Was NIS-2 für Ihr Unternehmen bedeutet

Als Reaktion auf die zunehmenden Bedrohungen durch Cyberkriminalität hat die Europäische Union die NIS-2-Richtlinie für einheitliche Vorschriften zur Stärkung der Cyber-Resilienz auf den Weg gebracht. Das entsprechende Umsetzungsgesetz wird nicht wie ursprünglich geplant am 18. Oktober 2024 in Kraft treten, sondern voraussichtlich im Frühjahr 2025. Doch welche Unternehmen sind davon betroffen? Und was müssen sie tun?

EU-Hintergrund zur NIS-2-Richtlinie

NIS ist die Abkürzung für Network Information Security (NIS). Die am 16. Januar 2023 in Kraft getretene EU-Richtlinie NIS-2 ist eine Weiterentwicklung der EU-Richtlinie NIS-1 aus dem Jahr 2016 (EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union). Ziel der aktuellen Richtlinie ist es, verbindliche Maßnahmen für die Verwaltung und Wirtschaft einzuführen. Damit soll ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union gewährleistet werden. Richtlinien entfalten keine unmittelbare Wirkung. Daher sind die Mitgliedstaaten verpflichtet, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen (Umsetzungsfrist), damit sie wirksam wird. In Deutschland geschieht dies durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG).

Stand des NIS-2-Umsetzungsgesetzes

Die NIS-2-Richtlinie und das entsprechende Umsetzungsgesetz sind Rechtsakte im Bereich Cybersicherheit. Innerhalb der deutschen Bundesregierung ist das Bundesministerium des Innern und für Heimat (BMI) zuständig. Das BMI hat daher auch einen Entwurf für ein Umsetzungsgesetz erarbeitet. Seit dem 24. Juni 2024 ist eine aktuelle Fassung des Gesetzes als Referentenentwurf des BMI öffentlich zugänglich (BMI - Gesetzgebungsverfahren - NIS2). Das Inkrafttreten des Umsetzungsgesetzes war ursprünglich für den 18. Oktober 2024 vorgesehen, wird nun aber voraussichtlich im Frühjahr 2025 erfolgen.

NIS-2 Anwendungsbereich

Die Zahl der Unternehmen, die vom NIS-2-Umsetzungsgesetz betroffen sind, nimmt zu. Dies ist auf die Ausweitung der Sektoren zurückzuführen. Schätzungsweise 30.000 Unternehmen in Deutschland können in den Anwendungsbereich von NIS-2 fallen. Welche Unternehmen betroffen sind, hängt von verschiedenen Faktoren ab. Dazu gehören die Branche, die Unternehmensgröße, der Jahresumsatz und die Jahresbilanzsumme.
Grundsätzlich gilt: Unternehmen, die in einem „gesellschaftlich, wirtschaftlich relevanten Sektor“ tätig sind und mindestens 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Mio. EUR und eine Jahresbilanzsumme von mehr als 10 Mio. EUR haben, können in den Anwendungsbereich von NIS-2 fallen. In besonderen Fällen können auch kleinere Unternehmen von NIS-2 betroffen sein, z.B. wenn ihr Ausfall erhebliche Auswirkungen auf die Wirtschaft oder die öffentliche Verwaltung hätte.
Das erste Kriterium zur Bestimmung der Betroffenheit ist die Zugehörigkeit zu einem bestimmten Sektor. Nach der NIS-2-Umsetzung gibt es zwei Gruppen von Sektoren.
Sektoren nach Anlage 1
Sektoren nach Anlage 2
1.    Energie
2.    Transport und Verkehr
3.    Finanzwesen
4.    Gesundheit
5.    Wasser
6.    Digitale Infrastruktur
7.    Weltraum
1.    Post- und Kurierdienste
2.    Abfallbewirtschaftung
3.    Produktion, Herstellung und Handel mit chemischen Stoffen
4.    Produktion, Verarbeitung und Vertrieb von Lebensmitteln
5.    Verarbeitendes Gewerbe/Herstellung von Waren
6.    Anbieter digitaler Dienste
7.    Forschung
Das zweite Kriterium zur Bestimmung der Betroffenheit durch das NIS-2-Umsetzungsgesetz sind die wirtschaftlichen Kennzahlen und die Größe des Unternehmens. Von Bedeutung sind die Anzahl der Beschäftigten, der Jahresumsatz und die Jahresbilanz. Diese Kennzahlen bilden die Grundlage für die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder als „großes Unternehmen“. Unabhängig von der Unternehmensgröße können auch Betriebe, wie z.B. Betreiber kritischer Anlagen, in den Geltungsbereich der NIS-2 fallen. Die folgende Tabelle zeigt die betroffenen Betriebe nach NIS-2.
Mittlere Unternehmen
Große Unternehmen
Einrichtungen unabhängig von Unternehmensgröße
  • Mindestens 50 Beschäftigte oder
  • Jahresumsatz & Jahresbilanz jeweils > 10 Mio. EUR
  • Mindestens 250 Beschäftigte oder
  • Jahresumsatz > 50 Mio. EUR & Jahresbilanz > 43 Mio. EUR
  • Betreiber Kritischer Anlagen
  • TLD-Namenregister & DNS-Diensteanbieter
  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher Kommunikationsdienste oder Betreiber öffentlicher Kommunikationsnetze
Hinweis: Für die Überprüfung der Betroffenheit im Sinne von NIS-2 sind die Unternehmen selbst verantwortlich. Die oben genannten Sektoren und Beschäftigten- bzw. Umsatzschwellen dienen als Einordnungshilfen.

