Datenschutz-Akademie » Datenschutz-News » NIS-2-Richtlinie

NIS2: EU-Richtlinie für Cybersicherheit

Update vom 13. November 2025

NIS-2-Richtlinie: EU-Richtlinie für mehr Cybersicherheit

In einer zunehmend vernetzten Welt sind Cybersicherheit und der Schutz unserer digitalen Infrastrukturen von entscheidender Bedeutung. Die NIS2-Richtlinie, die Weiterentwicklung der Network and Information Systems Directive (NIS), hat das Ziel, die Sicherheit der digitalen Landschaft in der Europäischen Union zu stärken. Am 13. November 2025 hat Deutschland die NIS-2-Richtlinie der EU in nationales Recht überführt. Für Organisationen bedeutet das eine grundlegende Verschärfung der Cybersecurity-Pflichten. Doch was genau ändert sich? Dieser Beitrag gibt einen Überblick zum neuen Anwendungsbereich und den zentralen Verpflichtungen der NIS2 sowie praxisnahe Beispiele, wie Sie die Umsetzung mit Hilfe von ISO 27001 meistern können.

Wichtigste Informationen zur NIS2-Richtlinie

  • NIS2 ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Systems Directive), die erstmals 2016 verabschiedet wurde.
  • Beide Richtlinien zielen darauf ab, die Cybersicherheit zu stärken und die digitale Infrastruktur sowie kritische Dienstleistungen vor Cyberbedrohungen zu schützen.
  • Am 16. Januar 2023 ist die sogenannte NIS2-Richtlinie in Kraft getreten. Die Mitgliedstaaten der EU hatten bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht zu übersetzen. Am 13. November 2025 hat Deutschland die NIS-2-Richtlinie der EU in nationales Recht überführt
  • Die NIS2-Richtlinie betrifft mehr Organisationen und fordert strengere Sicherheitsmaßnahmen. Unternehmen, die die Anforderungen von NIS2 nicht erfüllen, riskieren empfindliche Geldstrafen. Für Geschäftsführer besteht ein direktes Haftungsrisiko.

Inhalt zum Thema NIS2-Richtlinie:

Kompletter Titel der Richtlinie

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie)

Whitepaper NIS-2-Richtlinie: EU-Richtlinie für mehr Cybersicherheit

Whitepaper: Verzeichnis der Verarbeitungstätigkeiten DSGVO-konform umsetzen

Im Whitepaper NIS-2-Richtlinie finde Sie:

  • Informationen zur Hintergründe zur Entstehung der NIS-2-Richtlinie
  • Informationen zum Zusammenhang mit weiteren Gesetzen und Richtlinien
  • Anforderungen die betroffene Organisationen umsetzen müssen
  • Informationen zu Strafen und Sanktionen

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Was ist NIS2: Das besagt die neue EU-Richtlinie für Cybersicherheit

Die vollständige Bezeichnung der NIS-Richtlinie ist „Network and Information Systems Directive“ und kann ins Deutsche als Richtlinie über die Netz- und Informationssicherheit übersetzt werden. Die NIS-Richtlinie ist eine Richtlinie der Europäischen Union, die darauf abzielt, die Cybersicherheit in der EU zu stärken. Die Richtlinie wurde im Jahr 2016 verabschiedet und sollte anschließend bis Mai 2018 von den EU-Mitgliedstaaten umgesetzt werden.

Im Dezember 2022 ist der Nachfolger, die NIS2-Richtlinie in Kraft getreten. Diese NIS2-Richtlinie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf. NIS2 wurde entwickelt, um die Cybersicherheit in der gesamten EU weiter zu stärken und auf aktuelle Entwicklungen im digitalen Bereich zu reagieren, indem sie die Anforderungen an Organisationen verschärft und die Zusammenarbeit auf EU-Ebene fördert. Dies ist ein wichtiger Schritt, um die steigenden Cyberbedrohungen in der digitalen Welt besser zu bewältigen.

Die NIS-Richtlinie gilt für Betreiber Kritischer Infrastrukturen (KRITIS), d. h. für Unternehmen und Organisationen, deren Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von wesentlicher Bedeutung sind. Dazu gehören unter anderem Unternehmen aus den Bereichen Energie, Wasser, Transport, Finanzen, Gesundheitswesen und Telekommunikation.

