10. Februar 2025

Was ist NIS-2? Einfach erklärt für Unternehmen

Von Joachim Reinke

Februar 10, 2025

Betroffenheitsprüfung, NIS-2, Strafen

NIS-2 ist die neue europäische Cybersicherheitsregulierung für deutlich mehr Unternehmen und Einrichtungen als früher. Die Richtlinie trägt offiziell den Titel Richtlinie (EU) 2022/2555 und soll für ein hohes gemeinsames Cybersicherheitsniveau in der EU sorgen. ENISA fasst den Kern gut zusammen: NIS-2 erweitert den Anwendungsbereich, verschärft die Anforderungen und führt neue Pflichten ein, um kritische Infrastrukturen, wesentliche Dienste und wichtige Sektoren besser gegen Cyberbedrohungen zu schützen.

Die kurze Antwort

Wenn Sie es auf einen Satz herunterbrechen wollen, dann wäre es wohl dieser hier:

NIS-2 verpflichtet bestimmte Unternehmen dazu, Cybersicherheit nicht mehr nebenbei zu behandeln, sondern strukturiert zu steuern, Vorfälle zu melden und ihre Widerstandsfähigkeit nachweisbar zu verbessern.

In Deutschland ist das kein Zukunftsthema mehr. Das BSI hat mitgeteilt, dass das NIS-2-Umsetzungsgesetz seit 6. Dezember 2025 in Kraft ist.

NIS-2 ist kein Spezialthema nur für KRITIS

Viele denken bei NIS-2 zuerst an klassische Kritische Infrastrukturen. NIS-2 erweitert den Anwendungsbereich da deutlich: Die Europäische Kommission nennt in den Anlagen 1 und 2 zum BSIG Sektoren wie Energie, Verkehr, Banken, Finanzmarktinfrastruktur, digitale Infrastruktur, Gesundheit, Trinkwasser, Abwasser, öffentliche Verwaltung, Raumfahrt sowie Lebensmittelproduktion und -verarbeitung. NIS-2 ist also deutlich breiter als das frühere Bild "nur ein paar hochkritische Betreiber".

Warum NIS-2 für viele Unternehmen plötzlich relevant ist

Das BSI geht aktuell davon aus, dass in Deutschland rund 29.500 Unternehmen direkt den Verpflichtungen des Gesetzes unterliegen. Genau deshalb taucht das Thema inzwischen auch bei Unternehmen auf, die sich früher nie als reguliert wahrgenommen hätten. Wer heute noch denkt, NIS-2 sei nur ein Randthema für ein paar Sonderfälle, arbeitet mit einem veralteten Bild.

Wen betrifft NIS-2?

Vereinfacht gesagt betrifft NIS-2 Unternehmen und Einrichtungen aus bestimmten Sektoren, wenn sie die gesetzlichen Kriterien erfüllen. Das BSI arbeitet in Deutschland dabei mit den Kategorien "wichtige Einrichtungen" und "besonders wichtige Einrichtungen".

Auf EU-Ebene beschreibt die Richtlinie zusätzlich die Logik dahinter: Bestimmte Unternehmen aus den einschlägigen Sektoren werden je nach Art, Größe und Einordnung als essential entities oder important entities behandelt.

Was ist der Unterschied zwischen "wichtigen" und "besonders wichtigen" Einrichtungen?

Für den Unternehmensalltag ist vor allem wichtig: Beide Gruppen haben echte Pflichten. Der Unterschied liegt vor allem in Einordnung und Aufsichtstiefe, nicht darin, dass die einen das Thema ernst nehmen müssten und die anderen nicht. Das BSI spricht ausdrücklich von Pflichten für wichtige und besonders wichtige Einrichtungen, darunter Registrierung, Risikomanagementmaßnahmen und Meldepflichten.

Was Unternehmen unter NIS-2 konkret tun müssen

NIS-2 verlangt nicht nur „mehr IT-Sicherheit“. Gefordert sind unter anderem Risikomanagementmaßnahmen, Registrierung, Meldewege für erhebliche Sicherheitsvorfälle und eine organisatorische Einbettung des Themas. Das BSI formuliert das inzwischen sehr praktisch: Betroffene Unternehmen müssen sich registrieren, erhebliche Sicherheitsvorfälle melden sowie Risikomanagementmaßnahmen implementieren und dokumentieren.

Es geht nicht nur um Technik

Ein häufiger Denkfehler ist, NIS-2 als reines IT-Thema zu betrachten. Das greift zu kurz. Die BSI-Handreichung für die Geschäftsleitung macht klar, dass Cybersicherheit integraler Bestandteil der Geschäfte des Unternehmens und des Risikomanagements sein muss. Gleichzeitig ist die Verantwortung der Geschäftsleitung ausdrücklich gesetzlich verankert, ebenso wie eine Schulungspflicht für Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen.

Risikomanagement ist der Kern

Wenn man NIS-2 inhaltlich auf einen Schwerpunkt verdichtet, dann ist es dieser: Cybersicherheitsrisiken müssen strukturiert gemanagt werden. Gemeint ist damit ein breites Maßnahmenbild, das weit über Firewalls und Virenscanner hinausgeht. Dazu gehören unter anderem Richtlinien für Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung, Zugangskontrolle, Kryptografie und Wirksamkeitsbewertung.

Vorfälle müssen schnell gemeldet werden

NIS-2 ist auch deshalb ernst zu nehmen, weil erhebliche Sicherheitsvorfälle nicht irgendwann "bei Gelegenheit" gemeldet werden dürfen. Die Erstmeldung eines erheblichen Sicherheitsvorfalls muss innerhalb von 24 Stunden nach Kenntniserlangung erfolgen. Außerdem dient das BSI-Portal als Meldestelle für schwerwiegende Sicherheitsvorfälle. Wer so eine Pflicht hat, braucht also nicht nur gute Absichten, sondern echte Vorfallprozesse.

Registrierung gehört dazu

Betroffene Unternehmen müssen sich beim BSI registrieren. Das BSI beschreibt dafür einen konkreten Prozess über das BSI-Portal und nennt unter anderem Anforderungen an Kontaktstelle, Kontaktperson, Sektor, Unternehmensgröße und weitere Angaben. NIS-2 ist also nicht nur eine unsichtbare Hintergrundpflicht, sondern mit ganz konkreten administrativen und organisatorischen Anforderungen verbunden.

Was Unternehmen jetzt tun sollten

Der vernünftige erste Schritt ist nicht Panik, sondern saubere Einordnung. Das BSI bietet dafür eine Betroffenheitsprüfung und einen Entscheidungsbaum an. Wichtig ist: Wer belastbar sagen will „betrifft uns nicht“, sollte das auch wirklich geprüft haben. Und wer betroffen ist, sollte nicht warten, bis nachgefragt wird. Das BSI-Starterpaket richtet sich genau an Unternehmen, die ihre ersten Schritte jetzt konkret angehen müssen.

Die drei häufigsten Denkfehler

1. "Das betrifft nur KRITIS"

Nein. NIS-2 ist deutlich breiter angelegt und erfasst viel mehr Unternehmen und Einrichtungen als das frühere enge KRITIS-Bild.

2. "Das macht dann die IT"

Auch falsch. NIS-2 ist ein ganzheitliches Thema. Es geht um den "Allgefahrenansatz". Und die Geschäftsleitung ist klar und direkt verantwortlich für die Umsetzung (nicht für die Arbeiten der Umsetzung, aber für das Ergebnis).

3. "Wir schauen mal später"

Riskant. Das Gesetz gilt bereits, das BSI-Portal läuft, und Pflichten zu Registrierung, Meldung und Maßnahmen stehen im Raum.

Wie kann man NIS-2 effizient umsetzen?

Der beste Weg, um NIS-2 Compliance sicherzustellen und dies auch unabhängig nachweisen zu können, ist die Umsetzung eines etablierten Informationssicherheitsstandards. In Deutschland bieten sich dafür zwei bewährte Optionen an:

  • ISO 27001 – der internationale Standard für Informationssicherheitsmanagement;
  • BSI IT-Grundschutz – eine speziell für Behörden entwickelte Methode.

Unternehmen, die einen dieser Standards umsetzen, die wenigen Spezifika von NIS-2 mit integrieren und sich dann zertifizieren lassen, haben damit einen soliden Nachweis für ihre NIS-2 Compliance.

FAQ

Was ist NIS-2? - Unser Tipp!

Bereiten Sie sich frühzeitig auf NIS-2 vor. Es wird sehr schnell passieren, dass Ihr Unternehmen von einem Auftraggeber gefragt wird, ob es NIS-2 einhält. Dann benötigen Sie einen Nachweis.

Interesse geweckt?

Möchten Sie mehr zum Thema NIS-2 wissen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments