Viele Unternehmen, die sich nie als kritische Infrastruktur gesehen haben, sind plötzlich reguliert: Das ist die Kernwirkung von NIS-2. Die Richtlinie weitet den Kreis der Verpflichteten stark aus und verlangt konkrete technische und organisatorische Maßnahmen, deren Fehlen für die Geschäftsleitung persönlich teuer werden kann.
Was ist NIS-2?
NIS-2 ist die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau, die Nachfolgerin der ersten NIS-Richtlinie von 2016. Die Umsetzungsfrist für die Mitgliedstaaten lief im Oktober 2024 ab; in Deutschland erfolgt die Umsetzung über das NIS-2-Umsetzungsgesetz, das den Kreis der betroffenen Unternehmen und die Aufsicht durch das BSI regelt.
Betroffen sind wesentliche und wichtige Einrichtungen aus 18 Sektoren, von Energie, Transport und Gesundheit über digitale Infrastruktur und IT-Dienstleister bis zu verarbeitendem Gewerbe, Lebensmitteln und Post. Als Faustregel gilt: Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Umsatz in einem der Sektoren fallen in den Anwendungsbereich; für besonders kritische Bereiche gelten Sonderregeln unabhängig von der Größe. In Deutschland betrifft das nach gängigen Schätzungen etwa 30.000 Unternehmen.
Was verlangt NIS-2 konkret?
Der Kern sind Risikomanagement-Maßnahmen nach Artikel 21, die der Stand der Technik prägt:
- Risikoanalyse und Sicherheitskonzepte: dokumentiertes Management der Risiken für Netz- und Informationssysteme.
- Vorfallsbewältigung: Prozesse für Erkennung, Reaktion und Wiederherstellung, inklusive Backup-Management und Krisenpläne.
- Technische Grundmaßnahmen: unter anderem Zugriffskontrolle, Multi-Faktor-Authentifizierung, Verschlüsselung und Netzwerksegmentierung.
- Lieferkettensicherheit: die Sicherheit der eigenen Dienstleister und Zulieferer gehört ausdrücklich dazu.
- Meldepflichten: Erhebliche Vorfälle sind der zuständigen Behörde in Stufen zu melden, mit Frühwarnung binnen 24 Stunden, ausführlicherer Meldung binnen 72 Stunden und Abschlussbericht.
- Verantwortung der Leitung: Die Geschäftsleitung muss die Maßnahmen billigen und überwachen, sich schulen lassen und haftet bei Verstößen; Bußgelder reichen je nach Einrichtungstyp bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes.
Warum es wichtig ist
- Der Anwendungsbereich ist so breit, dass auch klassische Mittelständler betroffen sind, oft ohne es zu wissen.
- Cybersicherheit wird von der IT-Aufgabe zur nachweisbaren Organisationspflicht mit persönlicher Verantwortung der Leitung.
- Die geforderten Maßnahmen sind konkret: Wer Segmentierung, MFA oder Meldeprozesse nicht vorweisen kann, hat eine dokumentierte Lücke.
- Die Lieferketten-Anforderung wirkt kaskadierend: Auch wer selbst nicht betroffen ist, bekommt die Anforderungen über Kundenverträge weitergereicht.
Typische Szenarien
- Ein Maschinenbauer mit 200 Beschäftigten fällt als verarbeitendes Gewerbe unter NIS-2 und muss erstmals ein strukturiertes Risikomanagement aufbauen.
- Ein IT-Dienstleister wird von seinen Kunden vertraglich auf NIS-2-konforme Sicherheitsmaßnahmen verpflichtet, obwohl er selbst unterhalb der Schwellen liegt.
- Ein Energieversorger erweitert seine bestehenden KRITIS-Prozesse um die neuen Melde- und Nachweispflichten.
- Ein Gesundheitsunternehmen segmentiert sein Netz, um die Auswirkungen von Vorfällen zu begrenzen und die Anforderung an die Vorfallsbewältigung zu erfüllen.
Wie Sie sich vorbereiten
Der praktikable Einstieg folgt drei Schritten. Erstens Betroffenheit klären: Sektor, Größe und Sonderregeln prüfen und das Ergebnis dokumentieren, denn auch eine begründete Nichtbetroffenheit will belegt sein. Zweitens eine Gap-Analyse gegen den Maßnahmenkatalog aus Artikel 21: Was existiert bereits, was fehlt, was ist nur undokumentiert vorhanden? Erfahrungsgemäß liegen die größten Lücken bei der Netzwerksegmentierung, beim Notfall- und Meldeprozess und bei der Lieferkettensicht. Drittens priorisiert umsetzen: erst die Maßnahmen mit dem größten Risikohebel und die Registrierungs- und Meldefähigkeit, dann der Rest im geordneten Programm.
Wichtig für die Planung: Die Aufsicht erwartet keinen perfekten Endzustand am ersten Tag, aber einen belegbaren, ernsthaften Umsetzungsstand und funktionierende Meldewege. Wer wartet, bis die erste behördliche Nachfrage kommt, verliert genau die Zeit, die eine geordnete Umsetzung gebraucht hätte.
NIS-2 und ISO 27001: der Unterschied
Beide hängen zusammen, sind aber verschieden: NIS-2 ist Gesetzgebung mit Pflichtcharakter für betroffene Einrichtungen, ISO 27001 ein freiwilliger Zertifizierungsstandard für Managementsysteme. Ein zertifiziertes ISMS deckt viele NIS-2-Anforderungen strukturell ab und ist ein starkes Nachweisinstrument, ersetzt die gesetzlichen Pflichten wie Registrierung und Meldewege aber nicht. Einen Überblick über das Zusammenspiel der Regelwerke gibt unser Eintrag zu Cybersecurity-Compliance .
So unterstützt KAEMI
Einen großen Teil der technischen NIS-2-Maßnahmen liefert das Netzwerk: Zero-Trust-Mikrosegmentierung begrenzt die Auswirkungen von Vorfällen und erfüllt die Segmentierungs-Erwartung mit nachweisbaren Richtlinien, eine SASE/SSE-Architektur setzt Zugriffskontrolle und MFA-gestützten Zugang um, und der Managed-Service-Betrieb von KAEMI liefert Monitoring und Dokumentation, die Prüfer sehen wollen. Ob und wie einzelne Anforderungen im Einzelfall erfüllt werden, klären wir anforderungsorientiert gemeinsam mit Ihren Compliance-Verantwortlichen.