NIS-2-Richtlinie: Was Unternehmen jetzt wissen müssen

Mit der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) stellt die Europäische Union die Weichen für ein deutlich höheres Cybersicherheitsniveau in allen EU-Mitgliedstaaten. Voraussichtlich ab Ende 2025 müssen auch in Deutschland Unternehmen neue gesetzliche Pflichten erfüllen – unabhängig davon, ob sie zu den klassischen KRITIS-Sektoren gehören oder nicht.

Am 30.07.2025 wurde der Regierungsentwurf des Gesetzes beschlossen. Das Inkrafttreten ist für Dezember 2025 vorgesehen. Für viele Betriebe besteht demnach dringender Handlungsbedarf um sich auf die NIS-2 Anforderungen vorzubereiten.

Warum NIS-2?

Die Bedrohungslage im Cyberraum ist angespannt. Angriffe auf Unternehmen, staatliche Einrichtungen und kritische Infrastrukturen nehmen stetig zu. Ziel der NIS-2 ist es deshalb, ein einheitliches Sicherheitsniveau in der EU zu schaffen und großflächige Maßnahmen zum Schutz der Wirtschaft einzuführen.

Wer ist betroffen?

Die Richtlinie erweitert den Kreis der verpflichteten Organisationen erheblich:

• Wichtige Einrichtungen (wE)
• Besonders wichtige Einrichtungen (bwE) – dazu gehören auch die bisherigen KRITIS-Unternehmen

In welche Kategorie das jeweilige Unternehmen fällt, ist abhängig von einer bestimmten zu erfüllenden Größenordnung (ab 50 bzw. 250 Mitarbeitende oder bestimmten Umsatz-/Bilanzwerten). Neben dem Größenkriterium ist zusätzlich das Unternehmen einem bestimmten Sektor zuzuordnen. Dazu zählen u. a. die Sektoren Energie, Verkehr, Gesundheit, Lebensmittelproduktion, Abfallbewirtschaftung, digitale Dienste und öffentliche Verwaltung.

Wenn beide Kriterien (Größe und Sektor) erfüllt sind, besteht eine Pflicht zur Umsetzung von NIS-2.

Was ist zu tun?

Unternehmen müssen eine ganze Reihe von Maßnahmen umsetzen und nachweisen. Hierzu zählen unter anderem:

• Registrierungspflicht:
  Einrichtungen müssen sich beim BSI registrieren und aktuelle Daten hinterlegen.
• Risikomanagement:
  Durchführung von Risikoanalysen und Umsetzung angemessener technischer und organisatorischer Maßnahmen (z. B. sichere Lieferkette, Incident Management, Business Continuity, Verschlüsselung, Zugriffskontrollen).
• Meldepflichten:
  Sicherheitsvorfälle sind innerhalb von 24 Stunden (Erstmeldung), 72 Stunden (Detailmeldung) und spätestens nach 30 Tagen (Abschlussmeldung) an das BSI zu melden. Auch der Inhalt und Aufbau der Meldung ist nach bestimmten Kriterien definiert.
• Schulungspflicht:
  Die NIS-2-Richtlinie beinhaltet eine Schulungspflicht für die Unternehmensleitung und fordert regelmäßige Schulungen für alle Mitarbeiter, um Kenntnisse und Fähigkeiten im Bereich Cybersicherheit zu vermitteln.

Wichtig zu beachten ist dabei die Verantwortung der Geschäftsleitung. Geschäftsführungen haften bei Pflichtverletzungen persönlich.

Wie sollten Unternehmen vorgehen?

Das Bundesamt für Sicherheit und Informationstechnik (BSI) empfiehlt, frühzeitig strukturiert vorzugehen:

• Betroffenheit prüfen – fällt das eigene Unternehmen unter die NIS-2-Regeln?
• Verantwortlichkeiten benennen – mindestens zwei Personen für die Koordination.
• Bestandsaufnahme durchführen – aktuelles IT-Sicherheitsniveau erheben.
• Cybersicherheit verbessern – Einführung oder Ausbau von ISMS, Risiko- und Incident-Management, Schulungen.
• Auf Pflichten vorbereiten – Meldeprozesse etablieren, Kommunikationswege sichern, Registrierung planen.

Unterstützung durch SONNTAG

SONNTAG stellt Unternehmen verschiedene Hilfsmittel bereit:

• NIS-2-Betroffenheitsprüfung → Wir prüfen gemeinsam mit Ihnen, ob eine NIS-2 Pflicht vorliegt.
• NIS-2-Gap-Analyse: → Umfassende Bestandsaufnahme zur Identifizierung von möglichen Lücken.
• NIS-2 – Was tun?: → Auf Basis der Gap-Analyse geben wir Ihnen praktische Hinweise für die Umsetzung, bei der wir auch unterstützen können.

Weitere Informationen finden Sie unter: NIS-2-Richtlinie – Ein Leitfaden für Unternehmen

Fazit

Die NIS-2 ist mehr als eine rechtliche Anpassung – sie ist ein zentraler Schritt hin zu einer europaweit gestärkten Cybersicherheitskultur. Für Unternehmen bedeutet dies, IT-Sicherheit nicht länger als Option, sondern als gesetzliche Pflicht und Führungsaufgabe zu betrachten.

Die SONNTAG IT Solutions unterstützt Sie gemeinsam mit der Kanzlei SONNTAG bei allen Fragen rund um die Umsetzung – von der Betroffenheitsprüfung bis zur Einführung passgenauer Sicherheits- und Compliance-Maßnahmen.