Seit Oktober 2024 ist die EU-NIS2-Richtlinie (Network and Information Security Directive 2) verbindlich in deutsches Recht umgesetzt. Was zunächst wie eine weitere Compliance-Anforderung klingt, ist in Wirklichkeit die größte Erweiterung der Cybersicherheitspflichten für Unternehmen in der Geschichte der Europäischen Union.
Wer ist von NIS2 betroffen?
NIS2 betrifft Unternehmen aus 18 Sektoren mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Die Richtlinie unterscheidet zwischen 'wesentlichen' und 'wichtigen' Einrichtungen.
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Bahn, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Cloud, Rechenzentren, DNS)
- IKT-Dienstleistungsmanagement
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie, Lebensmittel, Fertigung
- Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
Welche Maßnahmen sind nach Art. 21 NIS2 vorgeschrieben?
Artikel 21 der NIS2-Richtlinie definiert 10 Mindestanforderungen, die alle betroffenen Einrichtungen umsetzen müssen:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
- Bewältigung von Sicherheitsvorfällen (Incident Management)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette (Supply Chain Security)
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
- Grundlegende Cyberhygiene und Cybersicherheitsschulungen
- Kryptografie und Verschlüsselung
- Personalsicherheit und Zugangskontrollen
- Verwendung von Multi-Faktor-Authentifizierung
Welche Strafen drohen bei NIS2-Verstößen?
Die Bußgelder bei NIS2-Verstößen sind empfindlich hoch, vergleichbar mit der DSGVO:
- Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
- Persönliche Haftung von Geschäftsführern bei grober Fahrlässigkeit
Wichtig: Geschäftsführer und Vorstände haften persönlich für schwere NIS2-Verstöße. Das BSI kann die öffentliche Bekanntmachung von Verstößen anordnen.
NIS2-Umsetzung: Die wichtigsten ersten Schritte
Schritt 1: Betroffenheitsprüfung
Prüfen Sie zunächst, ob Ihr Unternehmen in einen der 18 NIS2-Sektoren fällt und die Schwellenwerte (50 MA oder 10 Mio. € Umsatz) überschreitet. Nutzen Sie unseren kostenlosen NIS2-Check für eine erste Einschätzung.
Schritt 2: Gap-Analyse
Eine strukturierte Gap-Analyse vergleicht Ihren aktuellen Sicherheitsstatus mit den NIS2-Anforderungen und identifiziert konkrete Handlungsfelder.
Schritt 3: Maßnahmenplan und Umsetzung
Priorisieren Sie die identifizierten Lücken nach Risiko und erstellen Sie einen realistischen Umsetzungsplan. Technische Maßnahmen (Pentest, MFA, Logging) und organisatorische Maßnahmen (Richtlinien, Schulungen) greifen ineinander.
Fazit: NIS2 als Chance begreifen
NIS2 erzwingt das, was in der IT-Sicherheit ohnehin Best Practice ist. Unternehmen, die NIS2-Anforderungen erfüllen, sind schlicht sicherer aufgestellt. Ein professioneller Pentest als Teil der NIS2-Umsetzung ist dabei einer der wirksamsten Schritte.
Alb Cyber Guards
IT-Sicherheitsexperten aus Albstadt
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.