Mit NIS-2 werden die Sicherheitsanforderungen in der EU verschärft, um ein einheitliches und höheres Cybersecurity-Niveau zu gewährleisten. Besonders betroffen sind Unternehmen in kritischen und wichtigen Sektoren, die umfassendere Maßnahmen zu Cyber-Risikomanagement, Überwachung, Incident Response und Geschäftskontinuität umsetzen müssen. Zudem erweitert die Richtlinie den Kreis der betroffenen Organisationen erheblich. Eine zentrale Neuerung betrifft die Geschäftsleitung: Führungskräfte haften künftig stärker für Cybersicherheitsversäumnisse und sind verpflichtet, entsprechende Sicherheitsmaßnahmen in ihren Unternehmen zu implementieren.

Die NIS-2-Compliance wird somit für viele Unternehmen zur dringenden Herausforderung – frühzeitige Vorbereitung ist entscheidend, um rechtliche Risiken zu minimieren und die eigene Cyber-Resilienz nachhaltig zu stärken. Es ist davon auszugehen, dass die neue Bundesregierung die NIS-2 Richtlinie aufgrund ihrer zentralen Bedeutung für die Cybersicherheit Deutschlands zeitnah umsetzen wird.

NIS-2 – bis wann umsetzen?

Die neue euro­päische Richt­linie NIS-2 setzt klare Fris­ten: Unter­nehmen müs­sen bis Oktober 2024 ihre IT-Sicher­heits­maß­nahmen an die erwei­terten regula­torischen Anfor­derungen ange­passt haben. Je nach Branche und Einstu­fung als kriti­sche Infra­struktur oder wich­tiger Dienst­leister gelten indivi­duelle Pflich­ten. Die SECURAM Consulting GmbH unter­stützt Sie dabei, recht­zeitig zu handeln, Compliance-Risiken zu mini­mieren und Ihre IT-Systeme gezielt abzu­sichern.

Obwohl die euro­päische Frist am 17. Oktober 2024 ablief, wird das deut­sche Umset­zungs­gesetz (NIS2UmsuCG) voraus­sichtlich erst im zweiten Quartal 2025 in Kraft treten. Hand­lungs­bedarf besteht den­noch bereits jetzt – um recht­zeitig Vor­kehrungen zu treffen, IT-Risiken zu redu­zieren und Audit­fähig­keit sicher­zustellen.

Die NIS-2-Richtlinie („Network and Information Security Directive“) legt neue, strengere Vorschriften für Cybersicherheit und Informations-sicherheit in Unternehmen und Institutionen fest. Verabschiedet am 27. Dezember 2022, trat sie am 16. Januar 2023 in Kraft und musste bis Oktober 2024 eigentlich in den nationalen Rechtsrahmen der EU-Mitgliedsstaaten überführt werden. In Deutschland sollte die Umsetzung durch das geplante NIS-2-Umsetzungs- und Cybersicherheits-stärkungsgesetz (NIS-2UmsuCG) erfolgen, jedoch scheiterte dies Ende Januar 2025. Nach der Konsitution der neuen Bundesregierung ist davon auszugehen, dass die NIS-2 Richtlinie nun bis Mitte 2025 in den nationalen Rechtsrahmen überführt werden wird.

Dringlichkeit & Sanktionen

Trotz mehrfacher Verzögerungen der nationalen Umsetzung (Bundestagswahl, Referentenentwürfe) steht fest: die EU erwartet NIS‑2-konforme Maßnahmen unmittelbar nach Inkrafttreten im nationalen Recht. Selbst bei verspäteter Umsetzung (vermutlich im 3. Quartal 2025) drohen Unternehmen, die sich bis dahin nicht vorbereitet haben, erhebliche Risiken. Dazu gehören Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, Vertragsverletzungsverfahren der EU inklusive Sanktionen gegen Deutschland  und persönliche Haftung der Geschäftsführung bei Verstößen oder Unterlassen.
Mit dem aktuellen Referentenentwurf (Juni 2025) des Bundesinnenministeriums wird NIS‑2 zur Toppriorität erklärt. Die Richtlinie schreibt ausdrücklich vor: Geschäftsleitung und andere Führungskräfte müssen persönliche Verantwortung übernehmen für Risikoanalysen, Prozesse und Meldeverfahren. Insbesondere im Krisenfall (Incident Reporting, Frühwarnsysteme) riskieren Führungskräfte Führungshaftung, falls nachgewiesen wird, dass angemessene Maßnahmen unterblieben sind. Ihre Pflicht: Ein strukturiertes Cyber‑Risikomanagement etablieren – jetzt!

Die NIS-2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Während beide Kategorien unter die neuen Cybersicherheitsanforderungen fallen, unterliegen besonders wichtige Einrichtungen einer proaktiven behördlichen Aufsicht, während wichtige Einrichtungen nur reaktiv überwacht werden. Zudem sind die Sanktionen für Letztere geringer.

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen spezifische Anforderungen erfüllen, um die Cybersicherheit zu gewährleisten. Hierbei sind branchenspezifische Details zu beachten.

1.  Eine Gap-Analyse hilft dabei, bestehende Sicherheitslücken zu identifizieren und Maßnahmen zur Umsetzung der NIS2-Anforderungen gezielt zu planen. Wo steht Ihr Unternehmen zur NIS-2 Richtlinie und welchen handlungsbedarf gibt es?
2. Falls noch nicht geschehen gehört die Einführung eines Cybersicherheits-Risikomanagements zu den wichtigsten Maßnahmen. Risiken identifizieren, bewerten und mitigieren.
3. Technische und organisatorische Sicherheitsmaßnahmen umsetzen und dokumentieren.
4. Sicherheitsvorfälle müssen unverzüglich an die zuständige Behörde (BSI) gemeldet werden.
5. Regelmäßige Überprüfungen der Cybersicherheitsmaßnahmen und Berichterstattung an die zuständigen Behörden.

Ein Information Security Management System (ISMS) spielt eine zentrale Rolle bei der Umsetzung der NIS-2-Richtlinie, da es eine systematische und strukturierte Vorgehensweise zur Sicherstellung der Informationssicherheit und NIS-2-Compliance ermöglicht.

Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Es hilft Unternehmen dabei, Cyberrisiken zu identifizieren, zu bewerten und zu minimieren, wodurch sie widerstandsfähiger gegenüber Cyberangriffen und anderen Bedrohungen werden.

Die NIS-2-Richtlinie definiert spezifische Anforderungen an die IT-Sicherheit und das Risikomanagement, während die ISO 27001 als international anerkannter Standard einen ganzheitlichen Rahmen für Informationssicherheitsmanagement bietet. Durch die Implementierung eines ISMS nach ISO 27001 schaffen Unternehmen eine solide Grundlage, um die Anforderungen der NIS-2-Richtlinie zu erfüllen.
Ein ISMS ist unverzichtbar für Unternehmen, die unter die NIS-2-Regulierung fallen. Es bietet nicht nur eine strukturierte Methode zur Umsetzung der Anforderungen, sondern verbessert auch nachhaltig die Cyber-Resilienz und minimiert rechtliche sowie finanzielle Risiken.

Die NIS-2-Richtlinie verpflichtet Unternehmen und Organisationen dazu, erhebliche Sicherheitsvorfälle an die nationale Cybersicherheitsbehörde sowie – falls erforderlich – an betroffene Dienstempfänger zu melden. Die Meldung muss innerhalb klar definierter Fristen erfolgen:

1. Erste Meldung innerhalb von 24 Stunden nach Kenntnisnahme an das BSI
2. Ein ausführlicher Bericht innerhalb von 72 Stunden nach Kenntnisnahme
3. Fortschritts- oder Abschlussbericht spätestens einen Monat nach der Meldung