NIS-2 Richtlinie: Cybersicherheit in Europa
Die EU-Richtlinie NIS 2 ist seit Januar 2023 in Kraft. Sie soll die Cybersicherheit in Europa flächendeckend verbessern. In Deutschland steht die nationale Umsetzung noch aus. Trotzdem ist bereits absehbar, dass viele Unternehmen – direkt oder indirekt – betroffen sein werden. Deshalb ist es wichtig, sich frühzeitig mit den kommenden Anforderungen auseinanderzusetzen.
Wann tritt NIS-2 in Kraft?
Die gesetzliche Umsetzungsfrist auf EU-Ebene endete im Oktober 2024. Deutschland hat diese Frist verpasst – vor allem wegen politischer Verzögerungen. Inzwischen liegt ein neuer Gesetzentwurf vor. Die Bundesregierung hat angekündigt, die Umsetzung nun zügig voranzutreiben. Ein Inkrafttreten wird derzeit für Ende 2025 oder Anfang 2026 erwartet. Eine zusätzliche Übergangsfrist ist vermutlich nicht geplant. Unternehmen sollten daher mit sofortiger Geltung der neuen Pflichten rechnen.
Wer wird betroffen sein?
NIS 2 betrifft deutlich mehr Unternehmen als bisherige Regelungen. Betroffen sind mittlere und große Unternehmen in rund 18 kritischen und wichtigen Sektoren. Dazu zählen unter anderem Energie, Gesundheit, Transport, IT-Dienstleistungen, Verwaltung, Lebensmittel, Finanzen und Industrie. Auch viele Zulieferer und Dienstleister fallen indirekt unter NIS 2, da Auftraggeber deren Sicherheitsniveau mitverantworten müssen.
Neue Regeln für mehr Sicherheit
Mit NIS 2 kommen neue Anforderungen:
- Unternehmen müssen ein ISMS einführen oder anpassen.
- Cybersicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
- Die Geschäftsführung haftet, wenn Pflichten nicht eingehalten werden.
- Es drohen hohe Bußgelder – bis zu 10 Mio. € oder 2 % des Jahresumsatzes.
- Die Aufsicht wird ausgeweitet, u. a. durch regelmäßige Kontrollen und Nachweispflichten gegenüber dem BSI.
Vorbereitung auf NIS 2: Ihre nächsten Schritte
Auch wenn das Gesetz noch nicht gilt, sollten Unternehmen jetzt aktiv werden:
- Prüfen Sie, ob Ihr Unternehmen zu den betroffenen Sektoren gehört.
- Starten Sie frühzeitig mit einer Risikoanalyse.
- Planen Sie ein ISMS oder aktualisieren Sie bestehende Systeme.
- Stärken Sie Ihre Meldeprozesse, Schulungen und Notfallstrukturen.
- Beziehen Sie Ihre Lieferketten in die Sicherheitsstrategie ein.
Viele dieser Maßnahmen lassen sich auf Basis von bestehenden Standards wie ISO 27001 umsetzen.
Fazit
Zusammengefasst: Die NIS 2-Richtlinie kommt – mit Verzögerung, aber sie kommt. Aktuell deutet alles darauf hin, dass bis spätestens Anfang 2026 auch in Deutschland die neuen Regeln gelten. Unternehmen, die frühzeitig handeln, sind klar im Vorteil. Sie minimieren nicht nur das Risiko von Sanktionen und Cybervorfällen, sondern stärken auch ihr eigenes Immunsystem gegen die wachsende Bedrohung im digitalen Raum. Cybersicherheit wird mit NIS 2 zur Pflicht – aber vor allem ist sie eine Chance, die Widerstandsfähigkeit der Wirtschaft insgesamt zu erhöhen.
Sie möchten NIS-2 in Ihrem Unternehmen wirksam und praxisnah umsetzen? Dann nehmen Sie Kontakt mit unseren Experten auf – wir unterstützen Sie gerne.
