NIS-2: Neue Anforderungen an die Cybersicherheit

Was Sie wissen müssen, um die neue EU-Richtlinie schnell umzusetzen

NIS-2: Zusammenfassung der wichtigsten Informationen

Die NIS-2-Richtlinie ist eine EU-weite Vorschrift, die Unternehmen und Organisationen zu höheren Sicherheitsstandards für Netz- und Informationssysteme verpflichtet. 

  • NIS-2 trat im Januar 2023 in Kraft und gilt für Firmen ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in 18 festgelegten Sektoren
  • Bei Nichteinhaltung der NIS-2-Anforderungen drohen hohe Bußgelder, Geschäftseinbußen und Reputationsverluste
  • Unternehmen müssen ein Cybersicherheits-Risikomanagement umsetzen, Sicherheitsvorfälle innerhalb von 24 Stunden melden, ihre Lieferketten absichern und gegebenenfalls zertifizierte IT-Produkte nutzen 
  • Die Richtlinie sollte bis Oktober 2024 in nationales Recht überführt werden. Der deutsche Gesetzentwurf (NIS-2UmsuCG) wurde zwar beschlossen, aber noch nicht verabschiedet. 

Was ist NIS-2?

Die „Network and Information Security (NIS) Directive“ ist eine EU-weite Vorschrift, welche die Cyber- und Informationssicherheitsstandards für bestimmte Organisationen und Sektoren erweitert und verschärft. Mit NIS-2 will die EU die Resilienz und Sicherheit der Netz- und Informationssysteme in der gesamten Europäischen Union stärken. Experten gehen davon aus, dass die NIS-2-Richtlinie für die Cybersicherheit das wird, was die DSGVO für den Datenschutz geworden ist. 

Bis wann muss NIS-2 umgesetzt werden?

Die NIS-2-Richtlinie trat am 16. Januar 2023 in Kraft, bis zum 17. Oktober 2024 hatten die EU-Mitgliedsstaaten anschließend Zeit, die Richtlinie in nationales Recht zu überführen. In Deutschland sollte dies durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) erfolgen.  

Der Gesetzesentwurf wurde zwar bereits am 24. Juli 2024 vom Kabinett beschlossen, die Verabschiedung im Bundestag scheiterte allerdings. Nach dem Ende der Ampel-Koalition wurden die Verhandlungen fortgesetzt, doch letztlich ohne Erfolg. Damit bleibt die Umsetzung von NIS-2 in Deutschland weiter offen und die EU-Umsetzungsfrist wird deutlich überschritten. Die EU-Kommission hat bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Dennoch ergibt sich aus den konkreten Vorgaben der Richtlinie und dem Entwurf des Umsetzungsgesetzes ein klarer Handlungsrahmen für Unternehmen. 

NIS-2-Compliance leicht gemacht – mit MaibornWolff 

Sie sind von der NIS-2-Directive betroffen? Bei der Umsetzung der Anforderungen der NIS-2-Richtlinie unterstützen unsere Experten Sie gerne. MaibornWolff bietet ganzheitliches Risikomanagement von Anfang an: Wir helfen Ihnen, Risiken strategisch zu erfassen, nachhaltig zu minimieren und langfristig sicher zu bleiben. So erhalten Sie genau die Sicherheit, die Ihr Unternehmen braucht – und das nicht nur auf dem Papier, sondern vor allem in der Praxis. 

Umsetzung von NIS-2 bei bestehender Business Continuity

Cybersecurity-Schulungen

Security Check-Up

Hervorragendes Risk-Management

Mit MaibornWolff setzen Sie auf einen Partner, der Compliance nicht als Pflichtübung versteht, sondern als Chance für echte Cybersicherheit. 

Kostenloses Erstgespräch vereinbaren!

