auch zahlreiche mittelständische Unternehmen, die bislang nicht von Cybersicherheitsregulierung erfasst waren.

Da lediglich eine kurze Übergangsfrist bis zum 6. März 2026 besteht, ist sofortiges Handeln erforderlich.

Anwendungsbereich der Richtlinie

Die NIS‑2‑Richtlinie erweitert den Kreis der betroffenen Einrichtungen erheblich. Entscheidend sind sowohl Branche als auch Schwellenwerte hinsichtlich Unternehmensgröße und Finanzkennzahlen. Die Richtlinie unterscheidet dabei zwischen besonders wichtigen und wichtigen Einrichtungen:

Ein Unternehmen gilt als besonders wichtige Einrichtung, wenn es mehr als 250 Mitarbeiter hat oder wenn es mehr als 50 Mio. Euro Jahresumsatz und mehr als 43 Mio. Euro Jahresbilanzsumme erzielt. Zu den Branchen besonders wichtiger Einrichtungen gehören: Energiewirtschaft, Verkehrswesen, Finanz- und Versicherungswesen, Wasserwirtschaft, IT- und Telekommunikation, Gesundheitswesen, öffentliche Verwaltung sowie die Raumfahrt.

Ein Unternehmen gilt als wichtige Einrichtung, wenn es mehr als 50 Mitarbeiter hat oder wenn es mehr als 10 Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme erzielt. Zu den Branchen wichtiger Einrichtungen zählen: Abfallwirtschaft, Postwesen, Forschungseinrichtungen, Lebensmittel, verarbeitendes Gewerbe bzw. Herstellung sowie digitale Dienste.

Eine mittelbare Betroffenheit kann ebenfalls vorliegen, insbesondere wenn ein Unternehmen einen wesentlichen Bestandteil einer kritischen Lieferkette darstellt.

Eine erste Orientierung für die Prüfung, ob das eigene Unternehmen in den Anwendungsbereich der NIS 2 Richtlinie fällt, bietet die BSI‑Betroffenheitsprüfung, die online auf der Webseite des BSI (https://betroffenheitspruefung-nis-2.bsi.de) bereitgestellt wird.

Zentrale Pflichten für betroffene Unternehmen

Alle betroffenen Unternehmen müssen sich bis spätestens 6. März 2026 im neuen BSI‑Portal registrieren.

Die Unternehmen müssen ein umfangreiches Risikomanagement einführen sowie technische und organisatorische Schutzmaßnahmen umsetzen. Zu den verpflichtenden Elementen zählen insbesondere:

  • Risikoanalyse der gesamten IT-Infrastruktur,
  • Überprüfung und Absicherung der IT-Sicherheit in der Lieferkette,
  • Umsetzung angemessener technischer Schutzmaßnahmen,
  • Erstellung von Notfall‑ und Wiederanlaufkonzepten,
  • Regelmäßige IT-Sicherheitsschulungen für die Mitarbeiter,
  • Fortlaufendes Sicherheitsmonitoring.

IT‑Sicherheitsvorfälle müssen in einem dreistufigen Verfahren gemeldet werden:

  • Erstmeldung innerhalb 24 Stunden,
  • Update-Meldung innerhalb von 72 Stunden,
  • Abschlussmeldung innerhalb eines Monats.

Die Einhaltung der NIS -2-Anforderungen muss fortlaufend dokumentiert werden. Ebenso sind unabhängige Überprüfungen möglich.

Haftung und Sanktionen

Bei Nichteinhaltung der Vorgaben sieht die NIS‑2‑Richtlinie empfindliche Sanktionen vor. Verstöße können zu erheblichen Bußgeldern (bis zu 2% des weltweiten Jahresumsatzes) sowie zur persönlichen Haftung der Geschäftsleitung bei Organisations‑ und Aufsichtsversäumnissen führen. Ebenso kommen strafrechtliche Konsequenzen für die Geschäftsleitung in Betracht.

Konkrete Handlungshinweise

Unternehmen sollten zeitnah folgende Schritte prüfen und einleiten:

  • Betroffenheit prüfen, ggf. mithilfe des BSI‑Tools.
  • Interne Verantwortlichkeiten festlegen und die IT‑Sicherheit als strategisches Führungsthema verankern.
  • Bestehende Sicherheitsstrukturen hinsichtlich der neuen Anforderungen analysieren.
  • Lieferketten und vertragliche Verpflichtungen im Hinblick auf IT-Sicherheitsanforderungen überprüfen.
  • Meldeprozesse sowie Notfall‑ und Kommunikationsabläufe verbindlich einrichten.
  • Schulungen und Governance‑Maßnahmen implementieren.

Fazit

Die NIS‑2‑Richtlinie stellt einen bedeutenden Wandel im deutschen Cybersicherheitsrecht dar. Aufgrund des erweiterten Anwendungsbereichs, der strengen Pflichten und der verschärften Sanktionsmechanismen ist eine frühzeitige, strukturierte und dokumentierte Umsetzung zwingend erforderlich.

Ein Beitrag von Christopher Schibbe

Cookie Einstellungen

Diese Webseite verwendet Cookies, um bestimmte Funktionen zu ermöglichen und unser Online-Angebot zu verbessern. Indem Sie fortfahren, stimmen Sie der Nutzung von Cookies zu.

Mehr über die genutzten Cookies erfahren
Cookie optin by Olli machts