NIS2: Was Unternehmen jetzt konkret tun müssen

Mit der NIS2-Richtlinie hat die Europäische Union den Rahmen für Cybersicherheitsanforderungen grundlegend erweitert. Was bisher vor allem für Betreiber kritischer Infrastrukturen galt, trifft nun einen erheblich größeren Kreis von Unternehmen — darunter zahlreiche mittelständische Betriebe, die sich bislang nicht als regulierungsrelevant betrachtet haben.

Wen betrifft NIS2?

Die Richtlinie unterscheidet zwischen zwei Kategorien: wesentliche Einrichtungen und wichtige Einrichtungen. Entscheidend sind dabei Branchenzugehörigkeit, Unternehmensgröße und gesellschaftliche Bedeutung.

Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz aus einer der geregelten Branchen fallen in der Regel in den Anwendungsbereich. Betroffen sind unter anderem Unternehmen aus den Bereichen Energie, Transport, Gesundheitswesen, digitale Infrastruktur, verarbeitendes Gewerbe sowie Anbieter von IKT-Diensten.

Auch wenn Ihr Unternehmen selbst nicht direkt betroffen ist, kann es relevant sein: Wer als Zulieferer oder Dienstleister für ein NIS2-pflichtiges Unternehmen tätig ist, muss damit rechnen, dass entsprechende Sicherheitsanforderungen vertraglich weitergegeben werden.

Was NIS2 konkret fordert

Die Anforderungen der Richtlinie lassen sich in vier zentrale Bereiche gliedern:

Risikomanagement und Governance

Unternehmen müssen ein angemessenes Risikomanagement für Cybersicherheit etablieren. Das bedeutet: systematische Risikoidentifikation, dokumentierte Sicherheitsrichtlinien und eine klare Verantwortlichkeit auf Führungsebene. Die Geschäftsleitung trägt persönliche Verantwortung für die Umsetzung — eine Delegation allein auf die IT-Abteilung ist nach NIS2 nicht ausreichend.

Technische und organisatorische Sicherheitsmaßnahmen

Konkret werden Maßnahmen in folgenden Bereichen erwartet: Zugangskontrolle und Identitätsmanagement, Netzwerksicherheit, Verschlüsselung sensibler Daten, sicheres Schwachstellenmanagement sowie Maßnahmen zur Absicherung der Lieferkette. Hierbei geht es nicht um Perfektion, sondern um einen nachweisbaren, systematischen Ansatz.

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden — zunächst als Frühwarnung, innerhalb von 72 Stunden als vollständige Meldung. Was als erheblicher Vorfall gilt, ist gesetzlich definiert und umfasst unter anderem Vorfälle, die Dienste, Daten oder Systeme anderer Unternehmen oder Personen beeinträchtigen können.

Business Continuity

Unternehmen müssen sicherstellen, dass sie im Falle eines Sicherheitsvorfalls handlungsfähig bleiben. Das umfasst Backup-Konzepte, Wiederherstellungsverfahren und Krisenmanagementpläne. Regelmäßige Tests dieser Pläne gehören dazu.

Was passiert bei Nichteinhaltung?

NIS2 sieht empfindliche Bußgelder vor: Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Daneben gibt es Aufsichts- und Prüfbefugnisse für nationale Behörden sowie die Möglichkeit, Managementpersonen persönlich in die Pflicht zu nehmen.

Ein pragmatischer Ansatz für den Mittelstand

Viele mittelständische Unternehmen stehen vor der Herausforderung, dass sie die notwendigen Ressourcen für ein umfassendes Compliance-Projekt nicht intern vorhalten. Der entscheidende erste Schritt ist eine ehrliche Bestandsaufnahme: Was ist bereits vorhanden? Wo bestehen die größten Lücken? Welche Maßnahmen haben das beste Verhältnis von Aufwand zu Wirkung?

Eine vollständige NIS2-Compliance lässt sich nicht über Nacht erreichen. Ein strukturierter Fahrplan, der Prioritäten setzt und schrittweise umsetzt, ist in der Praxis wirkungsvoller als der Versuch, alles gleichzeitig anzugehen.

Unser Beratungsansatz beginnt mit einer Gap-Analyse gegen die NIS2-Anforderungen, gefolgt von einer klaren Priorisierung nach Risiko und Umsetzbarkeit. Wir begleiten Sie dabei, Sicherheitsmaßnahmen in Ihren bestehenden Betrieb zu integrieren — ohne unnötige Bürokratie, aber mit der notwendigen Dokumentation für den Nachweis.

Wenn Sie wissen möchten, ob und in welchem Umfang Ihr Unternehmen von NIS2 betroffen ist, sprechen Sie uns an.

Haeufig gestellte Fragen

Wie prüfe ich, ob mein Unternehmen unter NIS2 fällt?

Zwei Kriterien sind entscheidend: Branchenzugehörigkeit und Unternehmensgröße. Wenn Ihr Unternehmen in einer der geregelten Branchen tätig ist und mindestens 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz hat, ist es sehr wahrscheinlich betroffen. Die zuständige nationale Behörde (in Deutschland das BSI) bietet Orientierungshilfen — eine formale Einschätzung sollte aber rechtlich abgesichert sein.

Was bedeutet persönliche Haftung der Geschäftsleitung unter NIS2?

NIS2 sieht vor, dass Managementorgane für die Einhaltung der Cybersicherheitspflichten persönlich haftbar gemacht werden können. Das bedeutet konkret: Die Geschäftsführung muss Cybersicherheitsmaßnahmen billigen, ihre Umsetzung überwachen und regelmäßig Schulungen absolvieren. Eine reine Weiterdelegation an IT-Verantwortliche ist rechtlich nicht ausreichend.

Müssen wir als NIS2-pflichtiges Unternehmen jeden Sicherheitsvorfall melden?

Nein, nur erhebliche Vorfälle. Als erheblich gilt ein Vorfall, der schwere operative Störungen verursacht hat oder verursachen kann, oder der andere Unternehmen oder Personen betrifft. Die Meldung erfolgt in zwei Stufen: Frühwarnung innerhalb von 24 Stunden, vollständiger Bericht innerhalb von 72 Stunden. Ein klar definierter Eskalationsprozess ist dafür Voraussetzung.

Wann wurde NIS2 in Deutschland in nationales Recht umgesetzt?

Die NIS2-Richtlinie ist seit Oktober 2024 in Kraft, und die nationale Umsetzung durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist in Deutschland in Vorbereitung. Auch wenn das nationale Gesetz noch nicht vollständig finalisiert ist, sollten Unternehmen die Vorbereitungen bereits jetzt aufnehmen, da die Anforderungen inhaltlich feststehen.