{"id":12866,"date":"2024-11-19T09:11:45","date_gmt":"2024-11-19T08:11:45","guid":{"rendered":"https:\/\/www.iese.fraunhofer.de\/blog\/?p=12866"},"modified":"2025-09-25T10:06:37","modified_gmt":"2025-09-25T08:06:37","slug":"nis-2-richtlinie-zusammenfassung-umsetzung-deutschland","status":"publish","type":"post","link":"https:\/\/www.iese.fraunhofer.de\/blog\/nis-2-richtlinie-zusammenfassung-umsetzung-deutschland\/","title":{"rendered":"NIS 2-Richtlinie: Zusammenfassung und Umsetzung f\u00fcr Deutschland"},"content":{"rendered":"

Cybersicherheit in der EU: NIS 2 kommt versp\u00e4tet \u2013 sind Sie schon bereit?<\/strong> Die EU hat zum 14. Dezember 2022 die Richtlinie \u00fcber Ma\u00dfnahmen f\u00fcr ein hohes gemeinsames Cybersicherheitsniveau in der Union, kurz NIS 2, beschlossen. Die neue NIS 2-Richtlinie zielt darauf ab, Netzwerk- und Informationssicherheit EU-weit auf einem einheitlichen Niveau zu etablieren. Sie l\u00f6st die NIS 1-Richtlinie ab, die bisher national durch das IT-Sicherheitsgesetz und die BSI-KritisV umgesetzt wurde. Urspr\u00fcnglich sollte die nationale Umsetzung durch das NIS 2 Umsetzungs- und Cybersicherheitsst\u00e4rkungsgesetz (NIS2UmsuCG) am 18. Oktober 2024 erfolgen. Aktuell verschiebt sich die Verabschiedung jedoch bis voraussichtlich M\u00e4rz 2025. Grund genug, die Inhalte der NIS 2 und Umsetzung f\u00fcr Deutschland noch einmal genauer zu betrachten. Dieser Artikel bietet eine Zusammenfassung der neuen NIS 2 Anforderungen hinsichtlich Cybersicherheit. Ebenfalls gibt er Orientierung, welche Unternehmen betroffen sind und welche Ma\u00dfnahmen jetzt umzusetzen sind.<\/p>\n

NIS 2 Bedeutung: Was ist die NIS 2-Richtlinie und warum gibt es sie?<\/h2>\n

Cybersicherheit befindet sich in einem konstanten Wandel und nimmt eine zunehmend kritische Bedeutung f\u00fcr sowohl Unternehmen als auch Regierungen ein. Die Anzahl und die Erfolgsquote von Cyberangriffen stiegen in den vergangenen Jahren stetig an. So z.B. konstatiert das BKA im Bundeslagebericht \u00bbCybercrime 2023\u00ab<\/a> eine nahezu Verdopplung der erfassten Cybercrime-Delikte in Deutschland mit ausl\u00e4ndischem Ursprung seit 2020.<\/p>\n

Systemausf\u00e4lle, Datenverlust, Bu\u00dfgelder \u2013 die Folgen der Angriffe k\u00f6nnen f\u00fcr Unternehmen verheerend sein. Im Jahr 2023 haben mehr als 800 Unternehmen und Institutionen Ransomware-Angriffe zur Anzeige gebracht. Der Bitkom e.V. beziffert die Sch\u00e4den durch Cyberkriminalit\u00e4t auf ca. 148 Mrd. Euro, wovon 72% in direkter Folge eines Angriffs entstanden. Die zunehmende Vernetzung digitaler Systeme f\u00fchrt dabei zu einer Ausweitung der Folgen auf Unternehmen, die in Gesch\u00e4ftsbeziehungen zum Ziel eines Angriffs stehen. In Anbetracht der gesteigerten Bedrohungslage und der inkonsistenten Umsetzung der NIS 1 (EU 2016\/1148) beschloss die EU mit der NIS 2 (EU 2022\/2555)<\/a> einheitliche Sicherheitsma\u00dfnahmen von einem breiteren Spektrum von Unternehmen in der EU einzufordern \u2013 zu deren besserem Schutz.<\/p>\n

Die NIS 2-Richtlinie ist also eine \u00fcberarbeitete Version der urspr\u00fcnglichen NIS 1-Richtlinie (N<\/strong>etzwerk- und I<\/strong>nformationss<\/strong>icherheit), die von der Europ\u00e4ischen Union eingef\u00fchrt wurde. Sie zielt darauf ab, die Cybersicherheit in der EU zu verbessern, indem sie strengere Sicherheitsanforderungen und Meldepflichten f\u00fcr Betreiber wesentlicher Dienste und digitale Diensteanbieter festlegt.<\/p>\n

