Was bedeuten NIS-2 und das deutsche Umsetzungsgesetz für Unternehmen?
Worum geht es bei NIS-2 und dem deutschen Umsetzungsgesetz?
In Europa sollen (besonders) wichtige Einrichtungen besser geschützt werden. Mit der NIS-2-Richtlinie strebt die EU ein einheitliches, hohes Cybersicherheitsniveau an und will den Binnenmarkt stärken. Die Weiterentwicklung der 2016 verabschiedeten NIS-Richtlinie soll ausgewählte Unternehmen und kritische Einrichtungen nicht nur besser vor Cyberangriffen schützen, sondern ihnen auch verpflichtende Leitlinien für die Reaktion auf Angriffe an die Hand geben.
Die EU-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht überführen. In Deutschland wurde das deutsche Umsetzungsgesetz am 6. Dezember 2025 in Kraft gesetzt. Dieses verpflichtet (besonders) wichtige Einrichtungen und Betreiber kritischer Anlagen zur Einführung und Einhaltung neuer Sicherheitsstandards.
Datenlecks, Ransomware-Angriffe, Systemausfälle: Organisationen in Europa sehen sich einer wachsenden Zahl von Cyberbedrohungen ausgesetzt. Diese führen nicht nur zu erheblichen wirtschaftlichen Schäden bei Unternehmen und ihren Kunden, sondern gefährden auch die gesellschaftliche Stabilität.
Um dieser Entwicklung wirksam zu begegnen, soll mit der NIS-2-Richtlinie ein einheitlich hohes Cybersicherheitsniveau in der EU etabliert werden. Die Mitgliedstaaten übertragen die Vorgaben der Richtlinie dafür in nationales Recht.
Mit der NIS-2-Richtlinie fordert die EU von allen Mitgliedstaaten einheitliche IT-Sicherheitsstandards, um ein gemeinsames Cybersicherheitsniveau und stabile Infrastrukturen in Europa zu gewährleisten. Die Richtlinie verpflichtet die Mitgliedstaaten dazu, bestimmte Maßnahmen durchzusetzen.
Nationale Gesetzgebungen sollen Unternehmen dazu verpflichten, höhere Standards in Bereichen wie Risikoanalyse und -management, Ereignis- und Krisenmanagement sowie Verschlüsselung einzuhalten.
NIS-2 gilt nicht nur für deutlich mehr Unternehmen und Organisationen als die vorherige Richtlinie (NIS-1), sondern stärkt auch die Befugnisse nationaler Behörden wie des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Mit der NIS-2-Richtlinie verstärkt und erweitert die EU die Anforderungen von 2016. Sie umfasst nun mehr Sektoren und Anwendungsbereiche, wobei Unternehmen kategorisch in “Besonders wichtig” und “Wichtig” eingeteilt werden. Nach aktuellen Schätzungen erweitert sich der Kreis der betroffenen Unternehmen in Deutschland auf rund 30.000.
Nationale Behörden erhalten erweiterte Befugnisse, beispielsweise bei Vor-Ort-Kontrollen sowie bei der Anforderung von Daten und Dokumenten. Gleichzeitig wird die Zusammenarbeit zwischen den Mitgliedsstaaten in Fragen der Cybersicherheit verstärkt.
Nach aktuellem Stand soll die NIS-2-Richtlinie in Deutschland Ende 2025 durch das entsprechende Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt werden.
Die ersten Nachweisprüfungen für Unternehmen erfolgen voraussichtlich drei Jahre nach Inkrafttreten des Gesetzes. Unternehmen, die die geforderten Maßnahmen nicht umsetzen, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
NIS-2-Studie 2024
Was müssen Unternehmen jetzt tun?
Das NIS-2-Umsetzungsgesetz enthält eine Vielzahl von Anforderungen, die betroffene Einrichtungen verpflichtend umsetzen müssen. Eine offizielle Übergangsfrist ist derzeit nicht vorgesehen – die Anforderungen gelten ab Inkrafttreten unmittelbar.
Die Erfahrung zeigt jedoch: Die vollständige Umsetzung der umfangreichen Maßnahmen erfordert Zeit und eine vorausschauende Planung. Entscheidend ist daher, frühzeitig einen konkreten Umsetzungsplan vorlegen zu können.
Das BSI kann einen Nachweis über die Erfüllung der Anforderungen erst nach spätestens drei Jahren verlangen – Unternehmen sollten diese Frist jedoch nicht als Aufschub, sondern als Vorbereitungsspielraum nutzen.
Je nach Ausgangslage hat sich ein strukturiertes Vorgehen in folgenden Phasen bewährt: 1. Betroffenheitsanalyse, 2. GAP-Analyse der NIS-2-Anforderungen, 3. Erstellung einer Maßnahmenplanung, 4. Umsetzung.