Diese Kunden vertrauen bereits auf unsere Expertise 

Das sagen unsere Kunden über MaibornWolff 

„Entscheidend für den Projekterfolg: Das Team hat nicht versucht, Sicherheit in einer ‚Polizeirolle‘ von außen in die Entwicklungsteams zu bringen. Stattdessen hat es unsere Teams selbst dazu befähigt, die Sicherheit systematisch zu beurteilen“

Philipp Lindemann, Projektleiter, MAN

Welche Unternehmen sind von NIS-2 betroffen? 

NIS-2 betrifft Unternehmen, die in einem EU-Land tätig sind. Dabei spielt es keine Rolle, ob diese auch in der EU ansässig sind. Mit der NIS-2-Directive zieht die EU sogenannte „wesentliche” und „wichtige” Einrichtungen in die Verantwortung. Dazu zählen Unternehmen und Einrichtungen aus insgesamt 18 Wirtschaftssektoren. Neben dem Standort und dem Tätigkeitsfeld spielen auch die Anzahl der Angestellten und der Jahresumsatz eine wichtige Rolle: Unternehmen ab 50 Beschäftigten oder mit einem Jahresumsatz von mindestens zehn Millionen Euro müssen die NIS-2-Richtlinie umsetzen.  

Prüfen Sie unbedingt, ob Ihr Unternehmen von NIS-2 betroffen ist, denn bei Nichteinhaltung der NIS-2-Anforderungen drohen hohe Bußgelder. 

Diese Sektoren fallen unter die NIS-2-Richtlinie 

Ob Ihr Unternehmen die Anforderungen der NIS-2-Richtlinie erfüllen muss, hängt davon ab, ob es einem der 18 definierten Unternehmenssektoren angehört. Diese sind unterteilt in Sektoren hoher Kritikalität und sonstige kritische Sektoren. 

Sektoren hoher Kritikalität 

  • Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff)  
  • Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)  
  • Bankwesen  
  • Finanzmarktinfrastrukturen  
  • Gesundheitswesen  
  • Trinkwasser  
  • Abwasser  
  • Digitale Infrastruktur  
  • Verwaltung von IKT-Diensten (Business-to-Business)  
  • Öffentliche Verwaltung  
  • Weltraum 

Sonstige kritische Sektoren 

  • Post- und Kurierdienste  
  • Abfallbewirtschaftung  
  • Produktion, Herstellung und Handel mit chemischen Stoffen 
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln  
  • Verarbeitendes Gewerbe / Herstellung von Waren 
  • Anbieter digitaler Dienste 
  • Forschung 

Wesentliche und wichtige Einrichtungen: Was ist der Unterschied? 

Mit der Einführung der NIS-2-Richtlinie entfällt die bisherige Unterscheidung zwischen Betreibern wesentlicher Dienste (OES) und Anbietern digitaler Dienste (DSP). Diese wurden in die neuen Kategorien wesentliche und wichtige Einrichtungen überführt. Die Anforderungen an die Cybersicherheit sind für beide Gruppen gleich, Unterschiede bestehen jedoch hinsichtlich der behördlichen Kontrolle und möglicher Sanktionen: 

  • Wesentliche Einrichtungen sind große Unternehmen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro, die in einem Sektor hoher Kritikalität tätig sind. Sie unterliegen einer strengen, proaktiven behördlichen Überwachung, d. h. regelmäßigen Prüfungen und Audits. Verstöße können mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden. 
  • Wichtige Einrichtungen sind Unternehmen aus den sonstigen kritischen Sektoren mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Umsatz. Sie werden nur bei konkreten Verdachtsmomenten kontrolliert (reaktive Aufsicht). Die maximalen Bußgelder betragen 7 Millionen Euro oder 1,4 % des Jahresumsatzes

Nationale Behörden können Unternehmen auch unabhängig von ihrer Größe als wesentlich oder wichtig einstufen, wenn ihre Tätigkeit von besonderer sicherheitsrelevanter Bedeutung ist. Zudem kann die Geschäftsführung persönlich für Verstöße haftbar gemacht werden – mit einer Obergrenze von 2 % des globalen Jahresumsatzes

Unsere Experten beraten Sie gerne!

Noch Fragen zu NIS-2?