Neuerungen: Mehr Cybersicherheit durch die NIS 2 Richtlinie

Gründe für die Gesetzesänderungen von NIS zu NIS2 sind der starke Anstieg von Cyberangriffen in den letzten Jahren, die zunehmende Digitalisierung wie bspw. der Einsatz von künstlicher Intelligenz und die einheitliche Regelung unter allen EU-Mitgliedstaaten.

Die NIS 2-Richtlinie, hat das klare Ziel, die Cybersicherheit zu stärken und die digitale Landschaft in Europa sicherer zu machen. Mit Inkrafttreten der Richtlinie sollen die Anforderungen an Unternehmen und Organisationen erhöht, die Sicherheitszertifizierung gefördert und die Zusammenarbeit auf europäischer Ebene gestärkt werden.

Überblick über die Neuerungen der NIS-2-Richtlinie:

  • Sektoren: Die kritischen wesentlichen Sektoren wurden auf elf Sektoren erweitert, die wichtigen Sektoren auf sieben. Somit fallen unter die neue NIS2-Richtlinie achtzehn Sektoren. Dies bedeutet, dass eine größere Bandbreite von Unternehmen und Organisationen die Sicherheitsstandards erhöhen müssen.
  • Einrichtungen: Organisationen ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro sind betroffen. Einige Einrichtungen sollen unabhängig von der Organisationsgröße unter die NIS2-Richtlinie fallen.
  • Lieferketten: Die NIS-2-Richtlinie legt neue Anforderungen an die Cybersicherheit von Lieferketten fest. Diese Anforderungen sollen dazu beitragen, dass Unternehmen besser auf Cyberangriffe vorbereitet sind, die über ihre Lieferketten erfolgen.
  • Zusammenarbeit: Die Aufsicht und Kooperation zwischen Behörden und Einrichtungen in der EU wird ausgebaut.
  • Zertifizierung von Produkten und Diensten: Durch die Einführung von Cybersicherheitszertifizierungen sollen Verbraucher und Unternehmen sich einfacher für sicherere Lösungen entscheiden können.
  • Sanktionen: Die NIS-2-Richtlinie sieht deutlich höhere Sanktionen für Verstöße gegen die Richtlinie vor, diese können von Geldbußen bis hin zu Freiheitsstrafen reichen.

Aktueller Stand der Umsetzung in Deutschland

Die NIS2-Richtlinie ist in der EU bereits in Kraft, die Frist zur nationalen Umsetzung endete bereits im Oktober 2024. Am 13. November 2025 hat Deutschland die NIS-2-Richtlinie der EU in nationales Recht überführt

  • 13. November 2025

    Am 13. November 2025 hat Deutschland die NIS-2-Richtlinie der EU in nationales Recht überführt

  • 06. Juni 2025

    Neuer Referententwurf der Regierung liegt vor.

  • 30. Januar 2025

    Aufgrund der vorgezogenen Wahlen in Deutschland konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Das BMI bezeichnet die Umsetzung der NIS-2 Richtlinie weiterhin als dringlich.

  • 17. Oktober 2024

    Die EU-Mitgliedsstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

  • 24. Juli 2024

    Der deutsche Regierungsentwurf ist verabschiedet.

  • 07. Mai 2024

    Der deutsche Referentenentwurf ist veröffentlicht.

  • 22. Dezember 2023

    Vierter Referentenentwurf Dezember 2023

  • September 2023

    Dritter Referentenentwurf September 2023

  • Juli 2023

    Zweiter Deutscher Referentenentwurf Juli 2023

  • April 2023

    Erster deutscher Referentenentwurf von April 2023

  • 16. Januar 2023

    Die Europäische Richtlinie ist am 16. Januar 2023 in Kraft getreten.

Entstehung der NIS-2-Richtlinie

Am 6. Juli 2016 wurde die EU-Richtlinie „NIS“ (Network and Information Security Directive) verabschiedet und ist seit dem 9. August 2016 in Kraft. Die europäische NIS-Richtlinie wurde in Deutschland durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) umgesetzt.

Das IT-Sicherheitsgesetz ist am 25. Juni 2017 in Kraft getreten und gilt bislang insbesondere für Betreiber Kritischer Infrastrukturen (KRITIS), d. h. für Unternehmen und Organisationen, deren Systeme und Dienste für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von wesentlicher Bedeutung sind. Die NIS 2-Richtlinie gilt nun für alle Unternehmen und Organisationen, die in den in Anhang I der Richtlinie aufgeführten Sektoren tätig sind. Dazu gehören unter anderem Energie, Wasser, Transport, Finanzen, Gesundheitswesen und Telekommunikation. Die NIS-Richtlinie galt ursprünglich nur für Betreiber Kritischer Infrastrukturen (KRITIS).

