NIS-2-Richtlinie
Die NIS-2-Richtlinie verpflichtet Unternehmen und Institutionen der kritischen Infrastruktur (KRITIS) zur Umsetzung von Cybersicherheit, Cyber-Risikomanagement, und Business-Continuity-Management. Durch die 2023 in Kraft getretene Richtlinie erweitert sich der Kreis der betroffenen Unternehmen und Institutionen massiv. Unternehmen müssen jetzt selbst ermitteln, ob Sie unter NIS-2 fallen und aktiv werden müssen.
Gehören auch Sie zu dem Kreis der betroffenen Unternehmen? Gerne beraten wir Sie zur Umsetzung der NIS-2-Richtlinie.
Hintergrund NIS-2-Richtlinie
Die NIS-2-Richtlinie (The Network and Information Security Directive) ist am 16.01.2023 in Kraft getreten, Diese EU-Richtlinie regelt die Netzwerk- und Informationssicherheit in Unternehmen und Institutionen. Ziel der Richtlinie ist es, die Cybersicherheitsfanforderungen und auch Sanktionen bei Verstößen in der Europäischen Union zu vereinheitlichen. Die Richtlinie verpflichtet Unternehmen und Institutionen sich mit dem Thema Cyber-Sicherheit und Cyber-Risikomanagement auseinanderzusetzen.
In Deutschland wird die Richtlinie durch das NIS-2Umsetzungs und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) umgesetzt, welches am 13.11.2025 vom Bundestag angenommen wurde.
Ausweitung des Geltungsbereichs
Die NIS-2-Richtlinie weitet den Geltungsbereich der betroffenen Unternehmen im Vergleich zu früheren Gesetzen massiv aus. Unterschieden wird zwischen wichtigen Einrichtungen, besonders wichtigen Einrichtungen, Betreiber kritischer Anlagen (KRITIS-Betreiber) und Bundeseinrichtungen.
Eingeordnet werden die wichtigen und besonders wichtigen Unternehmen abhängig von ihrer Größe. Dafür werden die Kriterien Mitarbeiterzahl, Umsatz und Bilanz herangezogen.
| Unternehmenskategorie | Beschäftigte | Umsatz und Bilanz |
| besonders wichtig | ≥ 250 MA | ≥ 50 Mio. + ≥ 43 Mio. EUR |
| wichtig | ≥ 50 MA | ≥ 10 Mio. + ≥ 10 Mio. EUR |
| Besonders wichtige Einrichtungen | |
Große Unternehmen (≥ 250 MA, ≥ 50 Mio. + ≥ 43 Mio. EUR) | Mittlere Unternehmen (≥50 MA, ≥ 10 Mio. + ≥ 10 Mio. EUR) |
| Energie | Öffentliche TK-Netze und Dienste |
| Transport/Verkehr | |
| Finanzwesen | |
| Gesundheit | |
| Wasser | |
| Digitale Infrastruktur | |
| Weltraum | |
| Wichtige Einrichtungen | |
Mittlere Unternehmen (≥50 MA, ≥ 10 Mio. + ≥ 10 Mio. EUR) | Große (≥ 250 MA, ≥ 50 Mio. + ≥ 43 Mio. EUR) und mittlere Unternehmen (≥50 MA, ≥ 10 Mio. + ≥ 10 Mio. EUR) |
| Energie | Post / Kurier |
| Transport/Verkehr | Abfallbewirtschaftung |
| Finanzwesen | Chemie |
| Gesundheit | Lebensmittel |
| Wasser | Verarbeitendes Gewerbe |
| Digitale Infrastruktur | Digitale Dienste |
| Weltraum | Forschung |
Anforderungen / To-Do‘s:
- Durchführung einer Risikoanalyse hinsichtlich der Sicherheit der Informationssysteme
- Einführung eines Incident-Management-Prozesses
- Einführung / Umsetzung des Business Continuity Management (BCM)
- Sicherheit der Lieferkette
- Maßnahmen Messung Cyber-Security und Cyber-Hygiene
- Kryptographie und Verschlüsselung
- Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Pflichten:
| Pflicht | KRITIS | Besonders wichtige Einrichtung | Wichtige Einrichtung |
| Maßnahmen Risikomanagement | Ja | Ja | Ja |
| Höhere Maßnahmen für KRITIS | Ja | ||
| Besonderes Maßnahmen SzA | Ja | ||
| Meldepflichten | Ja | Ja | Ja |
| Registrierung | Ja | Ja | Ja |
| Unterrichtungspflichten (Kunden) | Ja | Ja | Ja |
| Geschäftsleitung Umsetzung | Ja | Ja | Ja |
| Nachweise und Prüfungen | Ja | teilweise | teilweise |
Bußgeldrahmen (Auszug):
Die bisherigen KRITIS-Bußgelder werden mit der NIS-2-Richtlinie um neue Tatbestände erweitert und erhöht.
| Unternehmenskategorie | Bußgelder | Verstöße |
| besonders wichtig | 10 Mio. EUR oder 2 % Umsatz |
|
| wichtig | 7 Mio. EUR oder 1,4 % Umsatz |
|
Umsetzungsfristen:
| Unternehmenskategorie & Fristen | besonders wichtig | wichtig | KRITIS |
| Registrierung | Innerhalb von 3 Monaten nach Identifizierung | Innerhalb von 3 Monaten nach Identifizierung | Innerhalb von 3 Monaten nach Identifizierung |
| Teilnahme am Informationsaustausch | – | Innerhalb eines Jahres nach Inkrafttreten | Innerhalb eines Jahres nach Inkrafttreten |
| Erstmaliger Nachweis über Maßnahmenumsetzung | – | – | Frühestens 3 Jahre nach Inkrafttreten |
| Fortlaufender Nachweis über Maßnahmenumsetzung | – | – | Anschließend alle 3 Jahre |
Sind auch Sie von NIS-2 betroffen? Wir beraten Sie gerne!
Angebot einholen
Rufen Sie uns an oder schreiben Sie uns: