Ein neues Gespenst geht um in Deutschland. Diesmal betrifft es nicht den Datenschutz in Form der DSGVO, sondern die IT-Sicherheit – konkret: die EU-Richtlinie NIS2.

Schon der Name zeigt, dass NIS2 keine völlig neue Initiative ist. Die ursprüngliche Richtlinie über Netz- und Informationssicherheit (NIS, Richtlinie (EU) 2016/1148) trat 2016 in Kraft und musste bis Mai 2018 von den Mitgliedstaaten in nationales Recht überführt werden. In Deutschland erfolgte die Umsetzung über das BSI-Gesetz (BSIG). Mit NIS2 steht nun eine überarbeitete und deutlich ausgeweitete Nachfolgeregelung bevor.

Zwei Aspekte sind dabei besonders hervorzuheben:

  • Erweiterter Geltungsbereich: Im Unterschied zur ersten NIS-Richtlinie sind unter NIS2 deutlich mehr Unternehmen betroffen – auch solche, die bislang nicht als Betreiber kritischer Infrastrukturen galten. Die Richtlinie bezieht zahlreiche weitere Branchen ein, unter anderem im verarbeitenden Gewerbe, in der Abfallwirtschaft, im öffentlichen Sektor und bei digitalen Dienstleistungen.

  • Verzögerte Umsetzung in Deutschland: Die Frist zur Umsetzung von NIS2 in nationales Recht endete am 17. Oktober 2024. Deutschland hat diese Frist nicht eingehalten. Zwar liegt seit Januar 2024 ein Referentenentwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) vor, doch bislang wurde dieser nicht verabschiedet. Durch die vorgezogene Bundestagswahl im Februar 2025 wird nun erwartet, dass sich der Gesetzgebungsprozess weiter verzögert, da der Entwurf dem neuen Bundestag erneut vorgelegt werden muss.

Nach aktuellem Stand ist damit zu rechnen, dass das NIS2UmsuCG im Laufe des zweiten oder dritten Quartals 2025 beschlossen wird. Geplant ist, dass es am Tag nach der Verkündung ohne weitere Übergangsfrist in Kraft tritt. Der aktuelle Stand des NIS2UmsuCG kann auf der Webseite des BMI eingesehen werden.

Durch die verzögerte Umsetzung scheinen einige Unternehmen in Deutschland NIS2 nicht direkt auf dem Radar zu haben oder überhaupt zu wissen, dass sie potenziell von NIS2 betroffen sind. Allerdings ist es dringend empfehlenswert zu prüfen, ob man von NIS2 betroffen ist und welche Vorgaben noch umgesetzt werden müssen. Das BSI wird nach aktuellem Stand der Informationen nicht proaktiv auf die von NIS2 betroffenen Unternehmen zugehen.

Das Ziel der NIS2-Richtlinie

Mit der NIS2-Richtlinie verfolgt die Europäische Union das Ziel, die Cyber- und Informationssicherheit innerhalb des Binnenmarkts flächendeckend zu verbessern. Angesichts zunehmender digitaler Vernetzung, steigender Cyberbedrohungen und immer stärkerer Abhängigkeit von digitalen Infrastrukturen soll NIS2 sicherstellen, dass Unternehmen und öffentliche Stellen in kritischen und wichtigen Sektoren einheitliche Mindeststandards für IT-Sicherheit umsetzen. Gleichzeitig soll die Richtlinie mehr Transparenz schaffen – etwa durch Meldepflichten bei Sicherheitsvorfällen – und die Resilienz gegenüber Angriffen und Störungen deutlich erhöhen. Damit ist NIS2 ein zentraler Baustein der europäischen Strategie für digitale Souveränität und eine Antwort auf die wachsenden Risiken für Wirtschaft, Staat und Gesellschaft im digitalen Raum

Welche Sektoren sind von NIS2 betroffen?

Die Frage, ob man selbst von der NIS2-Richtlinie betroffen ist, lässt sich nicht pauschal beantworten. Im Zweifelsfall sollte eine rechtliche Bewertung durch eine Juristin oder einen Juristen erfolgen. Dennoch lassen sich einige grundlegende Faktoren betrachten, um eine erste Einschätzung zu ermöglichen.

Zunächst sollte geprüft werden, ob das eigene Unternehmen zu einer der von NIS2 erfassten Branchen gehört. Die Richtlinie unterscheidet hierbei zwischen besonders wichtigen Einrichtungen („Essential Entities“) und wichtigen Einrichtungen („Important Entities“).

Besonders wichtige Einrichtungen unterliegen einer strengeren behördlichen Aufsicht. So sind beispielsweise auch anlasslose Kontrollen durch die zuständigen Behörden möglich.

Zu den Essential Entities (besonders wichtigen Einrichtungen) gehören:

  • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
  • Transport (Luftfahrtverkehr, Schienenverkehr, Straßenverkehr, Schifffahrt)
  • Banken und Kreditinstitute
  • Finanzmärkte (Börsen, Handelsplätze)
  • Gesundheit (Gesundheitsdienstleister, Labore, Medizinforschung, Medizingeräte, Pharmazeutik)
  • Trinkwasser
  • Abwasserversorgung
  • Digitale Infrastruktur (Internet-Knoten, DNS-Dienste, TLD-Registrare, Cloud-Dienste, Rechenzentren, CDNs, Kommunikationsdienste und -netze)
  • ICT-Service-Management im B2B-Bereich (Managed Services für IT, Netze, Infrastruktur und Anwendungen sowie Managed Security Services für Risiko- und Cybersicherheit)
  • Öffentliche Verwaltung
  • Weltraum (Infrastruktur für weltraumgestützte Dienste)

Zu den Important Entities (wichtigen Einrichtungen) zählen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemikalien (Produktion, Herstellung, Handel und Erzeugung)
  • Lebensmittel (Produktion, Verarbeitung und Großhandel)
  • Herstellung von Medizinprodukten, Datenverarbeitung, Elektronik, Optik, Maschinenbau, Fahrzeugbau sowie Kraftwagen und -teile
  • Digitale Dienstleistungen für Marktplätze, Suchmaschinen und soziale Netzwerke
  • Forschungsinstitute ohne Bildungseinrichtung

Man ist jedoch nicht automatisch von der NIS2-Richtlinie betroffen, nur weil das Unternehmen in einem oder mehreren der aufgeführten Sektoren tätig ist. Zusätzlich berücksichtigt NIS2 einen sogenannten „Size Cap“ (Größenschwelle), der sich auf die Unternehmensgröße in Bezug auf Mitarbeiterzahl und Jahresumsatz bezieht.

Die Grenze liegt bei mindestens 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro. Daher sind kleine Unternehmen in den meisten Fällen von der Richtlinie ausgenommen.

Allerdings gibt es wichtige Ausnahmen: Systemrelevante Unternehmen wie beispielsweise TLD-Registrare (z. B. DENIC), DNS-Dienstanbieter oder Vertrauensdiensteanbieter (z. B. für digitale Signaturen) fallen unabhängig von ihrer Größe unter die NIS2-Richtlinie. Diese Ausnahme ist explizit in Artikel 2 Absatz 2 der Richtlinie geregelt.

Erwähnenswert ist auch, dass die NIS2-Richtlinie zusätzlich zu anderen gesetzlichen Regelungen gelten kann. So kann ein Unternehmen beispielsweise auch unter die Regelungen für kritische Infrastrukturen (KRITIS) oder die DORA-Verordnung (für den Finanzsektor) fallen – und ist dennoch zusätzlich von NIS2 betroffen. In diesem Fall müssen alle relevanten Vorgaben parallel umgesetzt werden.

Kontrolle

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist als zuständige Aufsichtsbehörde befugt, bei betroffenen Unternehmen Kontrollen und Prüfungen durchzuführen. Alternativ kann es auch Dritte beauftragen, die im Namen des BSI entsprechende Kontrollen vornehmen – etwa qualifizierte Prüforganisationen oder Zertifizierungsstellen.

Kontrollen können anlasslos erfolgen – etwa stichprobenartig – aber auch anlassbezogen, etwa im Falle eines (gemeldeten) Sicherheitsvorfalls. Besteht der Verdacht, dass ein Sicherheitsvorfall durch die Missachtung von NIS2-Richtlinie begünstigt wurde, kann das BSI entsprechende Kontrollen durchführen oder durchführen lassen.

