NIS2: Was Unternehmen jetzt wissen und tun müssen

Die NIS2-Richtlinie der Europäischen Union ist seit Oktober 2024 in deutsches Recht umzusetzen. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich und betrifft nun deutlich mehr Unternehmen als bisher. Gleichzeitig werden die Anforderungen konkreter und die Konsequenzen bei Verstößen deutlich schärfer.

Wen betrifft NIS2?

NIS2 unterscheidet zwei Kategorien betroffener Unternehmen:

• Wesentliche Einrichtungen: Energie, Gesundheit, Trinkwasser, Digitale Infrastruktur, Finanzsektor, Verkehr – ab 250 Mitarbeitern oder 50 Millionen Euro Jahresumsatz
• Wichtige Einrichtungen: Post, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Abfallwirtschaft – ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz

Auch Unternehmen, die kritische Lieferketten versorgen, können betroffen sein – selbst wenn sie selbst kleiner sind. Das macht NIS2 für viele Zulieferer und Dienstleister relevant, die auf den ersten Blick nicht betroffen wirken.

Welche Anforderungen entstehen?

NIS2 fordert von betroffenen Unternehmen unter anderem:

• Risikomanagement: Regelmäßige Risikoanalysen und dokumentierte Sicherheitsmaßnahmen
• Incident Response: Prozesse zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen
• Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Detailmeldung) gemeldet werden
• Lieferkettensicherheit: Sicherheitsanforderungen müssen auch an Lieferanten und Dienstleister weitergegeben werden
• Zugangskontrolle: Benutzer- und Berechtigungsmanagement, MFA, Verschlüsselung
• Backup und Wiederherstellung: Dokumentierte und getestete Backup-Konzepte
• Kryptografie: Einsatz von Verschlüsselung für sensible Daten

Was sind die Konsequenzen bei Verstößen?

NIS2 sieht erheblich höhere Bußgelder vor als bisher:

• Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Neu und bedeutsam: Auch Geschäftsführer und Vorstand können persönlich haftbar gemacht werden, wenn sie nachweislich Sicherheitsmaßnahmen vernachlässigt haben.

Wie sieht die technische Umsetzung aus?

NIS2 schreibt keine spezifischen Technologien vor – aber konkrete Sicherheitsziele. In der Praxis bedeutet das technische Maßnahmen wie:

• Einführung oder Ausbau eines Patch-Management-Systems
• Strukturiertes Vulnerability-Management
• Multi-Faktor-Authentifizierung für alle relevanten Zugänge
• Netzwerksegmentierung und Firewall-Konzepte
• Endpoint Detection and Response (EDR) statt klassischem Antivirus
• Zentrales Log-Management und SIEM
• Backup-Konzepte mit nachgewiesenen Wiederherstellungstests
• Verschlüsselung von Datenträgern und Kommunikation

Wo anfangen?

Viele Unternehmen wissen nicht, ob sie überhaupt betroffen sind und wenn ja, wo die größten Lücken liegen. Sinnvoller Ausgangspunkt ist ein strukturiertes Audit des aktuellen IT-Sicherheitsstands:

• Bin ich von NIS2 betroffen?
• Welche Anforderungen erfülle ich bereits?
• Wo besteht dringender Handlungsbedarf?
• Welche Maßnahmen sind in welcher Reihenfolge umzusetzen?

Ein solches Audit ist auch die Grundlage für eine Roadmap, die Compliance schrittweise und planbar herstellt – ohne alles auf einmal umzuwerfen.

Unser Fazit

NIS2 ist keine bürokratische Pflichtübung, sondern eine Chance, die IT-Sicherheit systematisch auf ein zeitgemäßes Niveau zu bringen. Die Anforderungen entsprechen in weiten Teilen ohnehin guter IT-Praxis – wer sie ernstnimmt, macht sein Unternehmen robuster gegen reale Bedrohungen.

SW-Systeme begleitet Unternehmen in Oberfranken und darüber hinaus bei der NIS2-Vorbereitung: von der Betroffenheitsanalyse über den Sicherheits-Audit bis zur technischen Umsetzung der erforderlichen Maßnahmen.