NIS-2 Direktive
Erhöhte Resilienz gegen Cyberangriffe für Unternehmen in der EU
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) tritt in Kraft und die von der Europäischen Kommission 2023 beschlossenen Maßnahmen zur Stärkung der Cybersicherheit europäischer Unternehmen werden im deutschen Recht festgeschrieben. Was dies für Unternehmen bedeutet, finden Sie hier.
NIS-2 wird umgesetzt
Die europäische Kommission hat Anfang 2023 die NIS-2-Direktive vorgestellt, um Unternehmen in der EU besser vor Cyberangriffen zu schützen.
Die Regierungen der Mitgliedstaaten hatten nun bis Oktober 2024 Zeit, diese neue Richtlinie in ihre jeweilige Gesetzgebung zu übernehmen.
Bisher war unklar, wie genau diese Umsetzung aussehen würde.
Experten gingen jedoch davon aus, dass der Kreis der betroffenen Unternehmen erweitert, die Maßnahmen verschärft und die Bußgelder bei Verstößen erhöht werden. Die genauen Details blieben jedoch lange Zeit unklar.
Seit Juli 2024 liegt der offizielle Regierungsentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz dem Bundestag vor. Dieser Entwurf beantwortet endlich die wichtigsten Fragen und gibt Unternehmen einen klaren Ausblick darauf, was sie in Zukunft beachten müssen, um die neuen Anforderungen zu erfüllen.

Was verbirgt sich hinter NIS 2?
Die NIS 2 (Network and Information Security 2) ist eine EU-weite Richtlinie, die darauf abzielt, die Cybersicherheit in kritischen Sektoren zu verbessern. Sie erweitert die ursprüngliche NIS-Richtlinie, indem sie striktere Anforderungen für eine größere Anzahl von Unternehmen und Sektoren einführt, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken.
Wer ist von NIS 2 betroffen?
Betroffen sind Unternehmen aus Sektoren, die als kritisch für die EU-Infrastruktur gelten. Dazu gehören Energie, Verkehr, Gesundheitswesen, Finanzdienstleistungen, Wasserwirtschaft, und viele mehr. Die Richtlinie gilt auch für Anbieter digitaler Dienste und mittelgroße Unternehmen in diesen Bereichen.
Unterschieden wird zwischen
► besonders wichtigen Einrichtungen (über 250 MA oder über 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanz)
► wichtigen Einrichtungen (über 50 MA oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Bilanz)
Welche Anforderungen werden an Unternehmen gestellt?
NIS 2 verpflichtet Unternehmen zur Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Risikoabwehr. Dazu gehören unter anderem Sicherheitsmaßnahmen zur Vorbeugung und Detektion von Cyberbedrohungen, ein effizientes Risikomanagement sowie die regelmäßige Meldung von Sicherheitsvorfällen an die zuständigen Behörden.
Bekomme ich Bescheid, falls ich betroffen bin?
Nein, besonders wichtige und wichtige Einrichtungen werden verpflichtet sein, sich innerhalb von drei Monaten nach Inkrafttreten des neuen Gesetzes eigenständig im Online-Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu registrieren. Bei ausbleibender oder fehlerhafter Registrierung kann es zur Auferlegung hoher Geldstrafen kommen; explizit droht ein Bußgeld von bis zu 500.000 Euro.
Was muss ich als betroffenes Unternehmen umsetzen?
Betroffene Unternehmen müssen ein robustes Cybersicherheitsmanagement etablieren, regelmäßig Risikoanalysen durchführen und Sicherheitsvorfälle zeitnah melden. Sie müssen auch gewährleisten, dass sie über die nötige Infrastruktur und das Wissen verfügen, um Cyberbedrohungen effizient zu begegnen.
Was sind die größten Herausforderungen für neu regulierte Unternehmen?
Neue Pflichten können Ressourcen binden und Investitionen in IT-Sicherheit notwendig machen. Die Anpassung an die NIS 2 erfordert oft eine Überarbeitung bestehender Sicherheitsprozesse und die Integration moderner Sicherheitslösungen. Die größte Herausforderung besteht darin, die Balance zwischen Kosteneffizienz und hohem Sicherheitsniveau zu finden.
Zudem wird es ein neues dreistufiges Meldesystem geben:
Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden dem BSI melden und binnen 72 Stunden bestätigen, erläutern und bewerten.
Spätestens einen Monat nach der Meldung muss dann ein Abschlussbericht vorliegen. Dieser Dreiklang aus Meldung, Unterrichtung und Auskunftsfähigkeit erfordert von den Unternehmen klare und effiziente Prozesse, die vielfach neu definiert werden müssen.
Was geschieht bei Verstößen gegen die NIS-2-Vorgaben?
Verstöße gegen die NIS 2 können erhebliche Bußgelder und Sanktionen nach sich ziehen. Die Obergrenzen sollen zwischen 100.000 Euro und 10 Millionen Euro liegen.
Für große Einrichtungen können alternativ Bußgelder von bis zu 2 Prozent des weltweit getätigten Jahresumsatzes verhängt werden. Unternehmen riskieren nicht nur finanzielle Strafen, sondern auch Reputationsverluste und Einschränkungen in ihrer Geschäftstätigkeit.
Weitere Informationen aus erster Hand
Das BSI informiert regelmäßig über die aktuellen Entwicklungen rund um NIS-2 und KRITIS
Die aktuelle Bedrohungslage: Der Global Threat Report unseres Partners CrowdStrike
Unsere Services für ihre NIS-2 Readyness und Cyber-Resilience
Strategische Beratung & enge Kooperation mit unseren Partnern
Mit unserer strategischen Beratung und den Lösungen unserer Partner CrowdStrike und Vectra AI helfen wir Ihnen, die Anforderungen der NIS 2 effizient umzusetzen und Ihre IT-Infrastruktur zukunftssicher zu gestalten. Vereinbaren Sie noch heute ein unverbindliches Erstgespräch, um Ihre spezifischen Anforderungen zu besprechen!
Deutschsprachige 24/7-Schnittstelle & Technical Support
Unsere Partner bieten marktführende MDR-Services an und setzen erstklassige englisch-sprachige Analysten und Responder mit Full-Remediation ein, die ein breit aufgestellert SOC-Service kaum abbilden kann.
Unser Service fungiert als 1st-Level Support, bildet im Angriffsfall die Schnittstelle zu den MDR-Services des Providers und steht Ihnen bei technischen Herausforderungen zur Seite.
Local Incident Response
Sollte es über ungesicherte Angriffsvektoren zu einem schwerwiegenden Incident kommen, können Sie auf einen erfahrenen Krisenmanager zurückgreifen, der Sie bei Bedarf auch vor Ort in der Krisenbewältigung unterstützt.
► Krisenmanagement on demand
► Erfahrener Krisenmanager vor Ort
► Technischer Support
► Kommunikation & FMoO
Wir beraten Sie gerne!
Vereinbaren Sie noch heute ein unverbindliches Erstgespräch mit unserem zuständigen Manager
Ihr Ansprechpartner
Dominik Matheis
Business Operations Manager