Es ist jedoch kein Geheimnis, dass das BSI bereits stark ausgelastet ist. Daher ist davon auszugehen, dass nur ein Bruchteil der betroffenen Unternehmen tatsächlich auch kontrolliert wird. Auf diesen Umstand sollte man sich jedoch keinesfalls verlassen – denn die gesetzlichen Pflichten gelten unabhängig davon, ob eine Kontrolle erfolgt oder nicht.

Inhalte von NIS2

Sicherheitsmaßnahmen

Unternehmen die von NIS2 betroffen sind müssen folgende Sicherheitsmaßnahmen umsetzten:

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Sicherheit in der Entwicklung, Beschaffung und Wartung
  • Management von Schwachstellen
  • Bewertung der Effektivität von Cybersicherheit und Risiko-Management
  • Schulungen Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagen-Management
  • Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Sichere Kommunikation (Sprach, Video- und Text)
  • Sichere Notfallkommunikatiom

Es soll noch einmal ausdrücklich gesagt sein, dass diese Maßnahmen für das gesamte Unternehmen gelten – und nicht nur für die IT oder IT-Abteilungen.

Aus den Anforderungen der NIS2-Richtlinie lässt sich ableiten, dass ein IT-Risikomanagement die Grundlage für deren Umsetzung bildet. Unternehmen müssen zunächst ihre Infrastruktur erfassen und bewerten, welchen Risiken sie ausgesetzt ist – zum Beispiel anhand der CIA-Trias (Vertraulichkeit, Integrität und Verfügbarkeit) oder auf Basis etablierter Frameworks wie ISO/IEC 27005, NIST RMF oder COSO ERM.

Darauf basierend sind technische und organisatorische Maßnahmen zu definieren und umzusetzen. NIS2 betont dabei, dass diese Maßnahmen stets verhältnismäßig und angemessen zum Risiko sein müssen. Ein wirksames Risikomanagement ist daher kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der regelmäßig überprüft und aktualisiert werden muss – insbesondere, um neue Risiken zu identifizieren oder bestehende Maßnahmen auf ihre Wirksamkeit zu prüfen.

Auch wenn der Risikomanagement-Prozess ein zentraler Baustein ist, reicht er allein nicht aus, um alle Anforderungen der NIS2-Richtlinie zu erfüllen. Denn zahlreiche Anforderungen – wie Zugriffsmanagement, Kryptografie, Patch- und Schwachstellenmanagement – gehen weit über eine reine Risikomanagment hinaus und erfordert eine umsetzung von konkreten technischen Schutzmaßnahmen.

Zusätzliche müssen Unternehmen Prozesse und Richtlinien definieren, etwa im Bereich des Krisenmanagements oder Business Continuity Management. Es muss dokumentiert sein, wer im Ernstfall die Verantwortung übernimmt, wie die Abläufe geregelt sind und welche Maßnahmen ergriffen werden. Auch Abläufe wie das Einspielen von Backups sollten regelmäßig getestet werden – nicht nur zur Prozesssicherheit, sondern auch, um zu gewährleisten, dass Backups tatsächlich valide und funktionsfähig sind.

Teilweise überschneiden sich die Anforderungen auch mit einem ISMS. Allerdings ist ein ISMS nicht explizit gefordert, kann aber natürlich dabei helfen die weiteren Anforderungen von NIS2 bazudecken. Ein

Nicht zuletzt müssen alle Mitarbeitenden – einschließlich der Geschäftsführung und Entscheidungsverantwortlichen – regelmäßig im Bereich IT-Sicherheit geschult werden. Schulungen sollten unter anderem auf Themen wie Ransomware, Phishing und Social Engineering eingehen, um ein grundlegendes Sicherheitsbewusstsein im gesamten Unternehmen zu etablieren.

