Was ist die NIS2 Richtlinie?

Die NIS2 Richtlinie ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie verpflichtet Unternehmen bestimmter Branchen zu verbindlichen Mindeststandards im Bereich Cybersicherheit. In Deutschland wird NIS2 über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt und betrifft deutlich mehr Unternehmen als die Vorgängerregelung.

Wer ist von der NIS2 Richtlinie betroffen?

Betroffen sind Einrichtungen aus 18 Sektoren, darunter Energie, Transport, Gesundheit, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung, Lebensmittelindustrie und Produktion. Die Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen, wobei Unternehmensgröße und Sektor entscheidend sind. Ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz greift die Regelung in vielen Bereichen.

Auch Zulieferer und Dienstleister können betroffen sein, wenn sie kritische Leistungen für regulierte Unternehmen erbringen. Eine frühzeitige Betroffenheitsanalyse ist daher Pflicht.

Zentrale Pflichten und Fristen

Unternehmen müssen ein Risikomanagement für die Informationssicherheit aufsetzen, Sicherheitsvorfälle innerhalb definierter Fristen an die zuständigen Behörden melden und die Lieferkette systematisch auf Sicherheitsrisiken prüfen. Vorgeschrieben sind zudem technische und organisatorische Maßnahmen wie Zugriffskontrollen, Verschlüsselung, Incident Response und Notfallplanung.

Wichtig: Erste Meldungen über erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden erfolgen, eine Bewertung innerhalb von 72 Stunden und ein Abschlussbericht nach einem Monat. Die Geschäftsleitung trägt persönlich Verantwortung für die Umsetzung. Verstoße können Bußgelder in Millionenhöhe nach sich ziehen, im Einzelfall bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Verbindung zu bestehenden Standards

Viele Anforderungen der NIS2 Richtlinie überschneiden sich mit etablierten Standards wie ISO 27001 oder dem BSI IT-Grundschutz. Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) betreiben, verfügen über eine solide Ausgangsbasis. Die Kunst besteht darin, vorhandene Strukturen gezielt auf NIS2 zu mappen und Restlücken zu schließen.

NIS2-Umsetzung mit W+W Consulting

Die Prozess- und Compliance-Beratung der W+W Consulting hilft Ihnen, Betroffenheit, Risiken und Umsetzungsstand strukturiert zu bewerten. Wir unterstützen bei der Risikoanalyse, beim Aufbau oder Ausbau eines ISMS, bei der Dokumentation von Prozessen in Aeneis oder Signavio und bei der Einbindung Ihrer SAP-Systeme in das Sicherheitskonzept.

Starten Sie rechtzeitig. Die NIS2-Anforderungen gelten bereits, und eine saubere Umsetzung braucht Zeit. Sprechen Sie uns für einen strukturierten NIS2-Readiness-Check an.