Zu den wichtigsten Neuerungen der NIS 2-Richtlinie geh\u00f6ren:<\/p>\n

    \n
  1. Erweiterter Anwendungsbereich<\/strong>: Mehr Sektoren und Unternehmen werden abgedeckt.<\/li>\n
  2. Strengere Sicherheitsanforderungen<\/strong>: Unternehmen m\u00fcssen robuste Sicherheitsma\u00dfnahmen implementieren.<\/li>\n
  3. Berichterstattung<\/strong>: Umfangreiche Meldepflichten bei Sicherheitsvorf\u00e4llen.<\/li>\n
  4. Zusammenarbeit<\/strong>: Erh\u00f6hte Zusammenarbeit und Informationsaustausch zwischen EU-Mitgliedstaaten.<\/li>\n
  5. Durchsetzung<\/strong>: St\u00e4rkere Sanktionen bei Nichteinhaltung.<\/li>\n<\/ol>\n

    NIS 2 betroffene Unternehmen: F\u00fcr wen gelten die neuen Richtlinien?<\/h2>\n

    In Deutschland sind laut Erhebungen des BSI<\/a> ca. 29.000 Unternehmen von der NIS 2 betroffen.<\/p>\n

    Sie sind in zwei Gruppen unterteilt:<\/p>\n

      \n
    1. Unternehmen in Wirtschaftssektoren oder mit Aufgaben von hoher Kritikalit\u00e4t\u00a0<\/strong><\/li>\n
    2. Unternehmen in sonstigen kritischen Sektoren<\/strong><\/li>\n<\/ol>\n

      Eine \u00dcbersicht, zu welchen Branchen und Segmenten die von der NIS 2-Richtlinie betroffenen Unternehmen in Deutschland geh\u00f6ren, zeigt folgende Abbildung:<\/p>\n

      \"NIS2:
      NIS 2: Wer ist betroffen?<\/strong> 11 Sektoren mit hoher Kritikalit\u00e4t und 7 weitere kritische Sektoren; Grafik: Fraunhofer IESE<\/figcaption><\/figure>\n

      Es sind insgesamt 18 Wirtschaftssektoren im Geltungsbereich der NIS 2, von denen 11 zu \u00bbSektoren von hoher Kritikalit\u00e4t\u00ab z\u00e4hlen. Unter den 11 Sektoren von hoher Kritikalit\u00e4t erh\u00e4lt das Bankwesen eine Sonderposition. Unternehmen des Bank- und Versicherungswesens m\u00fcssen anstelle der Ma\u00dfnahmen der NIS 2 die sch\u00e4rferen Anforderungen der DORA-Richtlinie<\/a> (EU 2022\/2554) erf\u00fcllen. Neben der Zugeh\u00f6rigkeit zu den Sektorengruppen spielen Gr\u00f6\u00dfe und Umsatz eines Unternehmens in einem der relevanten Sektoren eine Rolle, ob es als \u00bbwesentliche\u00ab (bzw. im NIS2UmsuCG \u00bbbesonders wichtige\u00ab) oder \u00bbwichtige\u00ab Einrichtung hinsichtlich NIS 2 gilt. Die Kriterien sind dabei die Anzahl der Mitarbeiterinnen und Mitarbeiter im Unternehmen sowie der Umsatz, respektive die Bilanzsumme. Anhand des Entscheidungsbaums in der nachfolgenden Abbildung ist eine einfache \u00dcberpr\u00fcfung m\u00f6glich, ob eine Organisation eine wesentliche oder wichtige Einrichtung in Sinne der NIS 2 ist. Dabei reicht es f\u00fcr die Gr\u00f6\u00dfeneinstufung, wenn eines der genannten Kriterien (Mitarbeitende, Umsatz oder Bilanzsumme) zutreffend sind, um der entsprechenden Kategorie zugeordnet zu werden.<\/p>\n

      \"NIS-2
      NIS 2 betroffene Unternehmen:<\/strong> Wesentliche und wichtige Einrichtungen im Sinne von NIS 2; Grafik: Fraunhofer IESE<\/figcaption><\/figure>\n

      In Sonderf\u00e4llen k\u00f6nnen auch kleinere Unternehmen in den Geltungsbereich der NIS 2 fallen, etwa wenn sie der einzige Anbieter einer kritischen Dienstleistung sind. Dies w\u00e4re beispielsweise bei einem kommunalen Fernw\u00e4rmeanbieter mit 30 Mitarbeitern der Fall. Grunds\u00e4tzlich geh\u00f6rt dieser als Energieversorger zum Sektor hoher Kritikalit\u00e4t, w\u00fcrde aber wegen der Mitarbeiterzahl zun\u00e4chst aus dem NIS 2 Regime herausfallen. Wenn dieser jedoch der einzige Fernw\u00e4rme-anbieter in der kommaunalen Struktur ist, greifen wiederum die Regelungen der NIS 2.<\/p>\n

