Was Unternehmen jetzt wissen müssen

NIS-2: Praktischer Leitfaden zur Konformität

Durch die NIS-2-Richtlinie (Network and Information Systems Directive) ergeben sich zukünftig (zusätzlich zu den bestehenden Kritischen Infrastrukturen - KRITIS) für rund 30.000 "besonders wichtige" und "wichtige" Einrichtungen erstmals erhöhte Anforderungen hinsichtlich ihrer Netzwerk- und Informationssicherheit. Bisher nicht betroffene Unternehmen müssen spätestens im kommenden Jahr ihr IT-Sicherheitsniveau nach diesen Vorgaben erhöhen. Im Folgenden haben wir die wichtigsten Informationen zur NIS-2-Richtlinie kompakt und praxisnah für Sie zusammengefasst.

Das Wichtigste in Kürze

  • Seit 17. Oktober 2024 gelten in der EU erhöhte Anforderungen an die Cybersicherheit.
  • Die NIS-2 Richtlinie gilt für bestimmte Unternehmen mit mindestens 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren.
  • Die Betroffenheit lässt sich über die NIS-2 Betroffenheitsprüfung des BSI feststellen.
  • NIS-2 Konformität kann mit einem Informationssicherheitsmanagementsystems (ISMS) erreicht werden. Viele NIS-2-Anforderungen sind aus der DIN EN ISO/IEC 27001 bekannt.
  • Hier finden Sie eine kurze Videozusammenfassung (2 Minuten)

Überblick über die NIS-2-Richtlinie

Die NIS-2-Richtlinie zielt darauf ab, die Sicherheitsstandards für Netz- und Informationssysteme in der EU zu harmonisieren und zu verbessern. Sie legt fest, dass Unternehmen in bestimmten Sektoren strenge Sicherheitsanforderungen erfüllen müssen, um ihre Netzwerke und Systeme vor Cyber-Bedrohungen zu schützen.
Betroffene Sektoren:
  • Energieversorgung: Strom-, Gas- und Ölversorgung
  • Transportwesen: Schienen-, Straßen-, Luft- und Seeverkehr
  • Banken und Finanzmärkte: Banken, Zahlungsdienstleister und Finanzmarktinfrastrukturen
  • Gesundheitswesen: Krankenhäuser und andere medizinische Einrichtungen
  • Wasserversorgung: Trinkwasserversorger und Abwasserentsorgung
  • Digitale Infrastrukturen: Cloud-Dienste, Online-Marktplätze und Suchmaschinen
Unternehmen dieser Sektoren sind dazu verpflichtet, umfassende Sicherheitsmaßnahmen zu implementieren, um den Schutz vor Cyberangriffen zu gewährleisten.

Wann wird die NIS-2-Richtlinie in Deutschland umgesetzt?

Die NIS-2-Richtlinie wird in Deutschland als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG oder kurz: NIS2) umgesetzt.
Aktuell liegt ein Referentenentwurf des BMI zur Umsetzung der NIS-2-Richtlinie (NIS-2UmsuCG) vor. Mit der Umsetzung soll es im März 2025 soweit sein.
Betroffene Unternehmen sollten jedoch bereits jetzt aktiv werden. Der vorliegende Gesetzesentwurf sieht keine Übergangsfristen vor. Betroffene Unternehmen müssen die Sicherheitsmaßnahmen ab Inkrafttreten des Gesetzes erfüllen.

Welche Unternehmen sind von NIS-2 betroffen?

1. Die Sektoren im Überblick

Die NIS2-Richtlinie betrifft in Deutschland schätzungsweise rund 30.000 Organisationen und Einrichtungen. Diese werden in folgende Sektoren unterteilt:
Betroffenheitsgrad Unternehmensgröße Sektoren
Besonders wichtige Einrichtungen
  • Mindestens 250 Beschäftigte oder
  • Jahresumsatz > 50 Mio. EUR und Jahresbilanz > 43 Mio. EUR
  • Energie
  • Verkehr & Transportwesen, Trinkwasser
  • Digitale Infrastruktur
  • IT-Dienste & Telekommunikation
  • Bank- und Finanzwesen, Gesundheit
  • Öffentliche Verwaltung
  • Weltraum
Wichtige Einrichtungen
  • Mindestens 50 Beschäftigte oder
  • Jahresumsatz und Jahresbilanz jeweils > 10 Mio. EUR


  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Produktion:
    Fertigung und Handel mit chemischen Erzeugnissen
  • Lebensmittelproduktion, Verarbeitung und Vertrieb
  • Produktion: Herstellung und Verarbeitung von Medizinprodukten, Maschinen, Fahrzeuge sowie elektrischen digitalen Geräten
  • Online-Dienste (Suchmaschinen, Online-Marktplätze)
  • Forschung

