NIS2: Die Richtlinie zur Stärkung der Cybersicherheit
Die neue NIS2-Richtlinie nimmt weiter Fahrt auf: Der Bundestag hat dem Umsetzungsgesetz nun offiziell zugestimmt. Damit steht fest, dass die Anforderungen ab Anfang 2026 verbindlich gelten und Unternehmen die Vorgaben bis dahin vollständig umgesetzt haben müssen.
Für viele Organisationen ist die Zeitspanne daher kürzer als erwartet – denn NIS2 umfasst weitreichende Anforderungen an IT-Sicherheit, Risikomanagement, Unternehmensprozesse und Nachweispflichten.
Wir erklären Ihnen, worauf es ankommt und wie Sie Ihr Unternehmen optimal vorbereiten. Den Grundstein legt dabei ein Informationssicherheits-Managementsystem (ISMS) nach den Vorgaben des BSI oder der ISO 27001: bereits 70% der NIS2-Anforderungen können damit erfüllt werden. Darüber hinaus erfahren Sie, was beim Risiko- und Asset-Management, Reporting und der Business Continuity jetzt wichtig ist.
Prüfen Sie jetzt Ihre Betroffenheit in nur wenigen Schritten
NIS2 und ihre Bedeutung
- Mit der Verabschiedung der zweiten Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) will die Europäische Union die Cybersicherheit in vielen wichtigen Wirtschaftssektoren erhöhen. Die Anforderungen an betroffene Unternehmen steigen, zudem können die Aufsichtsbehörden in Zukunft härter durchgreifen.
- Der Bundestag hat dem Umsetzungsgesetz nun offiziell zugestimmt. Damit steht fest, dass die Anforderungen ab Anfang 2026 verbindlich gelten und Unternehmen die Vorgaben bis dahin vollständig umgesetzt haben müssen.
Für wen ist NIS2 relevant?
Im Vergleich zur alten NIS-Richtlinie werden mit NIS2 die betroffenen Wirtschaftssektoren erheblich erweitert und in Essential und Important Entities unterteilt.
Die wesentlichen Unterschiede liegen in der verstärkten staatlichen Überwachung und den strengeren Sanktionsmöglichkeiten bei den Essential Entities.
In der Regel sind nur mittlere und große Unternehmen betroffen, die mindestens 50 Mitarbeiter oder einen Jahresumsatz von 10 Mio. € haben.
Übersicht der betroffenen Sektoren
Die NIS2 Directive betrifft Einrichtungen aus 18 Sektoren, die in Anhang I und II aufgeführt sind. Darin steht für jeden Sektor genau, welche „Art der Einrichtung“ betroffen ist. Entscheidend ist daher, ob Sie einer darin genannten Art der Einrichtung entsprechen. Diese Einrichtungen werden in Anhang I und Anhang II jeweils noch genauer definiert.
Anhang 1 umfasst 11 Sektoren
Weltraum
Gesundheit
Energie
Trinkwasser
Verkehr
Digitale Infrastruktur
Bankwesen
Abwasser
Finanzmarkt
Verwaltung IKT-Dienste
Verwaltung
Anhang 2 umfasst 7 Sektoren
Post- und Kurierdienste
Digitale Dienste
Abfallwirtschaft
Forschungsinstitute
Chemikalien
Verarbeitendes Gewerbe
Lebensmittel
Welche Anforderungen stellt NIS2 an Unternehmen?
Neue Vorgaben verpflichten die Unternehmen zur Stärkung der Cybersicherheit und zu mehr Kommunikation mit den nationalen Aufsichtsbehörden – in Deutschland ist das das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die wichtigsten Maßnahmen im Überblick:
-
- Es müssen Prozesse für Risikoanalyse und -management, Informationssicherheit und die Bewältigung von Cyber-Vorfällen festgelegt werden. Diese orientieren sich an den Kriterien der ISO 27001 für ein ISMS.
- Für die Bewältigung eines Notfalls müssen Business Continuity- und Wiederherstellungspläne vorliegen.
- Erhebliche Vorfälle müssen innerhalb sehr kurzer Fristen – in manchen Fällen 24 Stunden – an das BSI gemeldet werden.
- Der Einsatz von Verschlüsselungstechnik und Multi-Faktor-Authentifizierung ist unternehmensweit gefordert.
- Regelmäßige Schulungen des gesamten Personals, die über Verhaltensregeln zur Informationssicherheit und Veränderungen in der Risikolandschaft aufklären, müssen dem BSI nachgewiesen werden.
Wieso Sie jetzt aktiv werden müssen und
was passiert, wenn Sie nicht handeln?
Verschärfte Sanktionen: Die nationalen Behörden erhalten erweiterte Befugnisse zur Verhängung von Strafen:
- Geschäftsführer und das Management können persönlich für die Nichteinhaltung der Richtlinien haftbar gemacht werden, insbesondere in wichtigen Wirtschaftssektoren.
- Bußgelder können beträchtlich sein, mit bis zu 10 Millionen € oder 2% des Gesamtumsatzes.
- Die Aufsichtsbehörde kann den Geschäftsbetrieb aussetzen, wenn dies zur Wahrung der Netzsicherheit erforderlich ist.
Erhöhte Anfälligkeit gegenüber Cyberangriffen: Datenpannen haben letztes Jahr durchschnittlich Kosten von 4,35 Millionen $ pro Vorfall verursacht, wobei 83% aller Organisationen mehrere Datenlecks aufweisen, von denen viele unentdeckt bleiben, bis der Schaden enorm ist.