Philipp Lorenzi

Head of Cybersecurity

Kontaktieren Sie uns

Unser Leistungsangebot

Wir unterstützen Sie End-to-End auf Ihrer digitalen Reise

Auf dem Bild zu sehen ist der Prozess einer individuellen Softwareentwicklung: Links die Digitalstrategie, gefolgt von Beratung, Design, Entwicklung und Betrieb bis Wartung einer Software. Mit Sicherstellung der Sicherheit und der Qualität. MaibornWolff entwickelt Individualsoftware, die Ihre Nutzer begeistern. Wir übernehmen die Business Analyse, Exploration, Requirements Engineering, UX/UI Design, IT-Modernisierung, Cloud Transformation, Daten- & KI-, Mobile- & Web-Entwicklungen.

Natürlich kann man über 30 Jahre Expertise als IT-Dienstleister nicht mit wenigen Worten gerecht werden und unser Leistungsspektrum orientiert sich immer an den Anforderungen unserer Kunden – so flexibel muss man sein. Zögern Sie deshalb nicht, uns zu kontaktieren und gemeinsam die passende Strategie für Ihren Unternehmenserfolg zu entwerfen.

NIS-2-Anforderungen an Unternehmen

Um die Anforderungen der NIS-2-Directive zu erfüllen, müssen Unternehmen umfassende Sicherheitsmaßnahmen umsetzen. Dazu gehören unter anderem: 

  • Verantwortung der Geschäftsleitung: Führungskräfte müssen Cybersicherheitsmaßnahmen nicht nur genehmigen, sondern auch aktiv überwachen. Sie sind verpflichtet, an Schulungen teilzunehmen und sind bei Verstößen persönlich haftbar. 
  • Cybersicherheits-Risikomanagement: Unternehmen sollen technische, operative und organisatorische Maßnahmen ergreifen, um Sicherheitsrisiken zu minimieren. Dazu gehören Notfallpläne, Zugangskontrollen, Verschlüsselung sowie Backup- und Krisenmanagement. Zudem umfasst ein effektives Risikomanagement die vollständige Erfassung, Bewertung und nachvollziehbare Behandlung von Risiken – einschließlich der Möglichkeit, bestimmte Risiken bewusst zu akzeptieren. 
  • Sicherheit in der Lieferkette: Nicht nur die betroffenen Unternehmen selbst, sondern auch ihre Dienstleister und Zulieferer unterliegen klaren Sicherheitsanforderungen. Koordinierte Risikobewertungen helfen, potenzielle Schwachstellen frühzeitig zu erkennen. 
  • Melde- und Berichtspflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung gemeldet werden. Eine erste Analyse muss nach 72 Stunden erfolgt sein ein Abschlussbericht spätestens nach einem Monat. 
  • Zertifizierte IT-Produkte & Sicherheitsstandards: Unternehmen können verpflichtet sein, zertifizierte IT- und Kommunikationsprodukte zu nutzen und europäische Sicherheitsstandards umzusetzen. Dabei müssen auch Sicherheitsanforderungen bei der Beschaffung von IT- und Netzwerksystemen berücksichtigt werden. 
  • Schulung & Sensibilisierung der Mitarbeitenden: Regelmäßige Schulungen zu Cyberhygiene, sicherem Umgang mit Daten und der Erkennung von Bedrohungen sollen menschliche Fehler als Sicherheitsrisiko minimieren. 
  • Registrierungspflicht: Unternehmen sind verpflichtet, sich bei der zuständigen nationalen Behörde anzumelden, um die Einhaltung der NIS-2-Anforderungen sicherzustellen. 

Setzen Sie die NIS-2-Richtlinie effizient um!
Profitieren Sie jetzt von unserer umfangreichen NIS-2-Beratung.

Zur NIS-2-Beratung

Unsere Erfahrung, Ihr Vorteil: Beispiele aus der Praxis

Was passiert, wenn mein Unternehmen die NIS-2-Richtlinie nicht einhält?

