Projekt Hibiskus

StartComplianceNIS2

Compliance

NIS2 – EU-Cybersicherheitsrichtlinie

Rechtspflicht EU-Richtlinie · in Kraft seit Oktober 2024 · KRITIS & Lieferkette
Was ist NIS2?
NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit kritischer und wichtiger Einrichtungen stellt. Sie ersetzt die NIS-1-Richtlinie von 2016 und gilt seit Oktober 2024 in Deutschland über das NIS2UmsuCG.

Bin ich betroffen?

NIS2 unterscheidet zwei Kategorien von Unternehmen:

Kategorie 1

Wesentliche Einrichtungen

Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur. Ab 250 Mitarbeitern oder 50 Mio. EUR Umsatz. Strengere Anforderungen und höhere Bußgelder (bis 10 Mio. EUR oder 2% des Umsatzes).

Kategorie 2

Wichtige Einrichtungen

Post, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, digitale Dienste. Ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Bußgelder bis 7 Mio. EUR oder 1,4% des Umsatzes.

Lieferketten-Effekt
Auch wenn Ihr Unternehmen selbst nicht direkt unter NIS2 fällt: Wenn Sie Lieferant oder Dienstleister einer betroffenen Einrichtung sind, werden diese Anforderungen an ihre Lieferkette weitergeben. Praktisch betrifft das sehr viele KMU.

Was NIS2 verlangt

NIS2 schreibt keine spezifischen Produkte vor, sondern einen risikobasierten Ansatz. Unternehmen müssen geeignete Maßnahmen in diesen Bereichen nachweisen:

  • Risikoanalyse und Sicherheitskonzept – dokumentierte Bewertung der IT-Risiken
  • Incident Management – Verfahren zur Erkennung, Meldung und Bewältigung von Vorfällen
  • Business Continuity – Backup, Wiederherstellung, Krisenmanagement
  • Supply Chain Security – Sicherheitsanforderungen an Lieferanten und Dienstleister
  • Sicherheit bei Beschaffung – Sicherheit in Entwicklung und Wartung von IT-Systemen
  • Kryptografie und Verschlüsselung – wo angemessen eingesetzt
  • Zugriffskontrolle und MFA – nach dem Least-Privilege-Prinzip
  • Schulungen – Mitarbeiter und Geschäftsführung

Meldepflichten unter NIS2

Stufe 1: 24h

Früher Hinweis

Bekanntwerden eines signifikanten Vorfalls: innerhalb von 24 Stunden Frühmeldung an das BSI (ohne vollständige Details).

Stufe 2: 72h

Vorfallsmeldung

Vollständige Vorfallsmeldung mit ersten Bewertungen, Auswirkungen und ergriffenen Maßnahmen innerhalb von 72 Stunden.

Stufe 3: 1 Monat

Abschlussbericht

Abschließender Bericht mit vollständiger Analyse, Ursachen, Maßnahmen und ggf. grenzüberschreitenden Auswirkungen.

Geschäftsführungshaftung

Persönliche Haftung
NIS2 schreibt explizit vor, dass die Unternehmensleitung für die Umsetzung von Cybersicherheitsmaßnahmen verantwortlich ist und Schulungen absolvieren muss. Bei Verstößen kann die Geschäftsführung persönlich haftbar gemacht werden.

Verhältnis zu ISO 27001

Eine ISO-27001-Zertifizierung deckt viele NIS2-Anforderungen ab und kann als Nachweis gegenüber Behörden und Kunden dienen. Für Unternehmen, die ihre Sicherheit systematisch ausbauen wollen, ist ISO 27001 ein anerkannter Rahmen.

Checkliste: NIS2-Vorbereitung