NIS2 einfach erklärt: Was Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie stärkt die IT-Sicherheit innerhalb der EU. Bald ist die EU-Richtlinie Pflicht und Unternehmen müssen diese umsetzen. Wir erklären, was für Unternehmen und Organisationen jetzt zu tun ist.

„NIS“ steht für „Network and Information Security“. Die NIS2-Richtlinie ersetzt die bisherige EU-weite NIS1-Richtlinie von 2016. Dies ist eine Reaktion auf sich ändernde Rahmenbedingungen und eine wachsende Cyberbedrohung. Die NIS2-Richtlinie erweitert den Anwendungsbereich, verschärft die Umsetzungspflichten und die behördliche Aufsicht. Bei Nichtumsetzung drohen hohe Geldstrafen.

Die EU-Richtlinie ist nicht direkt anwendbar, sondern muss erst in nationales Recht umgesetzt werden. Die Europäische Union hat den 17. Oktober 2024 als Stichtag vorgegeben, doch Deutschland hat diesen Termin aufgrund der vorgezogenen Neuwahlen nicht eingehalten. Aufgrund der nicht rechtzeitigen Umsetzung der NIS2-Richtlinie erfolgte die Einleitung eines Vertragsverletzungsverfahrens gegen Deutschland und weitere EU-Staaten.

Aktueller Stand: Die nationale Umsetzung der NIS2 soll noch 2025 in Kraft treten.

Am 30.07.2025 wurde der Regierungsentwurf zur nationalen Umsetzung der NIS2 verabschiedet. Damit sind die weiteren Schritte zur Umsetzung der Richtlinie in Deutschland eingeleitet. Im nächsten Schritt befassen sich Bundesrat und Bundestag mit dem Gesetz. Das Gesetz soll im Dezember 2025 oder Januar 2026 in Kraft treten.

Ziele der NIS2-Richtlinie

• Verbesserung der Cybersicherheit auf EU-Ebene:
  NIS2 soll die Cybersicherheit von Unternehmen und Einrichtungen in der EU verbessern, indem sie strengere Sicherheitsanforderungen, einen erweiterten Geltungsbereich und höhere Sanktionen bei Nichteinhaltung vorsieht.
  
  
• Hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme auf EU-Ebene:
  Cyberangriffe machen nicht vor Ländergrenzen halt, daher muss ein EU-weites, hohes und robustes Sicherheitsniveau geschaffen werden.
  
  
• Harmonisierung, Erweiterung und Anpassung der Cybersicherheitsanforderungen & Sanktionierung innerhalb der EU:
  Mit NIS2 sollen einheitliche Cybersicherheitsstandards in der EU geschaffen und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert werden.
  
  
• Bessere Reaktionsfähigkeit und höhere Resilienz
  Die NIS2-Richtlinie soll Unternehmen und Einrichtungen besser auf zukünftige Cyberbedrohungen und Krisensituationen vorbereiten.

Welche Unternehmen sind von der NIS2-Richtlinie betroffen?

Die Betroffenheit eines Unternehmens ergibt sich aus der Mitarbeiteranzahl, dem Jahresumsatz, der Jahresbilanzsumme und dem Sektor, in dem ein Unternehmen tätig ist (Artikel 2 NIS2-Richtlinie, § 30 im Gesetzesentwurf). Im Anhang 1 und Anhang 2 der NIS2-Richtlinie wird konkretisiert, welche Sektoren betroffen sind.

In der NIS2-Richtlinie wird von „Einrichtungen“ gesprochen. Dies beinhaltet öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mllionen EUR Jahresumsatz und Jahresbilanzsumme. Zudem gibt es einige Sonderfälle. Diese Einrichtungen sind unabhängig von ihrer Größe von der NIS2-Richtlinie betroffen.

Unterscheidung in wichtige Einrichtungen und besonders wichtige Einrichtungen

Je nachdem, welche Kriterien auf ein Unternehmen zutreffen, wird ein Unternehmen gemäß des Gesetzesentwurfs als wichtige Einrichtung oder als besonders wichtige Einrichtung  in der NIS2-Richtlinie) kategorisiert. Diese Einordnung bedeutet für besonders wichtige Unternehmen strengere Umsetzungsregeln, höhere Bußgelder bei Nichtumsetzung und weiteren Registrierungspflichten.

Sprachliche Unterschiede zwischen europäischer NIS2-Richtlinie und nationaler Gesetzgebung

Zwischen der europäischen NIS2-Richtlinie und der nationalen Umsetzung, dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), gibt es sprachliche Unterschiede in der Bezeichnung der Einrichtungsarten. Diese können wie folgt eingeordnet werden:

Besonders wichtige Einrichtungen

→ Wording aus dem nationalen NIS2UmsuCG = „wesentliche Einrichtungen“ in der EU NIS2-Richtlinie

Wichtige Einrichtungen

→ Wording aus dem nationalen NIS2UmsuCG = „ wichtige Einrichtungen“ in der EU NIS2-Richtlinie

Derzeit wird davon ausgegangen, dass ca. 30.000 Unternehmen betroffen sind. Möglicherweise könnten jedoch sehr viel mehr Unternehmen mit der NIS2 konfrontiert werden, aufgrund der Anforderungen an die Sicherheit in der Lieferkette.

Warum gibt es die NIS2-Richtlinie?

Die bisherige NIS1-Richtlinie hatte vor allem den Fokus auf kritische Infrastrukturen und auf die nationale Zusammenarbeit. Ihr zentrales Element war die Einrichtung nationaler CSIRTS (Computer Security Incident Response Teams) – zentrale Anlaufstellen für Cyberangriffe und die Koordination der Reaktionen. Zudem förderte sie die Vernetzung der nationalen Cybersicherheitsbehörden auf EU-Ebene.

Allerdings hat die Coronapandemie die Notwendigkeit dieser verstärkten Maßnahmen immens verdeutlicht. Die rasante und oft unüberlegte Einführung von Homeoffice-Lösungen, bei denen Mitarbeiter ohne angemessene IT-Sicherheitsvorkehrungen in geschäftliche Umgebungen vermittelt wurden, führte zu einer übermäßigen Nutzung digitaler Technologien und zur Nutzung privater Geräte im beruflichen Kontext.

Zusätzlich hat die zunehmende Digitalisierung und die stärkere Vernetzung von Systemen und Unternehmen die Zahl und Komplexität von Cyberangriffen erheblich gesteigert. Aus diesen Gründen ist die NIS2-Richtlinie entstanden, um diese zusätzlichen Risiken effektiver zu bekämpfen und einen umfassenderen Schutz zu gewährleisten.

Fazit

Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie einen erheblichen Einfluss auf deutsche Unternehmen hat, insbesondere auf solche, die in kritischen Sektoren tätig sind oder eine bestimmte Größe erreichen. Die Umsetzung der Richtlinie erfordert eine Anpassung der Sicherheitsmaßnahmen und eine Überprüfung der bestehenden Prozesse.

Wir sind Ihr Partner in der Umsetzung der aus der NIS2 entstehenden Anforderungen an die IT-Sicherheit. Gemeinsam mit unseren Experten analysieren wir Ihre Ist-Situation und stehen Ihnen auf dem Weg zur NIS2-Konformität zur Seite.