      \n

      Kostenloses NIS 2-Webinar: 16. Januar 2025<\/h3>\n

      Sie wollen alle Infos rund um die NIS 2 Umsetzung f\u00fcr Deutschland kompakt und \u00fcbersichtlich?<\/p>\n

       <\/p>\n

      > Hier zum kostenfreien NIS 2-Webinar anmelden!<\/a><\/p>\n<\/div>\n

      NIS 2 Anforderungen: Was m\u00fcssen betroffene Unternehmen umsetzen?<\/h2>\n

      Wesentliche und wichtige Einrichtungen sind gleicherma\u00dfen verpflichtet, die im Artikel 21 der NIS 2 definierten Risikoma\u00dfnahmen umzusetzen. Ebenso gelten f\u00fcr sie die Meldepflichten aus Artikel 23. Der Unterschied zwischen wesentlichen und wichtigen Einrichtungen besteht darin, dass die Umsetzung und Einhaltung der NIS 2 in wesentlichen Einrichtungen regelm\u00e4\u00dfig beh\u00f6rdlich \u00fcberpr\u00fcft wird. Wichtige Einrichtungen werden dagegen nur bei Verdacht auf Verst\u00f6\u00dfe oder in Folge von gr\u00f6\u00dferen Sicherheitsvorf\u00e4llen gepr\u00fcft. Es besteht nach \u00a733 NIS2UmsuCG f\u00fcr alle wesentlichen und wichtigen Einrichtungen die Pflicht zur Registrierung bei der jeweils national zust\u00e4ndigen Beh\u00f6rde. Diese Registrierungspflicht gilt auch f\u00fcr solche Banken und Versicherungen, obwohl diese in der Regulierung der Ma\u00dfnahmen nicht unter NIS 2, sondern unter DORA<\/a> als lex specialis zur NIS 2 f\u00fcr Banken fallen.<\/p>\n

      Was tun, wenn man als Unternehmen von einem Cybersicherheitsvorfall betroffen ist?<\/h3>\n

      Artikel 23 der NIS 2 legt Meldungen und Meldefristen f\u00fcr erhebliche Cybersicherheitsvorf\u00e4lle fest. Eine Erstmeldung von erheblichen Cybersicherheitsvorf\u00e4llen muss innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls erfolgen. Empf\u00e4nger der Meldung ist das f\u00fcr das Unternehmen zust\u00e4ndige CSIRT (Cyber Security Incident Response Team) bzw. die Aufsichtsbeh\u00f6rde im eigenen Land. Weitere Aktualisierungen im Zeitverlauf sind in Artikel 23 NIS 2 beschrieben.<\/p>\n

      Das detaillierte Meldewesen dient dazu, dass einerseits ein m\u00f6glichst aktueller Lage\u00fcberblick zu real stattfindenden Cyberangriffen entsteht. Andererseits sind die bei den CSIRTs so gewonnenen Informationen wertvoll, um eine Bedrohungslage zu beschreiben und effektive Gegenma\u00dfnahmen zu erkennen, zu bewerten und umzusetzen, die zum Teil auch proaktiv wirken k\u00f6nnen.<\/p>\n

      Welche Sanktionen drohen bei Verst\u00f6\u00dfen gegen die Vorgaben der NIS 2?<\/h3>\n

      Die NIS 2 sieht erstmals \u2013 \u00e4hnlich zur DSGVO \u2013 Bu\u00dfgelder bei Verst\u00f6\u00dfen gegen die Vorgaben der Richtlinie vor. Geldbu\u00dfen k\u00f6nnen sowohl bei Verst\u00f6\u00dfen gegen die Umsetzung der Sicherheitsma\u00dfnahmen aus Artikel 21 als auch bei Verst\u00f6\u00dfen gegen die Meldepflichten aus Artikel 23 der NIS 2 verh\u00e4ngt werden.<\/p>\n

      Die maximale H\u00f6he der Bu\u00dfgelder h\u00e4ngt dabei von der Kritikalit\u00e4t der Einrichtung (wesentliche oder wichtige) ab. Bei wesentlichen Einrichtungen k\u00f6nnen Bu\u00dfgelder von bis zu 2% des weltweiten Jahresumsatzes beziehungsweise 10 Millionen Euro verh\u00e4ngt werden.<\/p>\n

      Als besonders schwere F\u00e4lle gelten:<\/p>\n