NIS2 auf den Punkt gebracht: Was Sie wissen müssen

NIS2 ist breiter, strenger und bereits in Kraft. Das bedeutet es für Ihre Organisation.
May 20, 2026
Ivar van Duuren

Unsere Gesellschaft läuft auf digitalen Systemen, aber sie sind anfällig für Cyberangriffe. Cyberkriminalität ist eine milliardenschwere Branche, und Kriminelle nutzen digitale Waffen als strategisches Instrument. Angesichts der zunehmenden hybriden Arbeitswelt und der geopolitischen Spannungen ist es bei einem Angriff nicht mehr die Frage, ob, sondern wann.  

Deshalb verschärft die EU die Regeln mit IST 2. Diese Richtlinie stellt strengere Anforderungen an wichtige Organisationen und Lieferkettenpartner. Die Nichteinhaltung kann zu hohen Bußgeldern und großen Risiken führen.  

In diesem Artikel erklären wir, was NIS2 bedeutet, vergleichen es mit der alten Richtlinie und geben praktische Tipps, um NIS2-konform zu werden.

Von NIS zu NIS2

NIS2 (Network Information Security 2) ist eine EU-Richtlinie zur Stärkung der Cyber-Resilienz in Europa. Sie dient als Grundlage für nationale Gesetze und definiert die Mindestsicherheitsmaßnahmen, die Organisationen ergreifen müssen, für wen die Regeln gelten und welche Folgen eine Nichteinhaltung hat.

Richtlinie versus Verordnung

NIS2 ist eine Richtlinie, keine Verordnung. Das bedeutet, dass die EU-Mitgliedstaaten die Regeln in nationales Recht umsetzen müssen, was ein verbindliches Ergebnis hat. Bis Oktober 2024 müssen sie dies eingeführt haben.  

Der Nachfolger von NIS

Seit 2016 ist die NIS-Richtlinie in Kraft, die in den Niederlanden in der Wbni (Wet beveiliging netwerk- en informatiesystemen) enthalten ist. NIS2 ist ein erweitertes Update, das die aktuellen Cyberbedrohungen besser widerspiegelt und für mehr Sektoren gilt, z. B. für IKT-Dienstleister, das verarbeitende Gewerbe und wichtige Lieferketten. Darüber hinaus führt NIS2 eine Meldepflicht für Cybervorfälle und eine strengere Durchsetzung ein, sodass die Mitgliedstaaten die Einhaltung der Vorschriften aktiv überwachen müssen.  

Immer noch in der Entwicklung

Die Richtlinie wurde im Dezember 2022 verabschiedet, die Umsetzung befindet sich jedoch noch in der Entwicklung. Die Mitgliedstaaten müssen nicht nur Gesetze erlassen, sondern auch Durchsetzungsmechanismen entwickeln. Wie bei der AVG muss jeder Sektor praktische Wege finden, um die Vorschriften einzuhalten.  

Der rechtliche Rahmen von NIS2

NIS2 konzentriert sich auf Organisationen mit sozialer Funktion und unterscheidet zwischen:

  1. Unverzichtbare Organisationen - Große Unternehmen (≥ 250 Mitarbeiter oder Umsatz > 50 Mio. €).
  2. Große Organisationen - Mittelständische Unternehmen (≥ 50 Mitarbeiter oder Umsatz > 10 Mio. €).
  3. Kettenpartner - Lieferanten für wichtige oder wichtige Organisationen.
  4. Strategische Kleinunternehmen - Zum Beispiel Administratoren von Top-Level-Domains oder Telekommunikationsdiensten.
  5. Bestimmte Ausnahmen - Organisationen, die von der Regierung zur Einhaltung von NIS2 verpflichtet sind.

Überwachung und Durchsetzung

NIS2 ist gesetzlich vorgeschrieben und die Kontrolle variiert je nach Kategorie:

  • Unverzichtbare Organisationen: Proaktive Compliance-Checks zu jeder Zeit.
  • Wichtige Organisationen: Überwachung nach einem Vorfall oder einer konkreten Ursache.