  • 2023

    NIS-2 (EU)

    Die NIS-2-Richtlinie wurde am 25. November 2022 vom Europäischen Parlament und dem Rat der Europäischen Union angenommen. Sie trat am 27. Juni 2023 in Kraft und muss bis zum 27. Juni 2024 in allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden.

  • 2021

    IT-Sicherheitsgesetz 2.0 (Deutschland)

    IT-Sicherheitsgesetz 2.0 wurde am 24. Mai 2021 verabschiedet und ist eng mit der NIS-Richtlinie (Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates) verbunden. Das IT-Sicherheitsgesetz 2.0 dient der Umsetzung der NIS-Richtlinie in nationales deutsches Recht und legt spezifische Anforderungen für Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste fest, um die Cybersicherheit in Deutschland gemäß den europäischen Standards zu stärken.

  • 2016

    Novellierung BSI-Gesetz (Deutschland)

    Das BSI-Gesetz räumt dem Bundesamt für Sicherheit in der Informationstechnik spezifische Befugnisse und Verantwortlichkeiten ein, um die Umsetzung des IT-Sicherheitsgesetzes zu überwachen und sicherzustellen, dass Unternehmen und Organisationen angemessene Sicherheitsmaßnahmen ergreifen. Die NIS-Richtlinie der Europäischen Union fordert von den Mitgliedstaaten, nationale Behörden oder Stellen zu benennen, die für die Umsetzung und Überwachung der Richtlinie verantwortlich sind. In Deutschland ist das BSI die zuständige Stelle für die Umsetzung der NIS-Richtlinie. Das BSI-Gesetz regelt die Befugnisse des Bundesamtes im Zusammenhang mit der Umsetzung der NIS-Richtlinie, einschließlich der Überwachung kritischer Infrastrukturen und der Durchführung von Sicherheitsprüfungen.

  • 2016

    NIS-Richtlinie (EU)

    Die Network and Information Systems Directive ist eine Richtlinie der Europäischen Union, die darauf abzielt, die Cybersicherheit in der EU zu stärken. Die Richtlinie wurde im Jahr 2016 verabschiedet und sollte bis Mai 2018 von den EU-Mitgliedstaaten umgesetzt werden.

  • 2015

    IT-Sicherheitsgesetz (Deutschland)

    Grundlagen für die Regulierung der Cybersicherheit in Deutschland, indem es die Anforderungen an die Sicherheit kritischer Infrastrukturen festlegte.

Anforderungen der NIS2-Richtlinie

Die NIS2-Richtlinie soll dazu beitragen, dass Betreiber Kritischer Infrastrukturen ihre Informationssysteme besser schützen und Cyberangriffe verhindern oder zumindest abmildern können.

Die wichtigsten Anforderungen der NIS-2-Richtlinie sind:

Unternehmen und Organisationen, die von der NIS 2-Richtlinie betroffen sind, müssen ein Informationssicherheits-Management-System (ISMS) einführen und betreiben. Das ISMS ist ein ganzheitlicher Ansatz zur Sicherstellung der Informationssicherheit. Es umfasst die Planung, Umsetzung, Überwachung, Bewertung und Verbesserung der Informationssicherheitsmaßnahmen.

Unternehmen und Organisationen müssen ein aktives Risikomanagement inklusive regelmäßiger Risikobewertungen durchführen. Die Risikobewertungen sollen die potenziellen Bedrohungen und Risiken für die Informationssicherheit der Systeme und Dienste des Unternehmens identifizieren.

Unternehmen und Organisationen müssen Cybervorfälle an die zuständigen Behörden melden. Die Meldungen müssen innerhalb von 24 Stunden erfolgen, wenn der Vorfall einen erheblichen Einfluss auf die Funktionsfähigkeit der Systeme und Dienste des Unternehmens haben kann.

Die zuständigen Behörden der EU-Mitgliedsstaaten müssen Informationen über Cybervorfälle austauschen. Der Austausch von Informationen soll die Reaktion auf Cybervorfälle verbessern.

Das IT-Sicherheitsgesetz 2.0 soll neben den Anforderungen der NIS 2-Richtlinie auch zusätzliche Anforderungen enthalten, die aktuell von Deutschland festgelegt werden. Dazu gehören unter anderem die Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten und die Durchführung von Übungen zur Cybersicherheit.

Welche Unternehmen müssen NIS2 umsetzen?

Die NIS2-Richtlinie („Network and Information Security“ Directive, Version 2) löst die bisherige NIS1 ab und erweitert den Kreis der verpflichteten Organisationen erheblich. Künftig sind nicht mehr nur klassische KRITIS-Betreiber im Fokus, sondern auch viele mittelständische Unternehmen aus insgesamt 18 Sektoren. Entscheidend ist neben der Branche vor allem die Unternehmensgröße. Bereits mittlere Unternehmen (ab >50 Mitarbeitern oder >10 Mio. € Umsatz/Bilanzsumme) gelten als relevant, sofern sie in einem der genannten Sektoren tätig sind – etwa in der Industrie, im Transport, in der digitalen Wirtschaft oder im Gesundheitswesen.

Die NIS2 unterscheidet zwei Kategorien von Einrichtungen:

  • „Besonders wichtige Einrichtungen“ (essential entities): Große Organisationen in hochkritischen Sektoren wie Energie, Gesundheit, Finanzwesen, digitale Infrastruktur oder öffentliche Verwaltung. Sie sind für die Aufrechterhaltung wesentlicher gesellschaftlicher Funktionen unverzichtbar und müssen alle Anforderungen der NIS2 erfüllen. Für sie gelten entsprechend die strengsten Auflagen und höchste Aufsicht durch Behörden.
  • „Wichtige Einrichtungen“ (important entities): Mittelständische Organisationen sowie Einrichtungen in weiteren wichtigen Sektoren, z.B. Post- und Kurierdienste, Chemiehandel, Lebensmittelproduktion, Forschung oder Hersteller von Waren. Ihre Störung hätte immer noch erhebliche Auswirkungen, auch wenn sie nicht als hochkritisch gelten. Sie müssen ebenfalls zahlreiche Sicherheitsmaßnahmen umsetzen, wenn auch teils mit leicht abgeschwächter Intensität. Dennoch: Auch diese Unternehmen unterliegen nun einer Melde- und Aufsichtspflicht durch das BSI. Größe schützt also nicht mehr vor Regulierung – viele bisher unregulierte Firmen rücken ins Visier.

Für alle betroffenen Organisationen entfällt künftig die deutsche Kritis-Verordnung (BSI-KritisV) als alleiniger Maßstab. Die alte Schwellenwert-Logik (z.B. 500.000 versorgte Personen) tritt in den Hintergrund. Stattdessen ist die EU-Vorgabe direkt bindend: Die Mitgliedstaaten können keine weiteren Ausnahmen definieren. Organisationen sollten daher eigenständig prüfen, ob sie unter NIS2 fallen. Unklarheiten können mit einer Beratung oder bei der Behörde (BSI) geklärt werden.

Wesentliche Organisationen

  • Kritikalität: Für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen von wesentlicher Bedeutung
  • Anforderungen: Alle Anforderungen der NIS-2-Richtlinie müssen umgesetzt werden.
  • Sektoren der wesentlichen Organisationen:
    • Energie
    • Verkehr
    • Bankwesen
    • Finanzmarktinfrastrukuren
    • Gesundheitswesen
    • Trinkwasser
    • Abwasser
    • Digitale Infrastruktur
    • Verwaltung von IKT-Diensten
    • Öffentliche Verwaltung
    • Weltraum

Wichtige Organisationen

  • Kritikalität: Störung könnte dennoch erhebliche Auswirkungen auf wichtige gesellschaftliche Funktionen haben
  • Anforderungen: Einige Anforderungen der NIS-2-Richtlinie müssen umgesetzt werden, jedoch nicht alle.
  • Sektoren der wichtigen Organisationen:
    • Post- und Kurierdienste
    • Abfallbewirtschaftung
    • Produktion, Herstellung und Handel mit chemischen Stoffen
    • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
    • Verarbeitendes Gewerbe/Herstellung von Waren
    • Anbieter digitaler Dienste
    • Forschung

Umsetzung der NIS-2-Richtlinie

Verantwortliche für die Umsetzung der NIS-2-Richtlinie

Die Umsetzung der NIS-2-Richtlinie ist eine Gemeinschaftsaufgabe der EU-Mitgliedsstaaten und der EU-Kommission. Die EU-Kommission ist für die Entwicklung der Richtlinie und die Überwachung ihrer Umsetzung in den Mitgliedstaaten verantwortlich.

Die Mitgliedstaaten sind für die Umsetzung der Richtlinie in nationales Recht und die Überwachung der Einhaltung der Anforderungen durch die betroffenen Organisationen verantwortlich.

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Umsetzung der NIS-2-Richtlinie verantwortlich. Das BSI ist eine Bundesoberbehörde, die für die Sicherheit der Informationstechnik in Deutschland zuständig ist.

Das BSI hat folgende Aufgaben im Rahmen der Umsetzung der NIS-2-Richtlinie:

  • Erarbeitung von Leitfäden und Empfehlungen für die Umsetzung der Richtlinie
  • Beratung und Unterstützung der betroffenen Organisationen bei der Umsetzung der Richtlinie
  • Überwachung der Umsetzung der Richtlinie durch die betroffenen Organisationen

Die betroffenen Organisationen müssen die definierten Mindestanforderungen an die Cybersicherheit umsetzen. Für Umsetzung und Überwachungen ist die Geschäftsführung der betroffenen Organisationen verantwortlich. Die Geschäftsführung kann für mangelhafte Umsetzung haftbar gemacht werden.

Beratung zur Umsetzung der NIS2-Richtlinie

Die neue EU-Richtlinie für Cybersicherheit wird Gesetz in Deutschland. Steigern Sie die Cybersicherheit Ihrer Organisation, wir unterstützen Sie bei der umfassenden Implementierung der Sicherheitsmaßnahmen und gesetzlichen Pflichten.

Weitere Informationen Kennenlern-Meeting buchen

Mindestanforderungen an die Cybersicherheit

Die EU NIS2-Richtlinie legt für wesentliche und wichtige Organisationen Mindest­anforderungen an die Cybersicherheit fest.

Die Maßnahmen müssen mindestens das Folgende umfassen:

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Risikomanagement gemäß NIS-2

Die NIS-2-Richtlinie stellt strengere Anforderungen an die Informationssicherheit von Unternehmen und Organisationen in der EU. Dazu gehören auch Maßnahmen zum Risikomanagement. Die betroffenen Organisationen sind verpflichtet, die Anforderungen der NIS-2-Richtlinie an das Risikomanagement zu erfüllen.

Risikomanagement ist ein systematischer Prozess zur Identifizierung, Bewertung und Behandlung von Risiken. Im Bereich der Cybersicherheit zielt das Risikomanagement darauf ab, die Wahrscheinlichkeit und das Ausmaß eines Cyberangriffs zu verringern.

Die NIS-2-Richtlinie sieht mindestens folgende Risikomanagementmaßnahmen vor:

  • Einführung eines Informationssicherheitsmanagementsystems (ISMS): Ein ISMS ist ein ganzheitlicher Ansatz zur Sicherstellung der Informationssicherheit. Er umfasst die Planung, Umsetzung, Überwachung, Bewertung und Verbesserung der Informationssicherheitsmaßnahmen.
  • Regelmäßige Durchführung von Risikobewertungen: Risikobewertungen sollen die potenziellen Bedrohungen und Risiken für die Informationssicherheit der Systeme und Dienste des Unternehmens identifizieren.
  • Die Implementierung von technischen und organisatorischen Maßnahmen zur Risikominderung: Die identifizierten Risiken müssen durch geeignete technische und organisatorische Maßnahmen minimiert werden.

Robin Data ComplianceOS® Compliance-Feld Risikomanagement

Setzen Sie die Anforderungen von NIS2 an das Risikomanagement Ihrer Organisation digital um. Mit ComplianceOS identifizieren, bewerten und behandeln Sie Risken systematisch und verringern so die Wahrscheinlichkeit und das Ausmaß eines Cyberangriffs auf Ihre Organisation.

Kennenlern-Meeting buchen

Berichtspflichten gemäß NIS2

Die NIS2-Richtlinie sieht für die betroffenen Organisationen umfangreiche Berichtspflichten vor. Die Berichte sollen den zuständigen Behörden einen Überblick über die Informationssicherheitsmaßnahmen der Organisationen geben und bei der Reaktion auf Cybervorfälle helfen. Die Berichtspflichten gelten für alle betroffenen Organisationen, unabhängig davon, ob sie als wesentlich oder wichtig eingestuft werden.

