NIS-2 (Network Information Security)
Wichtige Informationen zu NIS-2
Mit NIS-2 werden die Sicherheitsanforderungen in der EU verschärft, um ein einheitliches und höheres Cybersecurity-Niveau zu gewährleisten. Besonders betroffen sind Unternehmen in kritischen und wichtigen Sektoren, die umfassendere Maßnahmen zu Cyber-Risikomanagement, Überwachung, Incident Response und Geschäftskontinuität umsetzen müssen. Zudem erweitert die Richtlinie den Kreis der betroffenen Organisationen erheblich. Eine zentrale Neuerung betrifft die Geschäftsleitung: Führungskräfte haften künftig stärker für Cybersicherheitsversäumnisse und sind verpflichtet, entsprechende Sicherheitsmaßnahmen in ihren Unternehmen zu implementieren.
Die NIS-2-Compliance wird somit für viele Unternehmen zur dringenden Herausforderung – frühzeitige Vorbereitung ist entscheidend, um rechtliche Risiken zu minimieren und die eigene Cyber-Resilienz nachhaltig zu stärken. Es ist davon auszugehen, dass die neue Bundesregierung die NIS-2 Richtlinie aufgrund ihrer zentralen Bedeutung für die Cybersicherheit Deutschlands zeitnah umsetzen wird.
NIS-2 – bis wann umsetzen?
Die neue europäische Richtlinie NIS-2 setzt klare Fristen: Unternehmen müssen bis Oktober 2024 ihre IT-Sicherheitsmaßnahmen an die erweiterten regulatorischen Anforderungen angepasst haben. Je nach Branche und Einstufung als kritische Infrastruktur oder wichtiger Dienstleister gelten individuelle Pflichten. Die SECURAM Consulting GmbH unterstützt Sie dabei, rechtzeitig zu handeln, Compliance-Risiken zu minimieren und Ihre IT-Systeme gezielt abzusichern.
Obwohl die europäische Frist am 17. Oktober 2024 ablief, wird das deutsche Umsetzungsgesetz (NIS2UmsuCG) voraussichtlich erst im zweiten Quartal 2025 in Kraft treten. Handlungsbedarf besteht dennoch bereits jetzt – um rechtzeitig Vorkehrungen zu treffen, IT-Risiken zu reduzieren und Auditfähigkeit sicherzustellen.
NIS-2-Timeline
Die NIS-2-Richtlinie („Network and Information Security Directive“) legt neue, strengere Vorschriften für Cybersicherheit und Informations-sicherheit in Unternehmen und Institutionen fest. Verabschiedet am 27. Dezember 2022, trat sie am 16. Januar 2023 in Kraft und musste bis Oktober 2024 eigentlich in den nationalen Rechtsrahmen der EU-Mitgliedsstaaten überführt werden. In Deutschland sollte die Umsetzung durch das geplante NIS-2-Umsetzungs- und Cybersicherheits-stärkungsgesetz (NIS-2UmsuCG) erfolgen, jedoch scheiterte dies Ende Januar 2025. Nach der Konsitution der neuen Bundesregierung ist davon auszugehen, dass die NIS-2 Richtlinie nun bis Mitte 2025 in den nationalen Rechtsrahmen überführt werden wird.
Dringlichkeit & Sanktionen
Trotz mehrfacher Verzögerungen der nationalen Umsetzung (Bundestagswahl, Referentenentwürfe) steht fest: die EU erwartet NIS‑2-konforme Maßnahmen unmittelbar nach Inkrafttreten im nationalen Recht. Selbst bei verspäteter Umsetzung (vermutlich im 3. Quartal 2025) drohen Unternehmen, die sich bis dahin nicht vorbereitet haben, erhebliche Risiken. Dazu gehören Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, Vertragsverletzungsverfahren der EU inklusive Sanktionen gegen Deutschland und persönliche Haftung der Geschäftsführung bei Verstößen oder Unterlassen.
Mit dem aktuellen Referentenentwurf (Juni 2025) des Bundesinnenministeriums wird NIS‑2 zur Toppriorität erklärt. Die Richtlinie schreibt ausdrücklich vor: Geschäftsleitung und andere Führungskräfte müssen persönliche Verantwortung übernehmen für Risikoanalysen, Prozesse und Meldeverfahren. Insbesondere im Krisenfall (Incident Reporting, Frühwarnsysteme) riskieren Führungskräfte Führungshaftung, falls nachgewiesen wird, dass angemessene Maßnahmen unterblieben sind. Ihre Pflicht: Ein strukturiertes Cyber‑Risikomanagement etablieren – jetzt!
