NIS2-Richtlinie verabschiedet: Was jetzt auf Unternehmen zukommt

1 Min. Lesezeit

Das Europäische Parlament hat die NIS2-Richtlinie verabschiedet. Sie erweitert den Kreis der betroffenen Unternehmen massiv und verschärft die Pflichten. Bis Oktober 2024 muss sie in nationales Recht umgesetzt werden. Ein Überblick über die wichtigsten Änderungen.

Das Wichtigste in Kürze

• 10x mehr Unternehmen: NIS2 betrifft geschätzt 30.000 Unternehmen in Deutschland (vorher ca. 3.000).
• 18 Sektoren: Erweitert auf Lebensmittel, Post, Abfall, Chemie, Forschung und weitere.
• Persönliche Haftung: Geschäftsführer haften persönlich für die Umsetzung.
• Bußgelder: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes.
• Umsetzungsfrist: Oktober 2024 in nationales Recht.

Was NIS2 von NIS1 unterscheidet

Die ursprüngliche NIS-Richtlinie von 2016 betraf hauptsächlich KRITIS-Betreiber und große digitale Dienstleister. NIS2 erweitert den Anwendungsbereich drastisch: Alle mittleren und großen Unternehmen in 18 Sektoren fallen unter die neuen Pflichten. Dazu gehören nun auch Lebensmittelproduktion, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Forschung und öffentliche Verwaltung.

Die wichtigste Neuerung: Geschäftsführer haften persönlich für die Einhaltung der Cybersicherheitspflichten. Sie können nicht mehr auf die IT-Abteilung verweisen – Cybersecurity wird zur Chefsache, gesetzlich verankert.

Welche Pflichten auf Unternehmen zukommen

NIS2 fordert ein umfassendes Cybersicherheits-Risikomanagement: Risikoanalyse und Sicherheitskonzepte für Informationssysteme, Incident-Handling und Business Continuity, Supply-Chain-Security einschließlich Lieferanten, Sicherheit bei Beschaffung und Entwicklung, Schulung und Sensibilisierung des Managements, Kryptographie und Verschlüsselung, Meldepflicht innerhalb von 24 Stunden bei Vorfällen. Unternehmen sollten jetzt mit der Gap-Analyse beginnen.

Der Zeitplan

Die Richtlinie tritt 20 Tage nach Veröffentlichung im EU-Amtsblatt in Kraft. Bis Oktober 2024 müssen die EU-Mitgliedstaaten NIS2 in nationales Recht umsetzen. In Deutschland wird das BSI-Gesetz entsprechend angepasst. Unternehmen haben also weniger als zwei Jahre Zeit, um die Anforderungen zu erfüllen.

Key Facts auf einen Blick

Betroffene in DE: Geschätzt 30.000 Unternehmen (10x mehr als NIS1)

Sektoren: 18 (vorher 7)

Bußgelder: Bis 10 Mio. € oder 2% des weltweiten Umsatzes

Meldepflicht: 24 Stunden (Erstmeldung), 72 Stunden (Detailbericht)

Umsetzungsfrist: Oktober 2024

Quelle: EU-Richtlinie 2022/2555 (NIS2), Dezember 2022

Fakt: Cyber-Versicherungsprämien stiegen laut Munich Re 2024 um durchschnittlich 15 Prozent.

Fakt: Die durchschnittliche Verweildauer eines Angreifers im Netzwerk beträgt laut Mandiant 10 Tage.

Häufige Fragen

Ist mein Unternehmen von NIS2 betroffen?

Wahrscheinlich ja, wenn Sie in einem der 18 Sektoren tätig sind und mehr als 50 Mitarbeiter oder mehr als 10 Mio. € Jahresumsatz haben. Die Sektoren umfassen unter anderem Energie, Transport, Gesundheit, Finanzen, IT, Lebensmittel, Post, Chemie und Forschung.

Was bedeutet persönliche Geschäftsführerhaftung?

Geschäftsführer und Vorstände haften persönlich dafür, dass Cybersicherheitsmaßnahmen umgesetzt werden. Sie müssen an Schulungen teilnehmen und die Risikoanalyse genehmigen. Bei Verstößen können persönliche Bußgelder und Haftungsansprüche drohen.

Wie unterscheiden sich wesentliche und wichtige Einrichtungen?

Wesentliche Einrichtungen (essential) unterliegen strengerer Aufsicht mit proaktiven Prüfungen. Wichtige Einrichtungen (important) werden reaktiv geprüft – also erst bei Verdacht oder nach einem Vorfall. Die Bußgelder sind für wesentliche Einrichtungen höher.

Wann muss NIS2 umgesetzt sein?

Die EU-Mitgliedstaaten haben bis Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen. In Deutschland wird das NIS2-Umsetzungsgesetz (NIS2UmsuCG) derzeit erarbeitet. Unternehmen sollten aber jetzt schon mit der Vorbereitung beginnen, da die Anforderungen umfangreich sind.

Was sollten Unternehmen jetzt tun?

Erstens: Prüfen ob Sie betroffen sind (Sektor, Unternehmensgröße). Zweitens: Gap-Analyse durchführen – was fehlt im Vergleich zu den NIS2-Anforderungen? Drittens: Risikomanagement und Incident-Response aufbauen oder verbessern. Viertens: Management schulen und Cybersecurity zur Chefsache machen.

Weiterführende Lektüre im Netzwerk

NIS2 und Cloud-Compliance auf cloudmagazin: cloudmagazin.com

Compliance als Wettbewerbsvorteil auf mybusinessfuture: mybusinessfuture.com

NIS2 als Vorstandsthema auf Digital Chiefs: digital-chiefs.de

Verwandte Artikel

• Pegasus-Spyware: Was Unternehmen aus dem NSO-Skandal lernen müssen
• KI-gestütztes SOC: Wie automatisierte Security Operations den Fachkräftemangel lösen
• ChatGPT und Cybersecurity: Warum KI Angriff und Verteidigung verändert

Mehr aus dem MBF Media Netzwerk

cloudmagazin | MyBusinessFuture | Digital Chiefs

Quelle Titelbild: Pexels / Pixabay

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer