Die NIS-2-Richtlinie der Europäischen Union markiert einen bedeutenden Meilenstein in der europäischen Cybersicherheitsstrategie. Sie erweitert die Vorgaben der ursprünglichen NIS-Richtlinie nicht nur inhaltlich, sondern auch hinsichtlich des Anwendungsbereichs und der Sanktionsmechanismen. Unternehmen aus einer Vielzahl kritischer und wichtiger Sektoren sind verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer Netz- und Informationssysteme umzusetzen. Dies betrifft nicht nur Betreiber kritischer Infrastrukturen, sondern auch eine Vielzahl mittelständischer Unternehmen, die bislang nicht im Fokus regulatorischer Anforderungen standen.
In der Praxis bedeutet dies, dass Organisationen ihre Sicherheitsarchitektur, Prozesse und Governance-Strukturen kritisch hinterfragen und neu ausrichten müssen. Neben der Implementierung technischer Schutzmaßnahmen rücken auch Aspekte wie Risikomanagement, Lieferkettenabsicherung und ein systematisches Vorfallmanagement in den Vordergrund. Die Herausforderung besteht darin, die gesetzlichen Vorgaben nicht nur formal zu erfüllen, sondern diese in eine tragfähige Sicherheitskultur zu überführen, die sowohl den operativen Anforderungen als auch den Prüfstandards der Aufsichtsbehörden standhält.
Jetzt kontaktierenDie NIS-2-Richtlinie (EU) 2022/2555 ist eine unmittelbar geltende Weiterentwicklung der NIS-Richtlinie aus dem Jahr 2016 und wurde geschaffen, um den gestiegenen Bedrohungslagen im Cyberraum Rechnung zu tragen. Sie verpflichtet die Mitgliedstaaten, einheitliche Mindeststandards für Netz- und Informationssicherheit festzulegen und diese durch nationale Umsetzungsgesetze zu konkretisieren. In Deutschland erfolgt dies über die Anpassung des BSI-Gesetzes (BSIG) und begleitender Rechtsverordnungen.
Der Anwendungsbereich ist deutlich erweitert worden. Neben Betreibern kritischer Infrastrukturen (KRITIS) werden auch sogenannte „wichtige Einrichtungen“ erfasst. Dazu zählen unter anderem Unternehmen aus der Fertigungsindustrie, dem Post- und Kurierwesen, der Lebensmittelproduktion, der Abfallwirtschaft sowie bestimmte digitale Diensteanbieter. Die Einstufung richtet sich primär nach der Unternehmensgröße (in der Regel ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz), kann jedoch auch unabhängig von dieser Größe erfolgen, wenn die Tätigkeit für die Gesellschaft von besonderer Bedeutung ist.
Die Nichteinhaltung der Pflichten kann erhebliche finanzielle Konsequenzen haben. NIS-2 sieht für „wesentliche Einrichtungen“ Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor, für „wichtige Einrichtungen“ bis zu 7 Mio. € oder 1,4 % des Umsatzes. Diese verschärften Sanktionsmechanismen unterstreichen die Notwendigkeit einer fristgerechten und vollständigen Umsetzung.
Kern der NIS-2-Umsetzung ist die Implementierung eines umfassenden Sicherheitsmanagements, das alle relevanten Aspekte der Informationssicherheit adressiert. Hierzu gehört in erster Linie ein etabliertes Risikomanagementverfahren, das sowohl die internen Systeme als auch externe Abhängigkeiten, insbesondere von Lieferanten und Dienstleistern berücksichtigt.
Unternehmen müssen geeignete technische und organisatorische Maßnahmen (TOMs) einführen, die den Stand der Technik widerspiegeln und dem identifizierten Risiko angemessen sind. Dazu zählen beispielsweise Zugangskontrollen, Netzsegmentierung, Verschlüsselung sensibler Daten, regelmäßige Schwachstellenanalysen und Penetrationstests. Ebenso wichtig sind organisatorische Elemente wie klare Rollen- und Verantwortlichkeitsdefinitionen, dokumentierte Sicherheitsrichtlinien sowie ein kontinuierliches Schulungs- und Awareness-Programm für Mitarbeitende.