Die folgenden Berichte sind gemäß NIS2 erforderlich:

  • Jahresbericht: Der Jahresbericht soll einen Überblick über die Informationssicherheitsmaßnahmen der Organisation geben. Dazu gehören unter anderem die Einführung eines ISMS, die Durchführung von Risikobewertungen und die Implementierung von Maßnahmen zur Risikominderung.
  • Meldung von Cybervorfällen: Die betroffene Organisation muss Cybervorfälle an die zuständigen Behörden melden. Die Meldung muss innerhalb von 24 Stunden erfolgen, wenn der Vorfall einen erheblichen Einfluss auf die Funktionsfähigkeit der Systeme und Dienste des Unternehmens haben kann.
  • Austausch von Informationen über Cybervorfälle: Die betroffene Organisation muss Informationen über Cybervorfälle mit anderen Organisationen austauschen. Der Austausch von Informationen soll die Reaktion auf Cybervorfälle verbessern.

Implementierung eines ISMS zur Vorbereitung auf NIS2

Es gibt einige Überschneidungen zwischen ISO 27001 und NIS2, insbesondere in Bezug auf die grundlegenden Prinzipien und Sicherheitsaspekte. Daher empfehlen wir die Umsetzung der ISO 27001 Anforderungen bzw. die Implementierung eines Informationssicherheits-Management-Systems zur Vorbereitung auf die deutsche NIS2-Richtlinie.

Risikobewertung:
Beide Standards erfordern eine umfassende Risikobewertung. ISO 27001 fordert, dass Organisationen Risiken für die Informationssicherheit identifizieren und bewerten, um angemessene Sicherheitsmaßnahmen zu implementieren. NIS2 erfordert ebenfalls Risikobewertungen, um die Sicherheit kritischer Dienstleistungen zu gewährleisten.

Sicherheitsmaßnahmen:
Sowohl ISO 27001 als auch NIS2 legen großen Wert auf die Implementierung von Sicherheitsmaßnahmen. ISO 27001 definiert allgemeine Sicherheitskontrollen und -verfahren, die Organisationen anwenden können, um ihre Informationssicherheit zu gewährleisten. NIS2 legt spezifische Anforderungen für kritische Dienstleister fest, um sicherzustellen, dass angemessene Schutzmaßnahmen getroffen werden.

Schutz von Vertraulichkeit, Integrität und Verfügbarkeit:
Beide Standards verfolgen das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. ISO 27001 zielt darauf ab, diese Ziele für alle Arten von Informationen in einer Organisation sicherzustellen, während NIS2 die Verfügbarkeit von kritischen Dienstleistungen in wichtigen Sektoren gewährleisten möchte.

Notfallplanung:
Sowohl ISO 27001 als auch NIS2 legen Wert auf die Notfallplanung. ISO 27001 erfordert die Entwicklung von Notfallplänen zur Wiederherstellung der Informationssicherheit nach Sicherheitsvorfällen. NIS2 verlangt von kritischen Dienstleistern, dass sie Notfallpläne erstellen, um die Auswirkungen von Cyberangriffen zu minimieren und die Dienstleistungsverfügbarkeit wiederherzustellen.

Überwachung und Verbesserung:
Beide Standards betonen die Bedeutung der kontinuierlichen Überwachung und Verbesserung von Sicherheitsmaßnahmen. ISO 27001 verlangt die regelmäßige Überprüfung und Anpassung des Informationssicherheitsmanagementsystems. NIS2 erfordert, dass Diensteanbieter von wesentlicher Bedeutung ihre Sicherheitsmaßnahmen und -prozesse ständig überprüfen und aktualisieren.

ISMS umsetzen mit Robin Data ComplianceOS®

Setzen Sie die Anforderungen von NIS2 an ein Informationssicherheit-Management-System um und erreichen Sie die NIS2-Konformität rechtzeitig. Die externen Informationssicherheitsbeauftragten der Robin Data GmbH helfen Ihnen dabei, in enger Abstimmung mit Ihrer Geschäftsführung und weiteren Verantwortlichen, ein ISMS zu entwickeln und zu kontrollieren.

Kennenlern-Meeting buchen

Rolle der Geschäftsführung: Haftung macht Cybersecurity zur Chefsache

Eine der wichtigsten Änderungen: Die Geschäftsleitung wird direkt in die Pflicht genommen. Laut NIS2 (und dem BSIG n. F.) müssen Vorstände und Geschäftsführer für die Umsetzung der Cybersicherheitsmaßnahmen sorgen und diese überwachen. Ignorieren sie diese Pflichten oder versäumen wesentliche Vorkehrungen, können sie persönlich zur Verantwortung gezogen werden. Das ist ein Paradigmenwechsel, IT-Sicherheit ist nicht länger nur „Sache der IT-Abteilung“, sondern ein zentraler Bestandteil guter Unternehmensführung.