Kettenpartner

Selbst Unternehmen ohne direkte NIS2-Kennzeichnung müssen die Vorschriften möglicherweise einhalten, wenn sie Teil einer kritischen Lieferkette sind. Dies verhindert Cyberangriffe durch schwache Verbindungen.

Bußgelder und Haftung

  • Wesentliche Organisationen: Bußgelder von bis zu 10 Millionen € oder 2% des weltweiten Umsatzes.
  • Große Organisationen: Bußgelder bis zu 7 Millionen € oder 1,4% des Umsatzes.
  • Haftung der Direktoren: Führungskräfte sind persönlich für die Einhaltung der Vorschriften verantwortlich.

Kernprinzipien von NIS2

NIS2 erlegt Organisationen Verpflichtungen im Rahmen von zwei Hauptpfeilern auf:

1. Sorgfaltspflicht

Unternehmen müssen geeignete Maßnahmen ergreifen, um die digitale Sicherheit und Kontinuität zu gewährleisten. NIS2 schreibt keine spezifischen Technologien vor, betont jedoch, dass die Maßnahmen technisch, betrieblich und organisatorisch angemessen sein müssen. Die wichtigsten Schwerpunktbereiche sind:  

  • Risikoanalyse: Regelmäßige Bewertung der Sicherheitsrisiken, einschließlich Pen-Tests.
  • Wirksamkeit der Maßnahmen: Laufende Überwachung, ob die Sicherheitsmaßnahmen angemessen sind.
  • Kettensicherheit: Stimmen Sie sich mit Anbietern in Bezug auf Datensicherheit und Kommunikation ab.
  • Cyberhygiene und Sicherheitsbewusstsein: Obligatorische Schulung zur Sensibilisierung der Mitarbeiter für Cyberrisiken.
  • Verschlüsselung: Sensible Daten und Kommunikation müssen verschlüsselt werden.
  • Physische Sicherheit: Zutrittskontrolle für Mitarbeiter, Besucher und Systeme.
  • Multifaktor-Authentifizierung (MFA): Obligatorisch woher relevant.
  • Sicherheit von Informationssystemen: Lösungen wie Identitätsmanagement, Endpunktsicherheit und Cloud-Sicherheit.
  • Verwaltung von Sicherheitslücken: Gehen Sie proaktiv mit einer Update- und Patch-Richtlinie auf Sicherheitslücken ein.
  • Reaktion auf Vorfälle: Ein klarer Plan mit Verantwortlichkeiten im Falle von Cybervorfällen.
  • Kontinuitätsmanagement: schnelle Wiederaufnahme der Dienste nach einem Angriff mit Backups und Eventualitäten.

NIS2 verlangt von Unternehmen nicht nur, dass sie über ihre eigene Sicherheit verfügen, sondern auch Risiken in ihrer Lieferkette und ihren internen Prozessen strukturell begegnen.

2. Meldepflicht

NIS2 führt eine Meldepflicht für digitale Störungen ein. Unternehmen müssen Vorfälle der zuständigen Behörde melden, ähnlich der Meldepflicht gemäß AVG.

Anforderungen an die Berichterstattung:

  • Vorfälle, die zu Betriebsunterbrechungen führen, müssen innerhalb von gemeldet werden 24 Stunden.
  • Andere Vorfälle müssen innerhalb von gemeldet werden 72 Stunden.
  • Einen Monat nach dem Vorfall muss ein Abschlussbericht eingereicht werden, in dem die Untersuchungsergebnisse, Auswirkungen und ergriffenen Maßnahmen detailliert beschrieben werden.
  • Die Meldung muss bei der zuständigen Behörde (derzeit NCSC) eingereicht werden.

Implementierung von NIS2

Die Einhaltung von NIS2 erfordert einen durchdachten Ansatz. Cybersicherheit ist nicht nur eine gesetzliche Verpflichtung, sondern auch für die Geschäftskontinuität und die gesellschaftliche Stabilität unerlässlich.

Schritt 1: Führen Sie eine Risikoanalyse durch

  • Identifizieren und bewerten Sie Informationssicherheitsrisiken.
  • Priorisieren Sie Risiken auf der Grundlage von Auswirkungen und Wahrscheinlichkeit.