Es ist dringend erforderlich, die umfassenden Maßnahmen der NIS2-Richtlinie so schnell wie möglich zu implementieren, um Ihr Unternehmen angemessen vor diesen Gefahren zu schützen.
Häufig gestellte Fragen
Hier finden Sie Antworten auf die häufigsten Fragen zum Thema NIS2.
Was bedeutet NIS2?
Bei der NIS 2 handelt es sich um die zweite Richtlinie der EU zur Stärkung der Netzwerk- und Informationssicherheit im europäischen Wirtschaftsraum. Sie wurde 2022 vom EU-Parlament verabschiedet und wurde im Oktober 2024 von den Mitgliedsstaaten in nationales Recht überführt. Nach der Verabschiedung durch den Bundestag Ende Oktober 2025, gilt NIS2 nun ab Anfang 2026 verbindlich und ist Gesetz.
Für welche Unternehmen gilt NIS2?
NIS2 definiert 11 betroffene Wirtschaftssektoren als Essential Entities und 7 weitere als Important Entities. Dabei sind nur Unternehmen betroffen, die mindestens 50 Mitarbeiter beschäftigen 0der 10 Mio. € Jahresumsatz erzielen und einer der definierten Branchen angehören.
Was ist das Ziel von NIS?
Die neuen NIS-Gesetze sollen die Resilienz gegen Cyberangriffe über alle relevanten Branchen hinweg steigern. Ziel ist es, ein hohes, einheitliches Sicherheitsniveau in der gesamten EU herzustellen. Dafür werden die Mitgliedstaaten stärker kooperieren und Informationen und Daten untereinander austauschen. Auch die Sicherheit der Lieferketten (Supply Chain Security) soll so sichergestellt werden.
Mein Unternehmen ist IS27001-zertifiziert. Muss ich noch was tun?
Ja. Die Vorgaben der ISO 27001 decken NIS2 nur zu 70% ab. NIS2 erweitert die Anforderungen beim Risiko- und Assetmanagement und Business Continuity-Plänen. Zudem müssen standardisierte Prozesse zur Vorfallsmeldung eingerichtet werden. Durch die erhöhte Haftung von Vorständen und Geschäftsführern müssen diese außerdem stärker als bisher in Sicherheitsprozesse eingebunden und geschult werden.
Wer ist verantwortlich für die Einhaltung von NIS2?
Als Geschäftsführer tragen Sie gemäß der neuen EU-Richtlinie NIS2 die Verantwortung für die Überwachung und Durchführung erforderlicher Maßnahmen. Im Falle von Verstößen können Sie persönlich zur Rechenschaft gezogen werden.
Im Rahmen von NIS2 ist es erforderlich, dass CEOs an Schulungen teilnehmen und sicherstellen, dass auch ihre Mitarbeiter entsprechend geschult sind.
Wir stehen Ihnen gerne zur Verfügung, um Schulungen zur Cybersicherheit und den neuen Anforderungen der NIS2-Richtlinie anzubieten.
Wie hoch sind die Geldstrafen bei Verstößen gegen NIS2?
Gemäß der EU-Richtlinie NIS2 unterscheidet sich die Höhe der Geldbuße je nach Einstufung (wesentlich/wichtig, groß/mittel/klein). Der Höchstbetrag liegt bei 10 Mio € oder 2% des weltweiten Umsatzes.
Muss ich mein Unternehmen für NIS2 registrieren?
Ja. Nach Vorschriften der NIS2-Directive müssen sich alle betroffenen Unternehmen bei der nationalen Behörde registrieren. Das genaue Vorgehen zur Registrierung ist jedoch noch nicht festgelegt. Anfang 2026 soll es ein online Meldeportal des BSI geben.
Welche NIS2 Maßnahmen gibt es?
Gemäß der neu eingeführten NIS2-Richtlinie sind alle betroffenen Unternehmen dazu verpflichtet, Cybersecurity-Maßnahmen einzuleiten, um die Risiken für Gefahren bei Netz- und Informationssystemen vollständig einzudämmen oder zumindest auf ein Minimum zu reduzieren.
Erfahren Sie mehr zur NIS2-Richtlinie
Unsere Dienstleistungen
Unterstützung bei der Umsetzung von NIS2
Beratung zur NIS2
Wir bieten umfassende Beratung zur Einführung und Umsetzung von NIS2 in Ihrem Unternehmen.
Technische Implementierung
Unsere Experten übernehmen die technische Implementierung von IT-Sicherheitsmaßnahmen.
Einfach, unkompliziert und schnell
Wir freuen uns auf Ihren Kontakt
Buchen Sie direkt einen Gesprächstermin mit unserer Geschäftsführung.
Verwenden Sie dazu den folgenden Button. Über unseren Online Terminkalender erfolgt dann die Auswahl zwischen einem Microsoft Teams Video oder Telefon Termin.
Unsere Standorte
91126 Schwabach | Industriestraße 6
91781 Weißenburg | Am Richterfeld 4
90449 Nürnberg | Südwestpark 67
Telefon
Kontakt Vertrieb
Schwabach 09122 982 11-20
Weißenburg 09141 832 05-20
Nürnberg 0911 477 511-20
Telefon
Kontakt Support
Schwabach 09122 982 11-50
Weißenburg 09141 832 05-50
Nürnberg 0911 477 511-50