Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Gesetz · EU

NIS2-Richtlinie — EU-Cybersicherheitsrichtlinie

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.4A.5.7A.5.19A.5.20A.5.21A.5.23A.5.24A.5.25A.5.26A.5.29A.5.30A.5.36A.6.3A.8.7A.8.8A.8.16 EU

Ein Maschinenbau-Unternehmen mit 400 Mitarbeitenden erfährt aus einem Branchen-Newsletter, dass es als „wichtige Einrichtung” unter NIS2 fällt. Die Geschäftsleitung erkennt: Risikomanagement, Vorfallmeldung, Lieferantenbewertung und persönliche Haftung müssen innerhalb weniger Monate aufgestellt sein — andernfalls drohen Bußgelder bis 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Die bisherige IT-Compliance reicht nicht aus; eine systematische Lückenanalyse muss her.

Die Richtlinie (EU) 2022/2555 (NIS2) löste die NIS-1-Richtlinie ab und erweitert die EU-weite Cybersicherheits-Aufsicht erheblich. Sie galt formal ab dem 16. Januar 2023, die Umsetzungsfrist in nationales Recht endete am 17. Oktober 2024. Für Deutschland bedeutet das eine deutliche Erweiterung des Adressatenkreises gegenüber dem bisherigen KRITIS-Regime — vom Mittelstand bis zum Großkonzern, mit klaren Anforderungen an Governance, Lieferketten und Reaktion.

Wer ist betroffen?

NIS2 erweitert den NIS-1-Geltungsbereich erheblich. Die Richtlinie unterscheidet zwei Kategorien:

  • Besonders wichtige Einrichtungen (Anhang I) — Sektoren mit besonders hoher Bedeutung: Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienst-Management, öffentliche Verwaltung, Weltraum.
  • Wichtige Einrichtungen (Anhang II) — weitere Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.

Die Größenschwelle liegt bei 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz (mittlere Unternehmen). Bestimmte Schlüssel-Anbieter sind unabhängig von der Größe erfasst — etwa qualifizierte Vertrauensdienste, TLD-Registries, DNS-Diensteanbieter und Anbieter öffentlicher elektronischer Kommunikationsnetze.

Was verlangt das Gesetz?

NIS2 stützt sich auf drei Säulen: Governance, Risikomanagement, Vorfallmeldung.

  • Geschäftsleiter-Verantwortung (Art. 20) — die Leitungsorgane billigen die Risikomanagement-Maßnahmen, überwachen die Umsetzung und können persönlich haftbar gemacht werden. Pflicht zur Schulung der Geschäftsleitung in Cybersicherheit.
  • Risikomanagement-Maßnahmen (Art. 21) — angemessene technische, operative und organisatorische Maßnahmen, mit zehn Pflicht-Themenfeldern:
    • Risikoanalyse und Sicherheitsrichtlinien
    • Behandlung von Sicherheitsvorfällen
    • Geschäftskontinuität und Krisenmanagement
    • Sicherheit der Lieferkette
    • Sicherheit bei Beschaffung, Entwicklung und Wartung
    • Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
    • Cyberhygiene und Schulung
    • Kryptografie und Verschlüsselung
    • Personalsicherheit, Zugriffskontrolle, Asset-Management
    • Mehrfaktor-Authentisierung, gesicherte Sprach-/Video-/Text-Kommunikation
  • Meldepflichten (Art. 23) — gestufte Meldung erheblicher Vorfälle:
    • Frühwarnung innerhalb von 24 Stunden nach Kenntnis
    • Vorfallmeldung innerhalb von 72 Stunden mit erster Bewertung
    • Schlussbericht innerhalb eines Monats
  • Registrierung (Art. 27) — nationale Aufsichtsbehörden führen ein Register, betroffene Organisationen registrieren sich aktiv.
  • Aufsicht und Durchsetzung (Art. 31 ff.) — Audits, Inspektionen, Anweisungen, Bußgelder und im Extremfall vorübergehende Untersagung der Geschäftstätigkeit.

In der Praxis

Lückenanalyse gegen die zehn Themenfelder fahren. Die zehn Themenfelder aus Art. 21 sind das Pflicht-Curriculum. Jede Organisation sollte den Status pro Themenfeld dokumentieren — was existiert, was fehlt, welcher Reifegrad erreicht wird. Das ist der Ausgangspunkt für die Roadmap.