Die Betroffenheitsanalyse stellt insbesondere Unternehmen mit komplexen Strukturen vor Herausforderungen. Konzernmütter mit Tochtergesellschaften – auch in anderen europäischen Ländern – müssen in jedem Land die jeweiligen nationalen Umsetzungsgesetze erfüllen.
secunet unterstützt bei der Durchführung der Betroffenheitsanalyse und greift dabei auf vielfach erprobte Werkzeuge und Methoden zurück.
Gemäß der bewährten Clusterung prüft secunet die einzelnen Anforderungen – zum Beispiel im Rahmen von Interviews, bei denen auch Nachweise vorgelegt werden können. Dabei kommt ein Fragenkatalog zum Einsatz, der von Experten aus der Informationssicherheitsberatung mit über 20 Jahren Erfahrung entwickelt wurde.
Optional kann die Gap-Analyse auch mit Anforderungen der ISO/IEC 27001 kombiniert werden.
Bei Prüfungen von Unternehmen mit Sitz im europäischen Ausland wird der Fragenkatalog an nationale Besonderheiten angepasst.
Je nach Ausgangssituation unterscheiden sich die festgestellten Lücken (Gaps) deutlich: Einige Unternehmen haben bereits umfassende Maßnahmen zur Informationssicherheit umgesetzt, andere nur einzelne, wie etwa die Einführung sicherer Passwörter.
Auf Basis der Gap-Analyse erstellt secunet einen konkreten Maßnahmenplan. Die identifizierten Inhalte werden dabei gemäß der bewährten Clusterung thematisch geordnet. Darauf aufbauend kann ein strukturiertes Maßnahmen-Tracking erfolgen.
In der Umsetzungsphase geht es vor allem darum, den Fortschritt kontinuierlich zu überwachen, Handlungsbedarfe frühzeitig zu erkennen und gezielt Korrekturmaßnahmen einzuleiten.
secunet unterstützt hierbei mit einem fachlich fundierten Projektmanagement, das technische Beratung durch erfahrene Security-Expert:innen mit einem ausgeprägten organisatorischen Skillset verbindet.
Handlungsfelder nach NIS-2
Die Umsetzung von NIS-2 stellt viele Unternehmen vor die Frage:
Wie behalte ich den Überblick und wie stelle ich sicher, dass ich alle Anforderungen erfülle?
Um Orientierung zu schaffen, strukturieren wir die Anforderungen in zwölf Handlungsfelder. Sie machen sichtbar, welche Themen entscheidend sind – von Risikomanagement über Meldepflichten bis hin zu Lieferantenmanagement. So entsteht ein klarer Fahrplan, der Lücken aufzeigt und konkrete Maßnahmen ermöglicht.
Welche Unternehmen müssen jetzt handeln?
Unter den erweiterten Kreis von betroffenen Institutionen fallen auch mittlere Unternehmen. Alle erfassten Organisationen werden in verschiedene Kategorien unterteilt, darunter kritische Anlagen, besonders wichtige und wichtige Einrichtungen. Diese finden sich unter anderem in folgenden Sektoren wieder:
Energie // Verkehr // Finanzwirtschaft // Gesundheitswesen // Trinkwasser // Abwasser // Abfallwirtschaft // Digitale // Infrastrukturen // Raumfahrt // IKT-Management // Logistik // Post- und Kurierdienste // Lebensmittelindustrie und -handel // Verarbeitendes Gewerbe // Digitale Anbieter // Forschung
Besonders wichtige Einrichtungen
Großunternehmen mit mehr als 250 Mitarbeitenden oder einem Jahresumsatz von über 50 Millionen Euro und zugleich einer Jahresbilanzsumme von über 43 Millionen Euro sowie weitere einzelne Unternehmen (größenunabhängig) aus kritischen Sektoren.
Wichtige Einrichtungen
Mittlere Unternehmen ab 50 Mitarbeitenden oder mit 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme sowie spezifische Großunternehmen.
Betreiber kritischer Anlagen
Kritische Anlagen (KRITIS) ab einer Versorgungskapazität von 500.000 Personen.
Bundesverwaltung
Stellen des Bundes, Körperschaften, Anstalten, Stiftungen des öffentlichen Rechts nach NIS2UmsuCG, außerdem Bundesministerien und Bundeskanzleramt.
secunet steht Ihnen bei allen Fragen rund um die NIS-2-Richtlinie und das NIS2UmsuCG zur Seite. Schicken Sie uns einfach eine Anfrage über das Kontaktformular. Wir beraten Sie gerne.
