Kurz gesagt
NIS2 (Richtlinie (EU) 2022/2555) ist die EU-weite Regulierung zur Cybersicherheit. Sie verpflichtet „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren zu einem systematischen Risikomanagement, zu Meldefristen von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) bei erheblichen Sicherheitsvorfällen sowie zur persönlichen Verantwortung der Geschäftsleitung — bei Bußgeldern von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Was ist NIS2?
NIS2 ist die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Sie löst die erste NIS-Richtlinie von 2016 ab, erweitert den Anwendungsbereich deutlich und vereinheitlicht Pflichten und Aufsicht in allen Mitgliedstaaten. In Kraft ist die Richtlinie seit Januar 2023; die Mitgliedstaaten setzen sie in nationales Recht um — in Deutschland über das NIS2-Umsetzungsgesetz (Novelle des BSI-Gesetzes). Maßgeblich für Unternehmen sind die jeweils geltenden nationalen Vorgaben.
Wer ist von NIS2 betroffen?
NIS2 unterscheidet wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities) in insgesamt 18 Sektoren — darunter Energie, Transport, Gesundheit, digitale Infrastruktur, IT-Dienstleister (Managed Service Provider), öffentliche Verwaltung, Post, Abfall, Chemie, Lebensmittel und verarbeitendes Gewerbe.
Als Faustregel gilt die Größenschwelle: Unternehmen ab 50 Beschäftigten oder mehr als 10 Mio. € Jahresumsatz, die in einem der Sektoren tätig sind, fallen in der Regel unter die Richtlinie. Einige Einrichtungen sind unabhängig von ihrer Größe erfasst (z. B. DNS-Diensteanbieter, TLD-Registries, qualifizierte Vertrauensdiensteanbieter). Wer betroffen ist, muss sich bei der zuständigen Behörde registrieren.
Welche Pflichten bringt NIS2?
Kern der Richtlinie ist Artikel 21: Betroffene Einrichtungen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zum Management ihrer Cybersicherheitsrisiken treffen. Dazu gehören mindestens:
- Richtlinien für Risikoanalyse und Sicherheit der Informationssysteme
- Bewältigung von Sicherheitsvorfällen (Incident-Handling)
- Business Continuity: Backup-Management, Notfallwiederherstellung, Krisenmanagement
- Sicherheit der Lieferkette, einschließlich der Beziehungen zu Dienstleistern
- Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen inkl. Schwachstellenmanagement
- Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
- Cyberhygiene-Grundlagen und Schulungen
- Kryptografie und, wo angemessen, Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Asset-Management
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Das entspricht in weiten Teilen dem, was ein ISMS nach ISO 27001 ohnehin leistet — NIS2 macht daraus eine gesetzliche Pflicht.
Welche Meldepflichten gelten bei Sicherheitsvorfällen?
Bei einem erheblichen Sicherheitsvorfall gilt ein dreistufiges Meldeverfahren an die zuständige Behörde bzw. das CSIRT:
- Frühwarnung innerhalb von 24 Stunden nach Kenntnis des Vorfalls
- Vollständige Meldung innerhalb von 72 Stunden mit erster Bewertung von Schweregrad und Auswirkungen
- Abschlussbericht spätestens einen Monat nach der Meldung, inkl. Ursachenanalyse und getroffener Maßnahmen
Diese Fristen sind ohne vorbereitete Prozesse, klare Zuständigkeiten und eine gepflegte Asset- und Kontaktbasis kaum einzuhalten — Incident-Response muss vor dem Ernstfall stehen.
Was droht bei Verstößen?
Für wesentliche Einrichtungen sieht NIS2 Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag höher ist); für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 %.
Neu ist die ausdrückliche Verantwortung der Leitungsorgane: Geschäftsleitungen müssen die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und sich selbst schulen lassen — und können für Verstöße persönlich verantwortlich gemacht werden.
Wie bereitet man sich auf NIS2 vor?
Ein pragmatischer Fahrplan sieht so aus:
- Betroffenheit prüfen: Sektor, Unternehmensgröße und Rolle in der Lieferkette bewerten
- Gap-Analyse gegen die Maßnahmen aus Artikel 21 durchführen
- Asset-Inventar und Risikoregister aufbauen bzw. aktualisieren
- Incident-Response-Prozess mit den 24h/72h-Fristen etablieren und testen
- Lieferanten bewerten und vertragliche Sicherheitsanforderungen nachziehen
- Geschäftsleitung einbinden: Verantwortung, Reporting und Schulung verankern
Wer bereits ein ISMS nach ISO 27001 betreibt, deckt den Großteil der NIS2-Anforderungen ab und muss vor allem Meldewege und Governance nachschärfen. Flux Platform unterstützt beide Seiten: Risiken, Controls und Evidenzen für das ISMS — und Incident-Workflows mit den NIS2-Meldefristen im Blick.