Die Richtlinie (EU) 2022/2555, auch bekannt als NIS-2-Richtlinie, wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Sie zielt darauf ab, ein einheitlich hohes Niveau der Cybersicherheit innerhalb der EU zu gewährleisten. Die Richtlinie ersetzt die bisherige NIS-Richtlinie (EU) 2016/1148 und bringt umfassende Neuerungen und verschärfte Anforderungen für Unternehmen und Organisationen in kritischen und wichtigen Sektoren mit sich.
Zudem ändert die NIS-2-Richtlinie die Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) sowie die Richtlinie (EU) 2018/1972 (Europäischer Kodex für elektronische Kommunikation). Die Umsetzung in nationales Recht muss bis spätestens Oktober 2024 erfolgen, wodurch Unternehmen in der EU neue Verpflichtungen im Bereich Cybersicherheit, Risikomanagement und Incident Response erhalten.
Die NIS-2 Richtlinie tritt am 16. Januar 2023 in Kraft.
Die NIS-2-Richtlinie hätte bis zum 18. Oktober 2024 in nationales Recht überführt werden müssen. Das Bundesministerium des Innern und für Heimat (BMI) legte hierzu bereits im Juli 2023 einen ersten Referentenentwurf vor. Nach einem Werkstattgespräch und weiteren Überarbeitungen wurde am 7. Mai 2024 der endgültige Referentenentwurf veröffentlicht, gefolgt vom Regierungsentwurf am 24. Juli 2024.
Hochrechnungen zufolge werden rund 30.000 deutsche Unternehmen und Institutionen von den neuen Anforderungen betroffen sein – deutlich mehr als unter der bisherigen NIS-Richtlinie. Deutschland hat aber die gesetzliche Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten.
Der von der Bundesregierung vorgelegte Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie (Drucksache 20/13184), der gleichzeitig die Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beinhaltet, wurde am 4. November 2024 im Rahmen einer öffentlichen Anhörung des Innenausschusses kritisch diskutiert.
Die NIS-2-Richtlinie soll laut Bundesregierung ein einheitlich hohes Cybersicherheitsniveau für Verwaltung und Wirtschaft in der gesamten EU gewährleisten. Die anwesenden Sachverständigen betonten die Dringlichkeit einer schnellen Umsetzung, kritisierten jedoch insbesondere die Ausnahmeregelungen für staatliche Verwaltungen.
Zudem wurde gefordert, dass das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz enger mit dem KRITIS-Dachgesetz verzahnt wird, um Widersprüche und Unsicherheiten zu vermeiden. Auch die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bedarf laut Experten einer klareren Definition, um eine effektive Umsetzung der neuen Cybersicherheitsanforderungen sicherzustellen.
Die NIS-2 Umsetzung scheiterte Ende Januar 2025 erneut. Nach den Neuwahlen des Bundestages am 23. Februar 2025 müssen alle noch nicht verabschiedeten Gesetzentwürfe neu eingebracht und beraten werden. Die Umsetzung von NIS-2 in Deutschland ist daher nicht vor dem zweiten Quartal 2025 zu erwarten. Zudem bleibt der Zeitplan für die notwendigen Rechtsverordnungen zur Umsetzung weiterhin unklar.
Haben Sie weitere Fragen zu NIS-2?
Kontaktieren Sie uns. Wir helfen Ihnen bei Fragen gerne weiter.
NIS-2 Betroffenheit prüfen
Wichtig zu wissen: Die zuständigen Behörden informieren Unternehmen nicht proaktiv darüber, ob die NIS-2-Richtlinie für sie gilt. Jede Organisation muss eigenständig prüfen, ob sie unter die Regelungen fällt. Dabei sind sowohl branchenspezifische Kriterien als auch Unternehmensgröße entscheidend. Unternehmen mit einem bedeutenden Marktanteil in einem bestimmten Sektor können aufgrund ihrer Größe sogar als „wesentliche Einrichtungen“ eingestuft werden, was strengere Anforderungen nach sich zieht.
Wofür steht die SECURAM Consulting?
Expertise und Know-How in den Regulariken der IT-Security und Informationssicherheit
Konstruktive & vertrauensvolle Zusammenarbeit
Verantwortung übernehmen & Sicherheit leben
Hands-on beim Aufbau von IT-Security & Informationssicherheit
Sicherheitsziele systematisch definieren, umsetzen & im Alltag leben
Übersicht zu den NIS-2 Anforderungen
Die NIS-2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Während beide Kategorien unter die neuen Cybersicherheitsanforderungen fallen, unterliegen besonders wichtige Einrichtungen einer proaktiven behördlichen Aufsicht, während wichtige Einrichtungen nur reaktiv überwacht werden. Zudem sind die Sanktionen für Letztere geringer.