NIS-2 Kernanforderungen 

Grundsätzlich gilt: „Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, [...], zu ergreifen“ (§ 30 Abs. 1 BSIG-E), um Risiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen zu minimieren. Außerdem sind bei der Bewertung der Verhältnismäßigkeit der Maßnahmen folgende Kriterien zu berücksichtigen: Ausmaß der Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen und gesellschaftliche und wirtschaftliche Auswirkungen.
  • Die Risikomanagementmaßnahmen sollen den Stand der Technik einhalten und müssen mindestens folgendes umfassen:
    • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
    • Bewältigung von Sicherheitsvorfällen
    • Pläne zur Betriebsaufrechterhaltung und zum Krisenmanagement
    • Sicherheit der Lieferkette
    • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
    • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
    • Cyberhygiene und Schulungen zur Cybersicherheit
    • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
    • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
    • Multi-Faktor-Authentifizierung
  • Dokumentationspflicht: Die Einhaltung der Maßnahmen ist durch die Einrichtung zu dokumentieren.
  • Meldepflicht: Betroffene Unternehmen sind verpflichtet, Sicherheitsvorfälle bei einer zuständigen Behörde zu melden.
  • Registrierungspflicht: Betroffene Einrichtungen müssen sich binnen 3 Monaten, nachdem sie als besonders wichtige oder wichtige Einrichtungen gelten, registrieren.
  • Unterrichtungspflicht: Die Kunden der betroffenen Unternehmen müssen über den Sicherheitsvorfall informiert werden.
  • Die Leitungsorgane (Geschäftsführer/in bei GmbH, Vorstand und Aufsichtsrat bei Aktiengesellschaften) haben die Umsetzung der Risikomanagementmaßnahmen sicherzustellen und zu überwachen, haften der Einrichtung für einen schuldhaft verursachten Schaden und müssen an für diese spezifisch gestalteten Cybersicherheitsschulungen teilnehmen.

Frist für die Umsetzung der Anforderungen

Ursprünglich sollte das Umsetzungsgesetz am 18. Oktober 2024 in Kraft treten, dies wird sich jedoch bis zum Frühjahr 2025 hinziehen. Das heißt aber nicht, dass betroffene Unternehmen nicht aktiv werden sollten. Denn der aktuelle Gesetzentwurf des BMI sieht keine Übergangsfristen für die Umsetzung der Anforderungen vor. Betroffene Einrichtungen müssen die Sicherheitsmaßnahmen ab Inkrafttreten des Gesetzes erfüllen.

Tipps zur Betroffenheit und Umsetzung