Ein weiterer zentraler Bestandteil ist das Incident-Response-Management. NIS-2 verpflichtet betroffene Unternehmen, erhebliche Sicherheitsvorfälle unverzüglich an die zuständige nationale Behörde, in Deutschland das BSI, zu melden. Dabei ist ein mehrstufiges Meldeverfahren einzuhalten: eine Erstmeldung innerhalb von 24 Stunden, eine detaillierte Zwischenmeldung innerhalb von 72 Stunden und ein Abschlussbericht nach spätestens einem Monat. Unternehmen sollten daher vorab Prozesse und Kommunikationswege etablieren, um im Ernstfall handlungsfähig zu sein.
Der Weg zur NIS-2-Konformität beginnt in der Regel mit einer umfassenden Gap-Analyse. Diese Bestandsaufnahme ermittelt den Ist-Zustand der bestehenden Sicherheitsmaßnahmen im Vergleich zu den gesetzlichen Anforderungen. Die Ergebnisse bilden die Grundlage für einen priorisierten Maßnahmenplan, der sowohl kurzfristige Quick-Wins als auch langfristige Strukturänderungen berücksichtigt.
In einem zweiten Schritt erfolgt die Entwicklung oder Anpassung der Sicherheitsstrategie. Diese sollte mit der Unternehmensstrategie verzahnt sein und klare Zielvorgaben für das Risikomanagement, die Sicherheitsarchitektur und die Mitarbeitersensibilisierung enthalten. Dabei ist es entscheidend, die Anforderungen der NIS-2 nicht isoliert zu betrachten, sondern sie mit anderen regulatorischen Pflichten, etwa aus der DSGVO oder branchenspezifischen Normen, zu harmonisieren.
Die Implementierungsphase umfasst die konkrete Umsetzung der technischen und organisatorischen Maßnahmen. Hierzu zählen neben der Beschaffung und Konfiguration von Sicherheitstechnologien auch Prozessanpassungen, Vertragsprüfungen mit Lieferanten sowie die Integration eines kontinuierlichen Überwachungssystems. Parallel sollte ein internes Kontrollsystem etabliert werden, um die Wirksamkeit der Maßnahmen regelmäßig zu überprüfen und an neue Bedrohungslagen anzupassen.
Vor Abschluss empfiehlt sich ein internes oder extern begleitetes Audit, um die Umsetzung zu verifizieren und eventuelle Abweichungen vor der offiziellen Prüfung zu korrigieren. Eine enge Zusammenarbeit mit der Geschäftsleitung ist dabei unverzichtbar, da NIS-2 eine persönliche Verantwortung der Unternehmensleitung für die Umsetzung vorsieht.
Die größte praktische Hürde für viele Unternehmen liegt in der gleichzeitigen Umsetzung technischer, organisatorischer und vertraglicher Maßnahmen innerhalb der knappen Umsetzungsfristen. Insbesondere mittelständische Betriebe verfügen häufig nicht über ausreichend interne Ressourcen oder spezifisches Fachwissen, um die Anforderungen vollständig abzudecken.
Ein erprobter Best Practice ist daher die Bildung eines interdisziplinären Projektteams, das IT, Recht, Compliance und operative Fachbereiche vereint. Dies gewährleistet, dass alle relevanten Perspektiven berücksichtigt werden und Synergieeffekte genutzt werden können. Die Zusammenarbeit mit externen Spezialisten, beispielsweise für Penetrationstests, rechtliche Bewertung oder Projektmanagement, kann die Umsetzung erheblich beschleunigen und qualitativ absichern.
Darüber hinaus ist es ratsam, die Umsetzung modular zu gestalten. Statt alle Maßnahmen gleichzeitig anzugehen, sollten priorisierte Handlungsfelder definiert und in Etappen umgesetzt werden. Dies erleichtert die Steuerung, reduziert Umsetzungsrisiken und erlaubt es, frühzeitig sichtbare Fortschritte zu erzielen.
Schließlich sollte NIS-2 nicht als reine Compliance-Pflicht verstanden werden, sondern als Chance, die Resilienz und Wettbewerbsfähigkeit des Unternehmens zu steigern. Eine robuste Sicherheitsarchitektur wirkt sich positiv auf Kundenvertrauen, Geschäftsbeziehungen und die Position im Markt aus – insbesondere in Branchen, in denen Sicherheit zu einem zentralen Auswahlkriterium für Geschäftspartner geworden ist.
Christian Wächter
Lead Auditor 27001
w2 Beratungsgesellschaft mbH
Am Güterbahnhof 11
21035 Hamburg
Mail: info@w2-beratung.de
Telefon: 040 2396 94405
Erfüllen Sie die Anforderungen der NIS-2-Richtlinie mit einem erfahrenen Partner an Ihrer Seite.
Beratungsgespräch anfordern