2. Die Betroffenheit konkret prüfen

Unternehmen müssen selbständig ihre Betroffenheit hinsichtlich der NIS-2-Richtlinie ermitteln. Hierzu stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Betroffenheitsprüfung zur Verfügung, die folgende Schritte beinhaltet:
  1. Eingabe von Unternehmensdaten: Unternehmen müssen ihre eigenen Daten zu Mitarbeiteranzahl, dem Jahresumsatz und der Jahresbilanzsumme eingeben.
  2. Überprüfung der Brancheneinstufung: Der ermittelte Sektor sollte gegengeprüft werden.
  3. Regelmäßige Wiederholung: Die Prüfung der Betroffenheit sollte regelmäßig, um Veränderungen durch Wachstum oder Änderung der Tätigkeitsbereiche zu berücksichtigen.

Welche Pflichten haben betroffene Unternehmen?

1.Registrierungspflicht

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen sich spätestens drei Monate nach Veröffentlichung der nationalen Umsetzung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als betroffene Organisation registrieren lassen. Derzeit ist eine Frist bis zum Ende des ersten Quartals 2025 für die Registrierung in einem Meldeportal des BSI vorgesehen.

2. Zentrale Anforderungen der NIS-2-Richtlinie

Neben der Registrierungspflicht ergeben sich aus NIS2 (Art. 21) und der Neufassung des BSI-Gesetzes (§§ 30 und 31 BSIG) folgende Anforderungen an Ihr Unternehmen:
  • Risikomanagement und Informationssicherheit: Risiken müssen ganzheitlich betrachtet und systematisch angegangen werden. Dazu gehört die Einführung eines Managementsystems für Informationssicherheit (ISMS),
  • Notfall-Management: Notfallmaßnahmen, einschließlich eines systematischen Backup- und Krisenmanagements, müssen implementiert sein, um die Geschäftsfähigkeit zu gewährleisten.
  • Sicherheit bei Beschaffung und Entwicklung: Sicherheitsmaßnahmen für die Beschaffung, Entwicklung und Wartung von IT-Systemen, -Komponenten und -Prozessen. Gemäß der Richtlinie NIS2 müssen dazu klare Sicherheitsanforderungen definiert und systematisch umgesetzt werden.
  • Identitätsmanagement: Identitätsmanagementsysteme müssen im Unternehmen verankert werden. Als technische Maßnahmen können Kryptographie, Verschlüsselung und Multi-Faktor-Authentifizierung eingesetzt werden.
  • Management von Sicherheitsvorfällen: Konzepte zur Bewältigung von Sicherheitsvorfällen sind erforderlich. Für schwere Störungen gelten zeitkritische Meldepflichten innerhalb von 24 Stunden.
  • Kryptografie und Verschlüsselung: Einsatz von Kryptografie und Verschlüsselungen nach dem Stand der Technik in allen Kommunikationsverbindungen.
  • Sichere Lieferketten und Dienstleister: Vertragliche Festlegung höherer Sicherheitsanforderungen für Lieferanten und Dienstleister.
  • Personelle Sicherheit: Sicherstellung von Zugriffskontrollen und zentralem Management des Zugangsschutzes zu Anlagen und IT-Systemen.
  • Schulungen und Awareness: Regelmäßige Schulungen für Geschäftsleitung und Mitarbeiter zur Vermittlung sicherheitsorientierter Denk- und Verhaltensweisen.

3. Kontinuierliche Bewertung und Optimierung der Cybersicherheit

Alle umgesetzten Sicherheitsmaßnahmen müssen durch eine umfassende und nachvollziehbare Dokumentation nachweisbar sein. Der Schwerpunkt liegt dabei auf der fortlaufenden Überprüfung und Optimierung, um das Schutzniveau zu gewährleisten und den Anforderungen der Compliance gerecht zu werden.

Rechtsfolgen

Erfüllt ein Unternehmen die neuen Anforderungen nicht, drohen nicht nur dem Unternehmen selbst, sondern auch den Geschäftsverantwortlichen empfindliche Strafen. Die NIS 2-Richtlinie sieht Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor - je nachdem, welcher Betrag höher ist.

Handlungsempfehlungen für Unternehmen

In Abhängigkeit von Ihrem derzeitigen Sicherheitsniveau empfehlen wir Ihnen diese Vorgehensweise:

Schritt 1: NIS-2 Betroffenheitsprüfung durchführen

Starten Sie mit einer NIS-2-Betroffenheitsprüfung, um festzustellen, ob Ihr Unternehmen von den NIS2-Richtlinien betroffen ist. Diese Einschätzung ist entscheidend, um die nächsten Schritte gezielt und effizient zu planen.

Schritt 2: Teilnahme an NIS-2-Veranstaltungen

Informieren Sie sich durch die Teilnahme NIS-2-Veranstaltungen:Das BSI informiert über NIS-2 in einem kostenlosen Webinar:
21.11.2024 zum Thema "Webinar NIS-2 für die Wirtschaft: Was wir schon sagen können”
Weitere Infos und Anmeldung finden Sie hier.

Schritt 3:Überprüfung Ihrer Cybersicherheit mit einem IT-Sicherheitscheck

In Abhängigkeit von Ihrem bestehenden Sicherheitsniveau können Sie den für Sie optimalen Check wählen:
  1. CyberSicherheitsCheck für KMU – Ihr Einstieg in die Cybersicherheit: Der kostenlose IT-Check ist ein Angebot Ihrer IHK an alle Unternehmen, unabhängig davon, ob sie von NIS-2 betroffen sind oder nicht. Der IT-Check umfasst eine erste Bestandsaufnahme und unterstützt Sie dabei, grundlegende Sicherheitsmaßnahmen zu bewerten sowie erste Maßnahmen zu identifizieren.
    Weitere Informationen und Anmeldung: CyberSicherheitsCheck für KMU.
  2. NIS2-Compliance Assessment für Experten und betr: Für Unternehmen, die bereits über fortgeschrittene Sicherheitsmanagementsysteme verfügen, empfiehlt sich ein entsprechendes NIS2-Compliance-Assessment durch IT-Dienstleister und IT-Unternehmen. Dieses Assessment unterstützt Sie dabei, Ihre bestehenden Prozesse an die Anforderungen von NIS2 anzupassen und weiterzuentwickeln.

Schritt 4: Umsetzung der Maßnahmen

Vieles von dem, was die NIS2 fordert, ist bereits aus der DIN ISO/IEC 27001, dem global anerkannten Standard für Informationssicherheit, bekannt. Ein ISMS nach ISO 27001 bietet eine starke Sicherheitsstruktur für Unternehmen, Betriebe und Organisationen. Die vielschichtige und komplexe Natur dieser Systeme berücksichtigt sowohl technische als auch menschliche Sicherheitsaspekte und kann den entscheidenden Unterschied bei Cyberangriffen ausmachen. Auf Basis der Ergebnisse des Assessments sollten konkrete Maßnahmen ergriffen werden:
  1. Technologische Konzepte: Implementieren Sie technische Sicherheitsmaßnahmen wie die Einführung einer Zero-Trust-Architektur und die Etablierung von Kryptografie-Standards.
  2. Prävention, Detektion und Reaktion: Implementieren Sie ein leistungsfähiges Security Incident Management System, um die kontinuierliche Überwachung, Analyse und schnelle Reaktion auf IT-Sicherheitsvorfälle sicherzustellen. ISO-zertifizierte Managed Security Services (MSS) bieten eine zuverlässige und kosteneffiziente Möglichkeit, sicherheitsrelevante Prozesse zum Schutz vor Cyber-Bedrohungen teilweise oder vollständig auszulagern.
  3. Faktor Mensch und Sicherheitskultur: Stärken Sie die Sicherheitskultur in Ihrem Unternehmen durch regelmäßige Schulungen und Awareness-Programme für Ihre Mitarbeiter.

Schritt 5: Kontinuierliche Überprüfung und Anpassung

Überwachen Sie die umgesetzten Maßnahmen regelmäßig und passen Sie diese an neue Bedrohungen und Anforderungen an. Eine kontinuierliche Verbesserung Ihrer Sicherheitsprozesse gewährleistet nicht nur den Schutz Ihrer Organisation, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern in Ihre digitale Zuverlässigkeit.

Fazit

Die NIS-2-Richtlinie stellt eine erhebliche Herausforderung für Unternehmen dar, bietet aber gleichzeitig die Möglichkeit, die eigene Cyberresilienz zu stärken und sich besser gegen die zunehmenden Bedrohungen im digitalen Raum zu wappnen. Unternehmen sollten die neuen Anforderungen ernst nehmen und umgehend damit beginnen, ihre internen Strukturen anzupassen, um Strafen zu vermeiden und die Sicherheit ihrer Netzwerke und Informationssysteme zu gewährleisten. Durch die Umsetzung der NIS-2-Richtlinie können Unternehmen nicht nur die Einhaltung gesetzlicher Vorschriften sicherstellen, sondern auch ihr Vertrauen bei Kunden und Partnern stärken.
Ausführliche Informationen finden Sie unter anderem auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik.
Für weiterführende Fragen stehen Ihnen die IHK-Berater auf der rechten Seite gerne zur Verfügung.