Schritt 2: Implementierung von Sicherheitsmaßnahmen

  • Wählen Sie Maßnahmen auf der Grundlage der Risikoanalyse und der NIS2-Richtlinie aus.
  • Gewährleisten Sie die technische und organisatorische Sicherheit von Daten und Systemen.

Schritt 3: Entwickeln Sie Pläne für die Reaktion auf Vorfälle

  • Definieren Sie Rollen und Verantwortlichkeiten bei Sicherheitsvorfällen.
  • Richten Sie Verfahren für die Erkennung, Benachrichtigung und Wiederherstellung nach Vorfällen ein.
  • Schulen Sie Mitarbeiter im Störungsmanagement.

Schritt 4: Überwachung und Bewertung

  • Richten Sie ein Überwachungsprogramm ein, um Anomalien und Vorfälle zu erkennen.
  • Evaluieren und verbessern Sie Sicherheitsmaßnahmen auf der Grundlage neuer Bedrohungen.
  • Stellen Sie sicher, dass die NIS2-Berichtspflichten eingehalten werden.

Nutzung vorhandener Frameworks und Zertifizierungen

IKT-Dienstleister für wichtige oder wichtige Organisationen müssen möglicherweise eine von der EU anerkannte Zertifizierung erwerben.

  • CIS-Steuerelemente bietet eine Liste von 120 Best Practices für Cybersicherheit.
  • ISO 27001 und NEN 7510 sind wertvolle Zertifizierungen, garantieren aber nicht automatisch die NIS2-Konformität.

Durch einen frühen Einstieg können Unternehmen die NIS2-Richtlinie strukturell einhalten und die digitale Resilienz stärken.

Zusammenfassung NIS2

NIS2 ist die aktualisierte EU-Cybersicherheitsrichtlinie zur Stärkung der digitalen Widerstandsfähigkeit in Europa.

  • Ersetzt die NIS-Richtlinie und bildet die Grundlage für die nationale Gesetzgebung.
  • Anwendbar auf:
    • Essentielle und wichtige Organisationen.
    • Kettenpartner und bestimmte kleine Unternehmen.
    • Organisationen in der Internetinfrastruktur und Regierungsbehörden.
  • Verpflichtungen:
    • Umsetzung von Sicherheitsmaßnahmen.
    • Meldung von Cybervorfällen innerhalb 24 Stunden (bei Störungen) oder 72 Stunden (in anderen Fällen).
  • Durchsetzung und Sanktionen:
    • Proaktive Kontrollen für wichtige Organisationen.
    • Überprüft den Grund für wichtige Organisationen.
    • Bußgelder bei Nichteinhaltung der Vorschriften, wobei die Geschäftsführer gesamtschuldnerisch haften.
  • Die NIS2-Richtlinie besteht aus zwei Säulen:
    • Sorgfaltspflicht: Angemessene technische, betriebliche und organisatorische Maßnahmen.
    • Meldepflicht: Rechtzeitige Meldung von Cybervorfällen.
  • Tools für die Einhaltung der Vorschriften:
    • CIS-Kontrollen (bewährte Verfahren).
    • Zertifizierungen wie ISO 27001 und NEN 7510 helfen, garantieren aber keine automatische Einhaltung.

Fazit

Starke Cybersicherheit war noch nie optional, und NIS2 bestätigt dies. Die Einhaltung der Vorschriften allein sollte jedoch nicht der Motor sein.

Der wahre Grund für robuste Sicherheit:

  • Schutz der Organisation: Verhinderung von Betriebsunterbrechungen, Datendiebstahl und Rufschädigung.
  • Soziale Auswirkungen: Begrenzung wirtschaftlicher Schäden und Ausfälle kritischer Anlagen.

Sicherheit ist keine Checkliste, sondern ein fortlaufender Prozess. NIS2 ist nur ein Schritt in einem umfassenderen regulatorischen Rahmen. Digitale Resilienz ist und bleibt unverzichtbar — nicht nur für NIS2, sondern auch für die Zukunft der Cybersicherheit.

ISOPlanner™ NIS2 ist ein vollständiges Compliance-Paket, das Organisationen auf NIS2-Anforderungen vorbereitet, vollständig integriert mit Microsoft 365.

Related Posts

No items found.