Erweiterter Anwendungsbereich und einheitliche Kriterien
Um eine einheitliche Umsetzung in der EU zu gewährleisten, gibt es keine national unterschiedlichen Mindestschwellenwerte mehr. Die Betroffenheit wird nun anhand einheitlicher Kriterien festgelegt:
- Mittlere Unternehmen (Medium): 50–249 Beschäftigte oder 10–50 Mio. EUR Umsatz, Bilanzsumme unter 43 Mio. EUR
- Große Unternehmen (Large): mindestens 250 Beschäftigte oder mindestens 50 Mio. EUR Umsatz
Diese neuen Schwellenwerte führen zu einer erheblichen Ausweitung des Anwendungsbereichs in Deutschland, wodurch deutlich mehr Unternehmen den regulatorischen Vorgaben unterliegen.
Strengere Sanktionen und erweiterte Haftung
Unternehmen, die den Anforderungen nicht nachkommen, müssen mit empfindlichen Bußgeldern rechnen:
- Besonders wichtige Einrichtungen: bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes (je nachdem, welcher Betrag höher ist)
- Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes (höherer Betrag ist maßgeblich)
Zusätzlich verlangt die Richtlinie, dass betroffene Unternehmen umfassende Maßnahmen in beispielsweise folgenden Bereichen umsetzen:
- Cyber-Risikomanagement
- Sicherheit in der Lieferkette
- Business Continuity Management (BCM)
- Verschlüsselung und
- Zugriffsbeschränkungen
- Pflicht zur Meldung von Sicherheitsvorfällen
Persönliche Haftung der Geschäftsleitung
Besonders brisant: Nach dem Entwurf des Bundesinnenministeriums haften Leitungsorgane von Unternehmen persönlich für die Einhaltung der Risikomanagementmaßnahmen. Diese Haftung kann sich auf bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens belaufen.
Die NIS-2-Richtlinie bringt damit nicht nur eine Verschärfung der Cybersecurity-Verpflichtungen, sondern auch eine erhebliche Erhöhung der persönlichen Haftungsrisiken für Unternehmensverantwortliche.
Konsequenzen für Geschäftsführer
Falls ein unzureichend überwachtes Risikomanagement zu einem Cyberangriff mit betriebseinschränkenden Auswirkungen führt, kann dies erhebliche finanzielle Konsequenzen haben. Kostenpositionen umfassen unter anderem:
- Lösegeldzahlungen bei Ransomware-Angriffen
- Kosten für externe IT-Forensik und Wiederherstellungsmaßnahmen
- Bußgelder für Verstöße gegen die DSGVO oder das BSIG
Besonders kritisch: Geschäftsleiter haften für entstandene Schäden, wenn sie ihre Überwachungspflichten verletzt haben.
Keine Möglichkeit zur Haftungsbegrenzung
Unternehmen können nicht auf Ersatzansprüche gegen die Geschäftsleitung verzichten. Darüber hinaus sind Vergleiche über Schadensersatzansprüche der Geschäftsleitung ebenfalls unwirksam.
Eine Ausnahme besteht nur, wenn entweder die Leitungsperson zahlungsunfähig ist, oder die Ersatzpflicht in einem Insolvenzplan geregelt wird.
Was können von NIS-2 betroffene Unternehmen tun?
Unternehmen, die unter die NIS2-Richtlinie fallen, müssen spezifische Anforderungen erfüllen, um die Cybersicherheit zu gewährleisten. Hierbei sind branchenspezifische Details zu beachten.
- Eine Gap-Analyse hilft dabei, bestehende Sicherheitslücken zu identifizieren und Maßnahmen zur Umsetzung der NIS2-Anforderungen gezielt zu planen. Wo steht Ihr Unternehmen zur NIS-2 Richtlinie und welchen handlungsbedarf gibt es?
- Falls noch nicht geschehen gehört die Einführung eines Cybersicherheits-Risikomanagements zu den wichtigsten Maßnahmen. Risiken identifizieren, bewerten und mitigieren.
- Technische und organisatorische Sicherheitsmaßnahmen umsetzen und dokumentieren.
- Sicherheitsvorfälle müssen unverzüglich an die zuständige Behörde (BSI) gemeldet werden.
- Regelmäßige Überprüfungen der Cybersicherheitsmaßnahmen und Berichterstattung an die zuständigen Behörden.
Wie kann SECURAM Consulting bei NIS-2 helfen?
Die GAP-Analyse steht im Regelfall am Anfang und hilft Unternehmen zu bestimmen, welche Handlungsfelder existieren und wie das eigene Unternehmen aufgestellt ist.
Zusammen mit dem Kunden werden systematische Maßnahmen geplant und umgesetzt. Die Expertise der SECURAM Consulting hilft die identifizierten Lücken systematisch zu schließen.
Aufbau und Dokumentation münden final in gelebte Sicherheitsprozessen, mit denen Unternehmen die eigene Sicherheit im Firmenalltag signifikant verbessern können.
