Zurück zum Blog
HostingNIS2IT-Sicherheit

NIS2-Richtlinie: Neue IT-Sicherheitspflichten für Unternehmen

·7 Min. Lesezeit

NIS2: Die neue EU-Richtlinie für Cybersicherheit

Die **NIS2-Richtlinie** (Network and Information Security Directive 2) ist die umfassendste EU-Regulierung für Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen erheblich. In Deutschland wird NIS2 durch das **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** in nationales Recht überführt.

Wer ist betroffen?

NIS2 unterscheidet zwischen **wesentlichen** und **wichtigen Einrichtungen**. Die Betroffenheit richtet sich nach Branche und Unternehmensgröße:

**Wesentliche Einrichtungen (Essential Entities):**

Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen
Gesundheitswesen, Trinkwasser, Abwasser
Digitale Infrastruktur, ICT-Dienstleister
Öffentliche Verwaltung, Raumfahrt

**Wichtige Einrichtungen (Important Entities):**

Post- und Kurierdienste, Abfallwirtschaft
Chemie, Lebensmittelproduktion
Verarbeitendes Gewerbe, digitale Dienste
Forschungseinrichtungen

**Größenkriterien:**

Ab **50 Mitarbeiter** oder **10 Mio. Euro Jahresumsatz** können Unternehmen betroffen sein
Bestimmte Sektoren (z. B. DNS-Dienste, TLD-Registries) sind unabhängig von der Größe betroffen

Die wichtigsten Pflichten

**1. Risikomanagement-Maßnahmen:**

Risikoanalyse und Sicherheitskonzepte
Incident Handling (Behandlung von Sicherheitsvorfällen)
Business Continuity und Krisenmanagement
Sicherheit der Lieferkette
Schulung der Mitarbeiter in Cybersicherheit

**2. Meldepflichten bei Sicherheitsvorfällen:**

Frühwarnung innerhalb von **24 Stunden** nach Kenntnisnahme
Detaillierte Meldung innerhalb von **72 Stunden**
Abschlussbericht innerhalb von **einem Monat**

**3. Persönliche Haftung der Geschäftsführung:**

Geschäftsführer müssen Cybersicherheitsmaßnahmen genehmigen und überwachen
Pflicht zur Teilnahme an Schulungen
Persönliche Haftung: bei Pflichtverletzungen
**Achtung:** Die Bußgelder bei Verstößen können bis zu **10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes** betragen – je nachdem, welcher Betrag höher ist.

Konkrete Umsetzungsschritte

1. **Betroffenheit prüfen:** Fällt Ihr Unternehmen unter die NIS2-Kriterien?

2. **Gap-Analyse durchführen:** Wo stehen Sie aktuell, wo müssen Sie hin?

3. **Informationssicherheits-Management aufbauen** (orientiert an ISO 27001)

4. **Incident-Response-Prozesse** etablieren

5. **Lieferketten-Sicherheit** bewerten und vertraglich absichern

6. **Mitarbeiter schulen** und Awareness-Programme einführen

Fazit

NIS2 betrifft **deutlich mehr Unternehmen als die Vorgänger-Richtlinie**. Die persönliche Haftung der Geschäftsführung unterstreicht die Bedeutung von Cybersicherheit als Chefsache. Beginnen Sie jetzt mit der Bestandsaufnahme und Umsetzung – die Übergangsfristen enden bald.

Interesse geweckt?

Lassen Sie uns über Ihr Projekt sprechen.

Kontakt aufnehmen
WhatsApp Chat