Die Nichteinhaltung der NIS-2-Richtlinie kann für Unternehmen gravierende Folgen haben. Wesentliche Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, wichtige Einrichtungen von bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Zudem trägt die Geschäftsleitung eine direkte Verantwortung: Laut der NIS-2-Directive muss sie Cybersicherheits-Risikomanagementmaßnahmen nicht nur genehmigen, sondern auch deren Umsetzung überwachen. Werden diese Anforderungen nicht erfüllt, kann sie persönlich haftbar gemacht werden.  

Neben finanziellen und rechtlichen Konsequenzen drohen Reputationsverluste und geschäftliche Einbußen, etwa durch den Ausschluss aus Lieferketten, wenn Unternehmen die geforderten Sicherheitsmaßnahmen nicht nachweisen können. 

Umso wichtiger ist es, frühzeitig die Anforderungen der NIS-2-Richtlinie umzusetzen und Sicherheitsrisiken aktiv zu minimieren. MaibornWolff unterstützt Sie dabei mit individuellen Lösungen und praxisnaher Expertise. Unser Ziel ist es, dass Ihr Unternehmen nicht nur die gesetzlichen Vorgaben erfüllt, sondern auch langfristig sicher aufgestellt ist. 

Vereinbaren Sie einen unverbindlichen Beratungstermin

Jetzt Kontakt aufnehmen!

FAQs: Häufige Fragen zu NIS-2

Die NIS-2-Richtlinie löst die seit 2016 bestehende NIS-Richtlinie (2016/1148) ab und hebt das Cybersicherheitsniveau in der EU auf eine neue Stufe. Während NIS den Grundstein für den Schutz kritischer Infrastrukturen (KRITIS) legte, konnte damals noch kein einheitliches Sicherheitsniveau in allen Mitgliedsstaaten erreicht werden. 

Mit NIS-2 werden drei zentrale Aspekte verschärft: 

  • Voraussetzungen: Die NIS-2-Richtlinie schafft die Voraussetzung für ein europaweites, einheitliches Sicherheitsniveau. 
  • Geltungsbereich: NIS-2 weitet den Geltungsbereich stark aus, so dass jetzt weit über 100.000 Unternehmen betroffen sind. 

Verantwortung: Das obere Management wird stärker in die Pflicht genommen, Cybersicherheitsmaßnahmen konsequent umzusetzen. 

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) ist der deutsche Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie in nationales Recht. Es soll die Cybersicherheitsanforderungen für Unternehmen in kritischen und wichtigen Sektoren regeln und wurde am 24. Juli 2024 vom Bundeskabinett beschlossen, jedoch noch nicht verabschiedet (Stand Februar 2025). 

Unternehmen sollten frühzeitig eine Cybersicherheitsstrategie entwickeln, bestehende IT-Sicherheitsmaßnahmen prüfen und anpassen, sowie klare Notfall- und Meldeprozesse etablieren. Eine enge Zusammenarbeit mit IT-Sicherheitsexperten kann dabei helfen, alle Anforderungen effizient umzusetzen. 

Auch Unternehmen mit Sitz außerhalb der EU müssen NIS-2 einhalten, wenn sie Dienstleistungen innerhalb der EU erbringen oder mit Unternehmen mit Sitz in der EU zusammenarbeiten möchten. Sie müssen einen Vertreter benennen, der in einem EU-Mitgliedstaat niedergelassen und für die Einhaltung der Vorschriften verantwortlich ist. 

Ja, wesentliche und wichtige Einrichtungen müssen sich gemäß der NIS-2-Richtlinie bei den zuständigen nationalen Behörden registrieren. Diese Registrierung dient dazu, die Einhaltung der Cybersicherheitsanforderungen zu überwachen und eine bessere Koordination im Falle von Sicherheitsvorfällen zu ermöglichen. Die genauen Anforderungen und Fristen zur Registrierung legt jedes EU-Mitgliedsland individuell fest. 

Unsere Experten beraten Sie gerne!

Noch Fragen zu NIS-2?

Philipp Lorenzi

Head of Cybersecurity

Kontaktieren Sie uns