Lieferkettensicherheit

Ein wichtiges Element der NIS2-Richtlinie ist die Sicherheit in der Lieferkette. NIS2 verpflichtet betroffene Einrichtungen nicht nur dazu, die eigene IT-Sicherheit auszubauen, sondern auch sicherzustellen, dass Dienstleister und externe Partner keine Schwachstelle im eigenen Gesamtsystem darstellen. Unternehmen müssen daher Risiken aus der Zusammenarbeit mit IT-Dienstleistern, Softwareanbietern, Hosting-Providern oder auch Cloud-Plattformen identifizieren und steuern.

Konkret bedeutet das: Es müssen technische und organisatorische Anforderungen an Dienstleister definiert und vertraglich vereinbart werden – z. B. in Form von Sicherheitsstandards, Meldepflichten bei Vorfällen, regelmäßigen Updates, Zugriffskontrollen oder Auditrechten. Auch sollten Unternehmen dokumentieren können, wie sie Dienstleister auswählen, prüfen und überwachen.Nach Möglichkeit sollte ein Dienstleister kein Single Point of Failure sein, und mögliche Abhängigkeiten durch Dienstleister sollten strategisch erfasst werden. Eine ISO-27001 Zertifizierung des Dienstleisters allein genügt dabei nicht – entscheidend ist, dass die tatsächlichen Maßnahmen dem Stand der Technik entsprechen und auf das eigene Risikoprofil abgestimmt sind. So können potenzielle Schwachstellen in der Lieferkette minimiert und regulatorische Anforderungen nachweislich erfüllt werden.

Registrierung beim BSI

Sowohl Unternehmen, die als wesentliche oder wichtige Einrichtungen gelten, müssen sich beim BSI als solche registrieren. Aktuell ist dies noch nicht möglich. Möglicherweise wird die Registrierung zukünftig auch auf EU-Ebene möglich oder nötig sein.

Meldung von Sicherheitsvorfällen

Mit NIS2 haben sich die Zeitspannen wann ein Sicherheitsvorfall (Datenabfluss, Ransomware, etc.) gemeldet werden muss verkürzt. Sicherheitsvorfälle müssen nun von innerhalb 24 Stunden an das BSI gemeldet werden. Nach spätestens 72 Stunden muss ein vollständiger Vorfallsbericht übermittelt werden. Die Abschlussbewertung mit getroffenen Maßnahmen um zukünftige ähnliche Vorfälle zu verhindern muss nach einem Monat eingereicht werden.

Frühwarnung (24 Std. nach Vorfall): Spätestens 24 Stunden nach Kenntnisnahme muss eine erste Meldung beim BSI eingehen. Diese enthält:

  • Eine allgemeine Beschreibung des Vorfalls
  • Eine Einschätzung, ob es sich um einen vorsätzlichen Angriff handelt
  • Die potenzielle Schwere und Reichweite der Auswirkungen
  • Hinweise auf eine mögliche grenzüberschreitende Relevanz
  • Gegebenenfalls Angaben zur geplanten öffentlichen Kommunikation

Folgebericht (72 Std. nach dem Vorfall):

  • Technische Details zum Vorfall
  • Die vermutete Ursache oder Eintrittsvektoren
  • Betroffene Systeme, Standorte oder Dienste
  • Erste Maßnahmen zur Eindämmung
  • Geplante weitere Schritte zur Behebung Abschlussbericht – innerhalb eines Monats

Abschlussbericht (30 Tage nach Frühwarnung):

  • Eine finale Analyse des Vorfalls
  • Alle getroffenen Abhilfemaßnahmen
  • Eine Bewertung der Auswirkungen
  • Lessons Learned
  • Maßnahmen zur Vermeidung zukünftiger Vorfälle

Verantwortlichkeiten definieren

Die Geschäftsführung und Vorstand sind verantwortlich für die Umsetzung der NIS2 Maßnahmen und auch unter umständen persönlich haftbar wenn grob fahrlässig gehandelt wurde. Es müssen im Unternehmen klare verantwortlichkeiten und Zuständigkeiten definiert werden (Beispielweise CISO oder Sicherheitsbeauftragte).

Dokumentation und Nachweispflicht

Unternehmen sollten alle getroffenen Sicherheitsmaßnahmen, durchgeführten Audits, Richtlinien/Prozesse oder auch Risikobewertungen dokumentieren, damit nachvollzogen werden kann, was gemacht wurde – und auch warum. Diese Dokumentation dient zudem als Nachweis, falls das BSI eine Kontrolle bezüglich der NIS2-Umsetzung durchführt.