Die Rolle eines ISMS bei der Umsetzung von NIS-2
Ein Information Security Management System (ISMS) spielt eine zentrale Rolle bei der Umsetzung der NIS-2-Richtlinie, da es eine systematische und strukturierte Vorgehensweise zur Sicherstellung der Informationssicherheit und NIS-2-Compliance ermöglicht.
Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Es hilft Unternehmen dabei, Cyberrisiken zu identifizieren, zu bewerten und zu minimieren, wodurch sie widerstandsfähiger gegenüber Cyberangriffen und anderen Bedrohungen werden.
NIS-2 Start in Q2/Q3 2025
Der umfangreiche Prüfkatalog der NIS-2 , welcher im Rahmen der NIS-2-GAP-Analyse abgefragt wird und die daraus abzuleitenden Maßnahmen sollten nicht unterschätzt werden, da häufig auch neue Prozesse im Unternehmen etaliert und dokumentiert werden müssen. Auch kann es zu erhöhten Haftungsrisiken kommen, wenn die Umsetzung von NIS-2 auf Unternehmensseite verzögert wird.
NIS-2 & ISO 27001
Die NIS-2-Richtlinie definiert spezifische Anforderungen an die IT-Sicherheit und das Risikomanagement, während die ISO 27001 als international anerkannter Standard einen ganzheitlichen Rahmen für Informationssicherheitsmanagement bietet. Durch die Implementierung eines ISMS nach ISO 27001 schaffen Unternehmen eine solide Grundlage, um die Anforderungen der NIS-2-Richtlinie zu erfüllen.
Ein ISMS ist unverzichtbar für Unternehmen, die unter die NIS-2-Regulierung fallen. Es bietet nicht nur eine strukturierte Methode zur Umsetzung der Anforderungen, sondern verbessert auch nachhaltig die Cyber-Resilienz und minimiert rechtliche sowie finanzielle Risiken.
Meldepflicht von Sicherheitsvorfällen gemäß NIS-2
Die NIS-2-Richtlinie verpflichtet Unternehmen und Organisationen dazu, erhebliche Sicherheitsvorfälle an die nationale Cybersicherheitsbehörde sowie – falls erforderlich – an betroffene Dienstempfänger zu melden. Die Meldung muss innerhalb klar definierter Fristen erfolgen:
- Erste Meldung innerhalb von 24 Stunden nach Kenntnisnahme an das BSI
- Ein ausführlicher Bericht innerhalb von 72 Stunden nach Kenntnisnahme
- Fortschritts- oder Abschlussbericht spätestens einen Monat nach der Meldung
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat verabschiedet. Sie verfolgt das Ziel, das gemeinsame Cybersicherheitsniveau in der EU deutlich zu erhöhen. Dafür legt sie strengere Anforderungen an Sicherheitsvorkehrungen, Meldepflichten und das Risikomanagement fest – und weitet den Geltungsbereich im Vergleich zur ursprünglichen NIS-Richtlinie deutlich aus. So soll die digitale Resilienz kritischer und wichtiger Einrichtungen europaweit gestärkt werden.
Wen betrifft die NIS-2-Richtlinie?
Die NIS-2-Richtlinie gilt für deutlich mehr Unternehmen als ihr Vorgänger. Sie betrifft neben Betreibern kritischer Infrastrukturen (z. B. Energie, Verkehr, Gesundheit) auch viele „wichtige Einrichtungen“ wie IT-Dienstleister, Telekommunikationsunternehmen, Hersteller, Lebensmittelunternehmen oder große Online-Dienste. Entscheidend sind unter anderem die Unternehmensgröße, Branche und potenzielle Auswirkungen auf die Versorgungssicherheit oder öffentliche Ordnung.
Welche Anforderungen stellt die NIS-2-Richtlinie an Unternehmen?
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen umfangreiche Maßnahmen zur IT-Sicherheit umsetzen. Dazu gehören unter anderem ein systematisches Risikomanagement, technische und organisatorische Schutzmaßnahmen, klare Verantwortlichkeiten im Sicherheitsbereich sowie Meldepflichten bei schwerwiegenden Sicherheitsvorfällen – meist innerhalb von 24 Stunden. Verstöße können zu erheblichen Bußgeldern führen.
Wichtige Fragen für Unternehmen zu NIS-2
Klären Sie zeitnah, ob die NIS-2 Richtlinie Ihr Unternehmen betroffen sind. Die NIS-2 Betroffenheitsprüfung hilft zu verstehen, ob Ihr Unternehmen zu den geschätzten 30.000 deutschen Unternehmen gehört, die von NIS-2 betroffen sind.
Falls Ihr Unternehmen betroffen ist, müssen Sie anschließend klären, in welchen Umfang Ihr Unternehmen von der NIS-2 Richtlinie betroffen ist.
Kontakt
Neue ABC-Straße 8
20354 Hamburg
040 2984553-0
contact@securam-consulting.com