Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Cybersicherheit, die deutlich mehr Unternehmen als ihr Vorgänger erfasst. In Deutschland wurde sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Kurz gefasst: Unternehmen in bestimmten Sektoren müssen nachweislich Mindeststandards für IT-Sicherheit einhalten, Vorfälle melden und sich registrieren. Bei Verstößen drohen empfindliche Bußgelder.

Bußgelder: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Geschäftsführer können persönlich haftbar gemacht werden.

Bin ich betroffen?

NIS2 erfasst Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in definierten Sektoren. Kleinere Unternehmen können ebenfalls betroffen sein, wenn sie kritische Infrastruktur betreiben oder Zulieferer für betroffene Unternehmen sind.

Betroffene Sektoren (Auswahl):

⚡ Energie (Strom, Gas, Wärme)
🚗 Verkehr & Logistik
🏦 Finanz- & Bankwesen
🏥 Gesundheitswesen
💧 Wasser & Abwasser
🏭 Verarbeitendes Gewerbe
💻 Digitale Infrastruktur
🍎 Lebensmittel

Auch Zulieferer und Dienstleister dieser Branchen geraten zunehmend in den Fokus – über die Sorgfaltspflichten ihrer Auftraggeber.

Welche Pflichten gelten?

NIS2 schreibt konkrete technische und organisatorische Maßnahmen vor:

  • Risikoanalyse und Sicherheitskonzept – dokumentiert und regelmäßig aktualisiert
  • Incident Response – Verfahren für den Umgang mit Sicherheitsvorfällen
  • Business Continuity – Backup, Notfallpläne, Wiederherstellungsverfahren
  • Lieferkettensicherheit – Anforderungen an IT-Dienstleister und Zulieferer
  • Patch-Management – Sicherheitsupdates zeitnah einspielen
  • Zugangskontrolle und Authentifizierung – MFA, Least-Privilege-Prinzip
  • Verschlüsselung – für sensible Daten und Kommunikation
  • Mitarbeiterschulung – nachweisliche Security-Awareness-Trainings

Meldepflichten bei Sicherheitsvorfällen

Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen gegenüber dem BSI:

  • 24 Stunden: Erstmeldung (Frühwarnung) nach Bekanntwerden
  • 72 Stunden: Detaillierte Meldung mit Einschätzung des Vorfalls
  • 1 Monat: Abschlussbericht mit Ursache, Auswirkung und Gegenmaßnahmen

Erste Schritte – was Sie jetzt tun sollten

  1. Betroffenheit prüfen – Branche, Mitarbeiterzahl, Umsatz abgleichen
  2. Registrierung beim BSI – betroffene Unternehmen müssen sich registrieren
  3. Gap-Analyse – bestehende Maßnahmen mit NIS2-Anforderungen vergleichen
  4. Maßnahmenplan – priorisierte Umsetzung der fehlenden Sicherheitsmaßnahmen
  5. Dokumentation – alle Maßnahmen nachweisbar dokumentieren

IT-Smarter unterstützt Unternehmen in der Region Erding bei der NIS2-Compliance: von der Gap-Analyse über technische Maßnahmen bis zur Dokumentation. Sprechen Sie uns an.

Quellen