Kritik an NIS2

Auch wenn die Absicht der NIS2-Richtlinie vom Prinzip her gut ist, gibt es vor allem aus der Wirtschaft, von IT-Dienstleistern und aus dem Mittelstand immer wieder Kritik und Bedenken, ob die Richtlinie in ihrer aktuellen Form umsetzbar und zielführend ist.

Ein häufiger Kritikpunkt betrifft die unklare Auslegung wichtiger Begriffe. Was genau als „angemessene Maßnahmen“ gilt, wann ein „erheblicher Vorfall“ vorliegt oder wie „Lieferkettensicherheit“ konkret umzusetzen ist, bleibt oft vage formuliert. Selbst das BSI ist für die Überprüfung der Lieferkettensicherheit noch für Vorschläge aus der Wirtschaft offen. Unternehmen stehen dadurch vor der Herausforderung, ihre Pflichten richtig einzuordnen – insbesondere dann, wenn keine spezialisierte Rechtsabteilung oder externe Beratung zur Verfügung steht.

Zusätzlich wird der bürokratische und organisatorische Aufwand bemängelt, den NIS2 mit sich bringt – insbesondere für kleine oder mittelständische Unternehmen. Viele Firmen fühlen sich mit der Vielzahl an Anforderungen überfordert: Risikoanalysen, Meldepflichten, technische Maßnahmen, Lieferkettenkontrolle, Schulungen, Dokumentation – all das muss nicht nur umgesetzt, sondern auch regelmäßig nachgewiesen werden. Nicht zuletzt ist die Umsetzung auch mit einem erheblichen Zeit- und Kostenaufwand verbunden.

Ein weiterer Kritikpunkt betrifft die fehlende Harmonisierung innerhalb der EU. Zwar ist NIS2 als EU-Richtlinie gedacht, die einheitliche Mindeststandards schaffen soll, doch die Umsetzung liegt bei den Mitgliedstaaten in nationalen Gesetzen. Dadurch drohen in der Praxis unterschiedliche Anforderungen je nach Land, was für international tätige Unternehmen zu zusätzlichem Aufwand führt.

Zudem wird die Vielzahl an Ausnahmen in der NIS2-Richtlinie kritisiert. Behörden wie die Justiz, die Strafverfolgungsbehörden sowie deren Dienstleister, aber auch Ministerien und das Bundeskanzleramt sind davon ausgenommen. Kritiker bemängeln, dass gerade der Staat mit gutem Beispiel vorangehen sollte. Die zahlreichen Ausnahmen untergraben in ihren Augen die Glaubwürdigkeit und Vorbildfunktion der NIS2-Regelung.

Trotz dieser Kritikpunkte ist klar: Die Bedrohungslage durch Cyberangriffe wächst, und einheitliche Sicherheitsstandards sind notwendig. Entscheidend wird sein, wie praxisnah und verhältnismäßig die einzelnen EU-Staaten die Anforderungen in nationales Recht umsetzen – und wie Unternehmen dabei unterstützt werden. Auch wird vermutlich erst die Zeit zeigen, wie praxistauglich NIS2 tatsächlich ist.

Literatur

[1] openkritis.de, eine Webseite mit vielen hilfreichen Informationen bezüglich KRITIS und NIS2
[2] Informationen zu NIS2 vom BSI, die Webseite vom BSI zum Thema NIS2
[3] FAQ zu NIS2 vom BSI, eine FAQ-Seite vom BSI zu NIS2, welche einige interessante Fragen sowie Antworten enthält
[4] Betroffenheitsprüfung zu NIS2 vom BSI, die Seite behandelt noch einmal ausführlich, wer betroffen ist von NIS2, und bietet eine einfache Betroffenheitsprüfung
[5] NIS2 EU-Richtlinie, Link zur deutschsprachigen Version der NIS2-Richtlinie
[6] bundestag,de, Expertenkritik an geplanter Umsetzung der NIS2-Richtlinie [7] heise.de, ausführlicher Artikel bezüglich NIS2 von Heise