1. Die europäische Richtlinie – Richtlinie (EU) 2022/2555 (NIS2)

Mit der NIS2-Richtlinie hat die Europäische Union den Rechtsrahmen für Cybersicherheit grundlegend modernisiert. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und verfolgt das Ziel, ein einheitlich hohes Cybersicherheitsniveau in allen EU-Mitgliedstaaten zu gewährleisten.

Ziele der NIS2

  • Stärkung der Cyber-Resilienz kritischer und wichtiger Einrichtungen
  • Vereinheitlichung der Sicherheitsanforderungen innerhalb der EU
  • Verbesserung der Zusammenarbeit zwischen Behörden
  • Klare Verantwortlichkeiten für Geschäftsleitungen
  • Deutlich verschärfte Bußgeldregelungen

Wer ist betroffen?

Die Richtlinie unterscheidet zwischen:

  • Wesentlichen Einrichtungen (Essential Entities)
  • Wichtigen Einrichtungen (Important Entities)

Betroffen sind u. a. Unternehmen aus Energie, Verkehr, Gesundheit, IT-Dienstleistungen, digitale Infrastrukturen, verarbeitendes Gewerbe, Lebensmittelproduktion, öffentliche Verwaltung und weitere Sektoren – sofern sie definierte Größen- und Relevanzkriterien erfüllen.

2. Das deutsche Umsetzungsgesetz – NIS-2-Umsetzungsgesetz

EU-Richtlinien gelten nicht unmittelbar, sondern müssen in nationales Recht überführt werden. In Deutschland erfolgt dies durch das NIS-2-Umsetzungsgesetz, das insbesondere das:

  • BSI-Gesetz (BSIG)
  • IT-Sicherheitsgesetz
  • weitere Fachgesetze
  • anpasst und erweitert.

Wesentliche Punkte der deutschen Umsetzung

  • Erweiterung des Kreises betroffener Unternehmen (voraussichtlich mehrere zehntausend Unternehmen in Deutschland)
  • Klare Meldepflichten bei Sicherheitsvorfällen
  • Persönliche Verantwortung der Geschäftsleitung
  • Hohe Bußgelder bei Verstößen
  • Stärkere Rolle des BSI als Aufsichts- und Prüfbehörde

3. Anforderungen des Gesetzes

Die NIS2 formuliert konkrete organisatorische und technische Anforderungen. Im Kern fordert sie ein systematisches Risikomanagement für Informationssicherheit.

Zentrale Anforderungen

  1. Risikomanagement für IT- und OT-Systeme
  2. Incident-Handling-Prozesse
  3. Business Continuity & Krisenmanagement
  4. Lieferketten- und Drittparteien-Sicherheit
  5. Sicherheit bei Beschaffung, Entwicklung und Wartung
  6. Schwachstellenmanagement
  7. Wirksamkeitskontrolle der Sicherheitsmaßnahmen
  8. Schulungen und Awareness-Maßnahmen
  9. Kryptographie und Verschlüsselung
  10. Zugriffsmanagement und Authentisierung (z. B. MFA)
  11. Meldepflichten bei erheblichen Vorfällen

Unternehmen müssen nachweisen können, dass diese Maßnahmen angemessen, dokumentiert und wirksam umgesetzt sind.

4. Maßnahmen zur Umsetzung im Unternehmen

Die praktische Umsetzung erfolgt typischerweise durch den Aufbau oder die Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS).

1. Aufbau eines strukturierten ISMS

  • Definition von Geltungsbereich und Verantwortlichkeiten
  • Festlegung einer Sicherheitsorganisation
  • Dokumentierte Leitlinien und Richtlinien

2. Durchführung einer Risikoanalyse

  • Identifikation von Informationswerten
  • Bewertung von Bedrohungen und Schwachstellen
  • Festlegung geeigneter Schutzmaßnahmen

3. Technische Sicherheitsmaßnahmen

  • Multi-Faktor-Authentisierung
  • Netzwerksegmentierung
  • Backup- und Wiederherstellungsstrategien
  • Monitoring und Logging
  • Patch- und Schwachstellenmanagement

4. Organisatorische Maßnahmen

  • Schulungen der Mitarbeitenden
  • Notfallübungen
  • Lieferantenbewertungen
  • Dokumentierte Prozesse für Incident Handling

5. Kontinuierliche Verbesserung

  • Interne Audits
  • Management-Reviews
  • Kennzahlen zur Wirksamkeitsmessung
  • Regelmäßige Anpassung an neue Bedrohungslagen

Fazit

Die NIS2 stellt keinen rein technischen Maßnahmenkatalog dar, sondern fordert ein ganzheitliches, risikobasiertes Sicherheitsmanagement mit klarer Managementverantwortung.

Für viele mittelständische Unternehmen bedeutet dies:

  • Einführung oder Professionalisierung eines ISMS
  • Strukturierte Risiko- und Lieferkettenbewertung
  • Nachweisbare Dokumentation aller Sicherheitsmaßnahmen

NIS2 ist damit nicht nur eine regulatorische Pflicht, sondern auch eine strategische Chance, die eigene Cyber-Resilienz nachhaltig zu stärken.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.