Was ist NIS2?

NIS2 ist eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit für Unternehmen in kritischen Sektoren definiert. Sie wurde 2022 verabschiedet, gilt seit Oktober 2024 und ersetzt die NIS1-Richtlinie von 2016. Kernelemente: Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, Lieferkettensicherheit und persönliche Haftung der Geschäftsführung.

NIS2 unterscheidet zwischen Wesentlichen Einrichtungen (WE) und Wichtigen Einrichtungen (WI). WE: Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, Raumfahrt — ab 250 MA oder 50 Mio. € Umsatz. WI: Post, Abfall, Chemie, Lebensmittel, Maschinenbau, Anbieter digitaler Dienste — ab 50 MA oder 10 Mio. € Umsatz.

Art. 21 NIS2 definiert 10 Pflichtmaßnahmen: (1) Risikoanalyse und Sicherheitskonzepte, (2) Behandlung von Sicherheitsvorfällen, (3) Business Continuity, (4) Lieferkettensicherheit, (5) Sicherheit bei Erwerb/Entwicklung, (6) Wirksamkeitsbewertung, (7) Cyberhygiene und Schulungen, (8) Kryptografie, (9) Personalmanagement, (10) Multi-Faktor-Authentifizierung.

Bei erheblichen Sicherheitsvorfällen: Frühwarnung innerhalb 24 Stunden, Meldung innerhalb 72 Stunden, Abschlussbericht nach 1 Monat. Erheblich ist ein Vorfall, der schwere Betriebsstörungen, finanzielle Verluste oder andere Schäden verursacht hat oder verursachen kann. Meldestelle in Deutschland: BSI.

Wesentliche Einrichtungen: bis 10 Mio. € oder 2% des weltweiten Jahresumsatzes (höherer Wert). Wichtige Einrichtungen: bis 7 Mio. € oder 1,4% des Umsatzes. Zusätzlich: temporäre Suspendierung von Führungspersonen, öffentliche Bekanntmachung von Verstößen.

NIS2 schreibt erstmals persönliche Haftung der Geschäftsleitung vor. GF müssen Cybersicherheitsmaßnahmen genehmigen, überwachen und können bei Verstößen persönlich haftbar gemacht werden — inklusive temporalem Berufsverbot. Schulungspflicht für GF-Mitglieder ist ausdrücklich vorgesehen.

ISO 27001 deckt die meisten NIS2-Anforderungen ab. Wer ISO-27001-zertifiziert ist, erfüllt den Großteil von Art. 21 NIS2. Lücken bestehen bei: spezifischen Meldepflichten, Lieferkettensicherheit (DORA-ähnlich) und GF-Haftungsregelungen. ISO 27001 ist der effizienteste Weg zur NIS2-Compliance.

Schritt 1: Betroffenheitsanalyse — bin ich WE oder WI? Schritt 2: Gap-Analyse gegen Art. 21. Schritt 3: Maßnahmenplan mit Priorisierung. Schritt 4: Umsetzung (ISMS, Meldeprozesse, Schulungen). Schritt 5: Registrierung beim BSI. Schritt 6: Laufende Überwachung und Dokumentation.

MFA für alle kritischen Systeme, Ende-zu-Ende-Verschlüsselung, Netzwerksegmentierung, Patch-Management, SIEM/SOC für Monitoring, sichere Konfigurationsmanagement, Vulnerability Management, sichere Softwareentwicklung, Backup und Recovery, Incident Detection.

IS-Richtlinie und Governance-Struktur, Risikoanalyse-Prozess, Business Continuity Plan, Lieferantenmanagement und -verträge, Incident-Response-Plan, Schulungsprogramm für alle Mitarbeiter und GF, interne Audits, Dokumentation aller Maßnahmen, Meldeprozesse für Vorfälle.

NIS2 ist seit Oktober 2024 in deutsches Recht umgesetzt (NIS2UmsuCG). Unternehmen die unter die Richtlinie fallen, müssen seit diesem Zeitpunkt die Anforderungen erfüllen. Es gibt keine Übergangsfrist mehr. Das BSI hat begonnen, die Registrierungspflicht durchzusetzen.

Pflichtdokumentation: Risikoanalyse und -behandlung, Sicherheitskonzept, Business Continuity Plan, Lieferantenverzeichnis mit Sicherheitsbewertungen, Schulungsnachweise, Incident-Response-Prozesse, Vorfallsprotokoll, Audit-Berichte, Nachweise für Maßnahmen nach Art. 21.