2024 Kalender mit leuchtenden blauen Cybersecurity-Schildern auf dunklem Schreibtisch vor Server-Infrastruktur

Wann tritt NIS2 in Kraft?

  • Posted by: Carsten Vossel

Die NIS2-Richtlinie tritt am 17. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Unternehmen haben dann 18 Monate Zeit für die praktische Umsetzung der Cybersicherheitsanforderungen. Diese erweiterte Richtlinie betrifft deutlich mehr Unternehmen als ihr Vorgänger und bringt strengere Sicherheitsanforderungen mit sich.

Was ist die NIS2-Richtlinie und warum betrifft sie so viele Unternehmen?

Die NIS2-Richtlinie ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit, die den Cybersicherheitsstandard in Europa deutlich verschärft. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie von 2016 erheblich und erfasst nun Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz.

Der größte Unterschied zu NIS1 liegt in der Reichweite: Während die erste Richtlinie hauptsächlich kritische Infrastrukturen betraf, umfasst NIS2 nun 18 Sektoren. Dazu gehören Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, aber auch Bereiche wie Abwassermanagement, Weltraumtechnologie und öffentliche Verwaltung.

Die Richtlinie klassifiziert betroffene Unternehmen in zwei Kategorien:

  • Wesentliche Einrichtungen: Große Unternehmen in kritischen Sektoren mit über 250 Mitarbeitenden oder 50 Millionen Euro Jahresumsatz
  • Wichtige Einrichtungen: Mittlere Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in den definierten Sektoren

Diese Ausweitung bedeutet, dass schätzungsweise 160.000 Unternehmen in der EU von NIS2 betroffen sind – ein Vielfaches der ursprünglich regulierten Organisationen.

Wann tritt NIS2 offiziell in Kraft und welche Fristen gelten?

NIS2 ist bereits am 17. Januar 2023 in Kraft getreten, aber die praktischen Auswirkungen für Unternehmen beginnen erst mit der nationalen Umsetzung. Die EU-Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu überführen.

Deutschland arbeitet derzeit am NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das die europäischen Vorgaben in deutsches Recht überträgt. Nach der nationalen Umsetzung haben betroffene Unternehmen weitere 18 Monate Zeit, um die geforderten Cybersicherheitsmaßnahmen vollständig zu implementieren.

Die wichtigsten Meilensteine im Überblick:

  • 17. Januar 2023: NIS2-Richtlinie tritt EU-weit in Kraft
  • 17. Oktober 2024: Frist für die nationale Umsetzung in den Mitgliedstaaten
  • Bis April 2026: Vollständige Umsetzung durch betroffene Unternehmen (18 Monate nach nationaler Umsetzung)

Auch wenn die finale Umsetzungsfrist noch nicht erreicht ist, sollten sich betroffene Unternehmen bereits jetzt auf die kommenden Anforderungen vorbereiten, da die Implementierung umfassender Cybersicherheitsmaßnahmen Zeit benötigt.

Welche Unternehmen müssen NIS2 bis wann umsetzen?

NIS2 betrifft Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in 18 definierten Sektoren. Die Umsetzungsfrist läuft 18 Monate nach der nationalen Gesetzgebung, voraussichtlich bis April 2026 in Deutschland.

Die betroffenen Sektoren gliedern sich in zwei Kategorien:

Wesentliche Einrichtungen (höhere Sicherheitsanforderungen):

  • Energie (Strom, Gas, Fernwärme, Wasserstoff)
  • Verkehr (Luftfahrt, Schienenwesen, Schifffahrt, Straßenverkehr)
  • Banken und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasserversorgung
  • Digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, Cloud-Computing)
  • IKT-Dienste (B2B)
  • Raumfahrt

Wichtige Einrichtungen:

  • Post- und Kurierdienste
  • Abwassermanagement
  • Verwaltung von IKT-Diensten (B2B und B2C)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitende Industrie (Chemikalien, Pharmazeutika, Maschinen, Elektronik)
  • Forschungseinrichtungen

Kleinstunternehmen mit weniger als 50 Mitarbeitenden und unter 10 Millionen Euro Jahresumsatz sind grundsätzlich ausgenommen, es sei denn, sie sind der einzige Anbieter einer Dienstleistung in einem Mitgliedstaat.

Was passiert, wenn Unternehmen die NIS2-Fristen verpassen?

Bei Nichteinhaltung der NIS2-Vorgaben drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Wichtige Einrichtungen müssen mit Strafen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes rechnen.

Die Konsequenzen gehen jedoch weit über finanzielle Strafen hinaus:

Rechtliche Folgen:

  • Persönliche Haftung der Geschäftsführung bei schwerwiegenden Verstößen
  • Meldepflicht für Sicherheitsvorfälle innerhalb von 24 Stunden
  • Regelmäßige Audits und Überprüfungen durch Aufsichtsbehörden

Geschäftliche Auswirkungen:

  • Reputationsschäden durch öffentliche Bekanntmachung von Verstößen
  • Verlust von Geschäftspartnerschaften und Kunden
  • Ausschluss von öffentlichen Ausschreibungen
  • Erhöhte Versicherungsprämien für Cyberrisiken

Besonders kritisch: Die Aufsichtsbehörden können bei schwerwiegenden Verstößen auch Betriebsunterbrechungen anordnen. Daher ist es wichtig, frühzeitig mit der Vorbereitung zu beginnen und nicht bis zur letzten Frist zu warten.

Wie unterstützt CCVOSSEL bei der NIS2-Umsetzung?

Wir begleiten Sie vollständig bei der NIS2-Compliance – von der ersten Bewertung Ihrer aktuellen Sicherheitslage bis zur finalen Implementierung aller geforderten Maßnahmen. Mit unserer langjährigen Erfahrung in kritischen Infrastrukturen kennen wir die praktischen Herausforderungen der Umsetzung.

Unsere NIS2-Compliance-Beratung umfasst:

  • Gap-Analyse: Bewertung Ihrer aktuellen Cybersicherheitsmaßnahmen im Vergleich zu den NIS2-Anforderungen
  • Maßnahmenkatalog: Entwicklung spezifischer technischer und organisatorischer Maßnahmen (TOMs)
  • Risikomanagement: Aufbau eines systematischen Cybersicherheits-Risikomanagements
  • Incident Response: Etablierung von Melde- und Reaktionsverfahren für Sicherheitsvorfälle
  • Penetration Testing: Regelmäßige Sicherheitstests zur Überprüfung Ihrer Schutzmaßnahmen
  • Security Monitoring: 24/7-Überwachung Ihrer IT-Infrastruktur

Als ISO-27001-zertifiziertes Unternehmen mit fast 30 Jahren Erfahrung verstehen wir die Balance zwischen Sicherheitsanforderungen und praktischer Umsetzbarkeit. Unsere Experten sind aktive Mitglieder in der TeleTrusT-Arbeitsgruppe „Stand der Technik“ und gestalten Industriestandards mit.

Lassen Sie uns gemeinsam Ihre NIS2-Strategie entwickeln. Vereinbaren Sie noch heute ein unverbindliches Beratungsgespräch und starten Sie rechtzeitig in die Compliance-Vorbereitung.

Cookie Consent mit Real Cookie Banner