Die NIS-2-Richtlinie ist eine EU-weite Cybersecurity-Verordnung, die seit Oktober 2024 gilt und deutlich mehr Unternehmen zur IT-Sicherheit verpflichtet als ihre Vorgängerin. Betroffen sind Organisationen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in wichtigen Sektoren wie Energie, Verkehr, Gesundheitswesen und digitaler Infrastruktur. Diese Unternehmen müssen umfassende Sicherheitsmaßnahmen implementieren und Cybersecurity-Vorfälle melden.
Was ist die NIS-2-Richtlinie und warum wurde sie eingeführt?
Die NIS-2-Richtlinie ist die überarbeitete Version der ursprünglichen Network and Information Security Directive von 2016. Sie harmonisiert Cybersecurity-Standards in allen EU-Mitgliedstaaten und reagiert auf die stark gestiegenen Cyberbedrohungen der letzten Jahre.
Im Vergleich zur ersten NIS-Richtlinie erweitert NIS-2 den Anwendungsbereich erheblich. Während die ursprüngliche Richtlinie nur etwa 300 Unternehmen in Deutschland betraf, fallen nun schätzungsweise 30.000 bis 40.000 Organisationen unter die neuen Bestimmungen. Die Richtlinie zielt darauf ab, die Widerstandsfähigkeit wichtiger Infrastrukturen gegen Cyberangriffe zu stärken.
Der Hauptgrund für die Einführung liegt in der dramatischen Zunahme von Ransomware-Angriffen und anderen Cybersecurity-Bedrohungen. Die EU erkannte, dass ein fragmentierter Ansatz bei der IT-Sicherheit nicht ausreicht, um kritische Dienste zu schützen. NIS-2 schafft daher einheitliche Mindeststandards für Cybersecurity in der gesamten Union.
Welche Unternehmen und Branchen sind von NIS-2 betroffen?
NIS-2 betrifft Unternehmen in elf wichtigen Sektoren, die in wesentliche Einrichtungen und wichtige Einrichtungen kategorisiert werden. Wesentliche Einrichtungen unterliegen strengeren Aufsichts- und Durchsetzungsmaßnahmen.
Wesentliche Einrichtungen
- Energie (Strom-, Gas- und Fernwärmeversorger)
- Verkehr (Luftfahrt, Eisenbahn, Schifffahrt, Straßenverkehr)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Apotheken)
- Trinkwasser- und Abwasserversorgung
- Digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, Content-Delivery-Networks)
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Industrie
- Lebensmittelproduktion und -vertrieb
- Verarbeitendes Gewerbe (Medizinprodukte, Computer, Maschinenbau, Fahrzeugbau)
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, Cloud-Computing)
Ab welcher Unternehmensgröße gilt NIS-2?
NIS-2 gilt für Unternehmen, die mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von mindestens 10 Millionen Euro erzielen. Diese Schwellenwerte müssen kumulativ erfüllt werden – das bedeutet, beide Kriterien müssen gleichzeitig zutreffen.
Kleinere Unternehmen sind grundsätzlich ausgenommen, es gibt jedoch wichtige Ausnahmen:
- Mikrounternehmen: Weniger als 10 Mitarbeitende und unter 2 Millionen Euro Jahresumsatz sind generell befreit
- Kleine Unternehmen: 10–49 Mitarbeitende, 2–10 Millionen Euro Umsatz fallen nur dann unter NIS-2, wenn sie in besonders kritischen Bereichen tätig sind
Wichtig ist auch die Unterscheidung zwischen den Kategorien: Wesentliche Einrichtungen unterliegen unabhängig von ihrer Größe den NIS-2-Bestimmungen, sofern sie bestimmte kritische Dienste erbringen. Bei wichtigen Einrichtungen greifen die Größenschwellenwerte vollständig.
Zusätzlich können Mitgliedstaaten kleinere Unternehmen einbeziehen, wenn diese für die Erbringung kritischer Dienste wichtig sind. Deutschland hat von dieser Möglichkeit teilweise Gebrauch gemacht.
Welche konkreten Pflichten entstehen durch NIS-2 für Unternehmen?
NIS-2 verpflichtet Unternehmen zu umfassenden Cybersecurity-Maßnahmen, die weit über technische Aspekte hinausgehen. Die Geschäftsführung trägt die direkte Verantwortung für die Umsetzung und kann persönlich haftbar gemacht werden.
Risikomanagement und Governance
- Entwicklung und Umsetzung einer Cybersecurity-Strategie
- Regelmäßige Risikoanalysen und -bewertungen
- Schulung der Mitarbeitenden in Cybersecurity-Themen
- Incident-Response-Pläne und Krisenmanagement
Technische Sicherheitsmaßnahmen
- Implementierung angemessener technischer Schutzmaßnahmen
- Regelmäßige Sicherheitsupdates und Patch-Management
- Backup- und Wiederherstellungsverfahren
- Verschlüsselung sensibler Daten
Meldepflichten
Unternehmen müssen erhebliche Cybersecurity-Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden melden. Eine detaillierte Analyse muss binnen eines Monats nachgereicht werden.
Die Geschäftsführung muss Cybersecurity-Schulungen absolvieren und kann bei Verstößen mit Sanktionen bis hin zu persönlichen Tätigkeitsverboten belegt werden.
Wie unterstützt CCVOSSEL bei der NIS-2-Umsetzung?
Wir begleiten Sie von der ersten Analyse bis zur vollständigen NIS-2-Compliance mit maßgeschneiderten Lösungen. Unser Team aus zertifizierten IT-Sicherheitsexpertinnen und -experten bringt jahrzehntelange Erfahrung in kritischen Infrastrukturen mit und kennt die praktischen Herausforderungen der Umsetzung.
Unsere NIS-2-Compliance-Unterstützung
- Gap-Analyse: Bewertung Ihres aktuellen Sicherheitsniveaus und Identifikation der Handlungsfelder
- Compliance-Roadmap: Entwicklung eines strukturierten Umsetzungsplans mit klaren Prioritäten und Zeitplänen
- Technische Implementierung: Umsetzung erforderlicher Sicherheitsmaßnahmen durch unsere Defensive-Security-Expertinnen und -Experten
- Governance-Aufbau: Entwicklung von Richtlinien, Prozessen und Schulungskonzepten für Ihre Organisation
- Kontinuierliche Überwachung: 24/7-Security-Monitoring zur frühzeitigen Erkennung von Bedrohungen
- Incident Response: Aufbau und Test von Notfallplänen sowie Unterstützung bei der Vorfallsbearbeitung
Als erfahrenes Berliner IT-Sicherheitsunternehmen verstehen wir die Komplexität der NIS-2-Anforderungen und übersetzen diese in praktikable Lösungen für Ihr Unternehmen. Unsere ISO-27001-Zertifizierung und langjährige Erfahrung in kritischen Infrastrukturen garantieren eine professionelle Umsetzung.
Lassen Sie uns gemeinsam Ihre NIS-2-Compliance angehen. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch und erfahren Sie, wie wir Sie bei der erfolgreichen Umsetzung unterstützen können.