Geschäftsleitung in die Pflicht nehmen — und schulen. Die Geschäftsleiter-Haftung ist real. Geschäftsführer und Vorstände müssen die Cybersicherheits-Strategie billigen, Schulungen besuchen und ihre Aufsichtspflicht dokumentiert wahrnehmen. Eine jährliche Cyber-Schulung mit Anwesenheits-Nachweis gehört zum Standard.

Lieferketten als eigenes Programm aufstellen. Lieferanten-Sicherheit ist eines der zehn Pflicht-Themenfelder. Massgeblich ist nicht nur der direkte Lieferant, sondern auch dessen Vorlieferanten (Software-Bibliotheken, Cloud-Komponenten, Managed Services). Die ENISA hat Sektor-spezifische Empfehlungen veröffentlicht, die als Maßstab dienen.

Mapping zu ISO 27001

NIS2-Art.-21-Themenfelder decken sich substantiell mit dem ISO-27001-Annex-A-Katalog. Eine ISO-27001-Zertifizierung ist kein NIS2-Nachweis, vereinfacht die Compliance aber erheblich.

Direkt relevante Kontrollen:

Typische Audit-Befunde

  • Selbstprüfung der NIS2-Betroffenheit fehlt — die Organisation gehört zu Anhang II, hat sich aber nicht beim BSI registriert.
  • Geschäftsleiter-Schulung ohne Nachweis — Geschäftsführer haben sich nicht messbar mit Cybersicherheit befasst, eine Aufsichtspflicht-Verletzung steht im Raum.
  • Lieferketten-Bewertung lückenhaft — direkte Lieferanten sind erfasst, Sub-Lieferanten und Open-Source-Abhängigkeiten fehlen.
  • 24-Stunden-Frühwarnung nicht eingeübt — die SOC-Stelle hat keinen direkten Meldeweg zum BSI, jede Meldung muss über die Rechtsabteilung laufen.
  • Risikomanagement nicht auf alle zehn Themenfelder bezogen — Mehrfaktor-Authentisierung oder Cyberhygiene-Schulungen fehlen, das Pflicht-Curriculum ist unvollständig.
  • Wirksamkeits-Bewertung der Maßnahmen fehlt — die Maßnahmen sind dokumentiert, aber niemand prüft, ob sie wirken (kein Penetrationstest, kein Reifegrad-Review).

Quellen

Abgedeckte ISO-27001-Kontrollen

A.5.4 Verantwortlichkeiten der Leitung A.5.7 Bedrohungsintelligenz A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.29 Informationssicherheit bei Störungen A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.5.36 Einhaltung von Richtlinien und Standards A.6.3 Sensibilisierung und Schulung A.8.7 Schutz gegen Schadsoftware A.8.8 Management technischer Schwachstellen A.8.16 Überwachung von Aktivitäten

Häufig gestellte Fragen

Bin ich von NIS2 betroffen?

Massgeblich sind Sektor und Größe. NIS2 unterscheidet besonders wichtige Einrichtungen (Anhang I, z. B. Energie, Verkehr, Bankwesen, Gesundheit, IT-Dienste) und wichtige Einrichtungen (Anhang II, z. B. Post, Abfall, Lebensmittelproduktion, digitale Anbieter). Mittlere Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz fallen typischerweise unter die Pflicht; bei Schlüssel-Diensten gilt die Pflicht unabhängig von der Größe.

Was sind die Haupt-Pflichten nach NIS2?

Risikomanagement-Maßnahmen nach Art. 21 (Risikoanalyse, Vorfallbehandlung, Geschäftskontinuität, Lieferketten-Sicherheit, Zugriffskontrolle, Mehrfaktor-Authentisierung, Schulung, Verschlüsselung, sichere Beschaffung, sichere Entwicklung), Meldepflichten nach Art. 23 (Frühwarnung innerhalb 24 Stunden, Vorfallmeldung innerhalb 72 Stunden, Schlussbericht innerhalb eines Monats) und Geschäftsleiter-Verantwortung nach Art. 20.

Wie weit ist die deutsche Umsetzung?

Die Frist zur Umsetzung in nationales Recht endete am 17. Oktober 2024. Deutschland hat das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) noch nicht final verabschiedet — das Gesetz befindet sich nach mehreren Entwürfen im Verzug. Betroffene Organisationen sollten dennoch auf Basis des aktuellen Entwurfs vorbereiten und parallel die NIS2-Richtlinie selbst als Maßstab nehmen.