Konkret bedeutet dies: Management muss Ressourcen bereitstellen, geeignete Strukturen (z.B. CISO oder externer ISB) einrichten und regelmäßig Berichte über den Status der Informationssicherheit einholen. Außerdem fordert das Gesetz, dass Führungskräfte Schulungen zu Cybersecurity besuchen, um auf dem neuesten Stand zu bleiben. Damit ist klar: Cybersecurity wird Chefsache.

Für Organisationen bietet das auch eine Chance: Wenn die Spitze das Thema priorisiert, verbessert sich oft die gesamte Sicherheitskultur. Die Haftungsandrohung dient letztlich dem Zweck, Cybersicherheit ernst zu nehmen, angesichts immer neuer Bedrohungen wie Ransomware, staatlich unterstützten Hackern und digitaler Sabotage.

Strafen und Sanktionen bei Verstoß gegen NIS2

Die NIS2-Richtlinie sieht strenge Sanktionen für Verstöße gegen die Anforderungen der Richtlinie vor. Die Sanktionen sollen Unternehmen und Organisationen dazu motivieren, die Anforderungen der Richtlinie einzuhalten und die Cybersicherheit zu verbessern. Die zuständigen Behörden der EU-Mitgliedsstaaten sind für die Verhängung von Sanktionen verantwortlich. Die Sanktionen gelten für alle betroffenen Organisationen, unabhängig davon, ob sie als wesentlich oder wichtig eingestuft werden.

Die folgenden Sanktionen sind gemäß NIS2 möglich:

  • Geldstrafen: Geldstrafen können in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes verhängt werden, je nachdem, welcher Betrag höher ist.
  • Verhängung von administrativen Bußgeldern: Administrative Bußgelder können in Höhe von bis zu 10 Millionen Euro verhängt werden.
  • Anordnung von Maßnahmen zur Verbesserung der Informationssicherheit: Die zuständigen Behörden können Unternehmen und Organisationen anordnen, Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen.
  • Schließung von Einrichtungen: In besonders schweren Fällen können Einrichtungen geschlossen werden.

Hier sind einige Beispiele für Verstöße gegen die NIS2-Richtlinie, die zu Sanktionen führen können:

  • Die Nichteinführung eines Informationssicherheitsmanagementsystems (ISMS)
  • Die Nichtdurchführung von Risikobewertungen
  • Die Nichtmeldung von Cybervorfällen an die zuständigen Behörden
  • Die Nichteinhaltung der Anforderungen an die Meldefristen
  • Die Bereitstellung unzureichender Informationen bei der Meldung von Cybervorfällen

Praxisbeispiele: Umsetzung von NIS2-Pflichten mit ISO 27001

Wie kann die Umsetzung nun praktisch aussehen? Hier einige Praxisbeispiele, wie ISO 27001 als Rahmen helfen kann, die NIS2-Vorgaben zu erfüllen:

  • Praxisbeispiel 1 – Risikomanagement: Ein regionaler Energieversorger (ca. 200 Mitarbeiter) fällt nun unter NIS2. Er richtet zunächst ein ISO 27001-konformes Risikomanagement ein. In Workshops identifiziert das Unternehmen seine kritischen Assets (z.B. SCADA-Systeme, Kundendatenbank) und bewertet Cyber-Risiken wie Stromausfall durch Hackerangriff. Beispielmaßnahme: Die Risikoanalyse zeigt, dass die Kommunikationsinfrastruktur unzureichend redundant ist. Als Gegenmaßnahme wird ein zweiter Internet-Backbone-Anschluss mit automatischem Failover installiert. Diese strukturierte Vorgehensweise entspricht den NIS2-Anforderungen an Risikoanalysen und Vorsorgemaßnahmen. Zusätzlich dokumentiert der Versorger alles im ISMS, was bei einer BSI-Prüfung als Nachweis dient.
  • Praxisbeispiel 2 – Incident Response & Meldeprozess: Ein Krankenhaus (500 Betten) erarbeitet gemäß ISO 27001 einen Notfallplan für IT-Sicherheitsvorfälle. Als sich ein Ransomware-Vorfall ereignet, greift der Incident-Response-Plan: Das IT-Team isoliert betroffene Systeme, aktiviert Datenwiederherstellungspläne und informiert umgehend die Klinikleitung. Innerhalb von 24 Stunden meldet die Geschäftsführung den Vorfall dem BSI und der Datenschutzaufsicht (wegen Patientenakten). Dank vorbereiteter Meldevorlagen und zuvor geübter Abläufe gelingt dies fristgerecht. In den folgenden 72 Stunden erstellt das Krankenhaus einen Detailbericht mit technischen Analysen und Maßnahmen. Diese Vorgehensweise entspricht exakt den NIS2-Vorgaben zum Vorfallsmanagement und zeigt, wie ein ISO 27001-basierter Prozess die Compliance sicherstellt.
  • Praxisbeispiel 3 – Lieferkettensicherheit: Ein Maschinenbau-Unternehmen (120 Mitarbeiter) bezieht Spezialteile von diversen Zulieferern. Unter NIS2 muss es sicherstellen, dass wichtige Lieferanten angemessene Sicherheitsmaßnahmen haben. Der Betrieb integriert daher in sein ISO 27001-ISMS einen Lieferanten-Sicherheitscheck: Alle kritischen Zulieferer werden jährlich mittels Fragebogen oder Vor-Ort-Audit geprüft. Kriterien sind z.B. existiert dort ein ISMS, werden regelmäßige Penetrationstests durchgeführt, gibt es eine Notfallstrategie? Lieferanten mit schlechter Bewertung müssen innerhalb 6 Monaten nachbessern, sonst droht Ersatz des Anbieters. Außerdem ergänzt der Maschinenbauer seine Einkaufsverträge um Cybersecurity-Klauseln, die u.a. Rechte auf Sicherheitsüberprüfungen einräumen. Auf diese Weise wird die NIS2-Forderung nach mehr Lieferkettensicherheit praktisch umgesetzt. ISO 27001 liefert hier die Kontrollpunkte (Annex A Kapitel zu Supplier Security), um dies strukturiert anzugehen.

Diese Beispiele verdeutlichen: ISO 27001 bietet einen erprobten Werkzeugkasten, um NIS2-Anforderungen im Organisationsalltag zu erfüllen. Wer bereits ISO-zertifiziert ist, hat viele Puzzleteile schon gelegt und kann sich nun auf die neuen Aspekte wie behördliche Meldewege oder erweiterte Dokumentationspflichten konzentrieren.

Fazit: NIS2-Umsetzung nimmt wieder Fahrt auf

Nach monatelanger Verzögerung ist die deutsche Umsetzung der NIS2-Richtlinie nun beschlossen und zwar ohne Übergangsfristen. Für Organisationen bleibt die zentrale Empfehlung: Jetzt handeln, nicht warten:

  • ein Informationssicherheits-Managementsystem (ISMS) einführen oder schärfen,
  • sich an ISO/IEC 27001 oder dem BSI-Grundschutz orientieren und
  • klare Meldeprozesse und Zuständigkeiten definieren.

So können sie regulatorische Anforderungen erfüllen und gleichzeitig ihre digitale Resilienz deutlich stärken.

Erreichen Sie NIS2-Compliance für Ihre Organisation mit Robin Data

Die neue EU-Richtlinie für Cybersicherheit wird Gesetz in Deutschland. Unsere Berater implementieren Lösungen speziell für die Bedürfnisse Ihrer Organisation. Von Risiko- über Assetmanagement, Konzepten zur Business Continuity und der Schulung Ihrer Mitarbeiter. Gemeinsam setzen wir Schritt-für-Schritt die Anforderungen der NIS2-Richtlinie um. Erreichen Sie NIS2-Compliance für Ihre Organisation – buchen Sie ein unverbindliches Kennenlern-Meeting.

Weitere Informationen Kennenlern-Meeting buchen
Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Audits effizient managen

Audit-Management verstehen und umsetzen: Schrittweise Erklärung, Hintergrundinformationen, Beispiele und Definitionen. Jetzt lesen!
Weiterlesen

Assetmanagement: Praktische Umsetzung

Effizientes Asset-Management: Aufbau, Umsetzung, Beispiel für Klassen und Kategorien, Schutzbedarfsbewertung. Jetzt lesen!
Weiterlesen

Umwelt-Management nach ISO 14001

Das Umweltmanagement nach ISO 14001: Aufbau, Umsetzung, Beispiel für Maßnahmen und Anforderungen Umweltmanagementsystem. Jetzt lesen!
Weiterlesen