Bild: Generiert mit Gemini Flash

NIS-2 kompakt: wer ist betroffen, was ist zu tun

NIS-2 erweitert den Kreis regulierter Organisationen deutlich. Wer fällt hinein, welche Pflichten entstehen, und warum die Meldung binnen 24 Stunden der härteste Teil der Umsetzung ist.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Die etwas längere Antwort
  4. Betroffenheit
  5. Pflichten nach Art. 21
  6. Meldepflichten
  7. Governance
  8. Durchsetzung
  9. Abgelehnte Alternativen und Mythen
  10. Was Sie jetzt tun sollten
  11. Wie Dernium hier hilft
  12. Verifikation
  13. Offene Punkte
  14. Häufige Fragen
  15. Woran erkenne ich, ob mein Unternehmen unter NIS-2 fällt?
  16. Was bedeutet die 24-Stunden-Meldefrist konkret?
  17. Haftet wirklich die Geschäftsführung persönlich?
  18. Bin ich aus dem Schneider, wenn ich zu klein bin?
  19. Reicht eine ISO-27001-Zertifizierung aus?
  20. Aktualisierungen

Problem

Die NIS-2-Richtlinie (Directive (EU) 2022/2555) (NIS = Netz- und Informationssicherheit) löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Anwendungsbereich um zahlreiche Sektoren und um Organisationen, die bisher regulatorisch unter dem Radar lagen. In Deutschland setzt das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) die Vorgaben um; das Gesetzgebungsverfahren zog sich länger als geplant, die materiellen Anforderungen sind aber bereits in der Richtlinie selbst verbindlich.

Drei Fragen stehen typischerweise im Raum:

  1. Bin ich betroffen?
  2. Was muss ich tun?
  3. Was passiert, wenn ich es nicht tue?

Für wen ist das? Für alle, die zum ersten Mal einordnen wollen, ob und wie NIS-2 sie betrifft.

Die drei Leitfragen von NIS-2: Bin ich betroffen, was muss ich tun, und was droht bei Versäumnis.
Die drei Leitfragen von NIS-2: Bin ich betroffen, was muss ich tun, und was droht bei Versäumnis.

Kurze Antwort

Betroffen sind alle mittleren und großen Organisationen in einem regulierten Sektor; die Pflichten sind umfangreich, und die Geschäftsleitung haftet persönlich.

  • Wer: Organisationen ab 50 Beschäftigten oder 10 Mio. Euro Umsatz in einem Sektor aus Annex I oder II, plus "besonders kritische" Einrichtungen unabhängig von der Größe.
  • Was: Risikomanagement, technische und organisatorische Maßnahmen, Lieferkettenabsicherung, Governance-Verantwortung der Geschäftsführung und ein gestuftes Meldesystem (Art. 21 NIS-2).
  • Meldung: dreistufig an das BSI - 24 Stunden, 72 Stunden, ein Monat.
  • Strafe: Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes; die Geschäftsleitung haftet persönlich für Organisationsversäumnisse.

Die etwas längere Antwort

Betroffenheit

Annex I (wesentliche Einrichtungen, "essential entities", also Betriebe mit besonders hoher Bedeutung) umfasst: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt.

Annex II (wichtige Einrichtungen, "important entities") umfasst u.a.: Post- und Kurierdienste, Abfallwirtschaft, Chemieproduktion, Lebensmittelproduktion und -vertrieb, Fertigung, digitale Dienste (inklusive Cloud-Dienstleister, Rechenzentrumsbetreiber, Managed Service Provider - also Anbieter, die IT-Betrieb für andere übernehmen -, Online-Marktplätze).

Die Größenschwelle liegt bei 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz. Darunter greift NIS-2 nur, wenn die Einrichtung unabhängig davon als "besonders kritisch" eingestuft ist (z.B. einzige Stromversorgung eines Bezirks).

Pflichten nach Art. 21

Die Richtlinie listet zehn Bereiche, in denen Maßnahmen zu ergreifen sind:

  1. Risikoanalyse und Sicherheitsrichtlinien
  2. Vorfallsbearbeitung
  3. Geschäftskontinuität und Krisenmanagement
  4. Lieferkettensicherheit, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zu Zulieferern
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  6. Überprüfung der Wirksamkeit der Maßnahmen
  7. Grundlegende Hygiene-Praktiken und Schulungen
  8. Kryptografie und, wo angemessen, Verschlüsselung
  9. Sicherheit von Personal, Zugangskontrolle und Asset-Management (Verwaltung der eigenen IT-Werte und Geräte)
  10. Multi-Faktor-Authentifizierung (Anmeldung mit mehr als nur einem Passwort), Kommunikationsabsicherung, Notfallkommunikation

Die Maßnahmen müssen dem Stand der Technik entsprechen und verhältnismäßig zum Risikoprofil sein.

Meldepflichten

Die Meldung eines "erheblichen Sicherheitsvorfalls" an das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist dreistufig:

  • Binnen 24 Stunden nach Kenntnis: Frühwarnung mit erstem Verdacht
  • Binnen 72 Stunden nach Kenntnis: vollständigere Einschätzung inkl. betroffener Systeme und erster Maßnahmen
  • Binnen eines Monats: Abschlussbericht

Die 24-Stunden-Frist ist der operativ anspruchsvollste Teil, weil sie verlässlich erreichbare Meldeprozesse verlangt, auch nachts und am Wochenende, und weil "Kenntnis" nicht an Fertigstellung einer Untersuchung geknüpft ist.

Governance

Art. 20 NIS-2 verpflichtet die Geschäftsleitung, die umgesetzten Maßnahmen zu genehmigen und deren Umsetzung zu überwachen. Sie muss an Schulungen teilnehmen und "gleichwertige Schulungen Mitarbeitern anbieten". Die Haftung für Verstöße kann nicht auf den CISO (Chief Information Security Officer, IT-Sicherheitsverantwortliche Leitung) delegiert werden. Das ist neu und spürbar: NIS-2 macht IT-Sicherheit zum Gegenstand der Geschäftsführer-Sorgfaltspflicht.

Durchsetzung

Nationale Aufsichtsbehörden (in DE das BSI) können Vor-Ort-Prüfungen, Anordnungen und Bußgelder verhängen. Für wesentliche Einrichtungen sind Prüfungen auch ohne konkreten Vorfall zulässig (proaktive Aufsicht), für wichtige Einrichtungen nur reaktiv.

Abgelehnte Alternativen und Mythen

"Wir haben ISO 27001, damit sind wir NIS-2-konform." Eine Zertifizierung nach ISO 27001 (internationaler Standard für ein Informationssicherheits-Managementsystem) ist hilfreich, deckt aber nicht alles ab. NIS-2 verlangt insbesondere die Lieferkettensicherheit (Art. 21 Abs. 2 Buchst. d), die in ISO 27001 bis 2022 nur rudimentär, ab Revision 2022 etwas breiter behandelt wird. Die Meldepflichten und die Governance-Verantwortung sind außerhalb des ISMS-Zyklus (ISMS = Informationssicherheits-Managementsystem) und müssen separat eingerichtet werden.

"Uns reicht der Branchenstandard X." Nur wenn dieser Standard explizit in einem delegierten Rechtsakt nach NIS-2 als konformitätsvermutend anerkannt ist (also gesetzlich als ausreichend gilt). Für die meisten Branchen existiert ein solcher Rechtsakt bisher nicht.

"Wir sind zu klein." Wenn die Größenschwelle unterschritten wird und keine Sonderkriterien greifen, ist das richtig. Aber: wer an wesentliche Einrichtungen liefert, wird über Art. 21 Abs. 2 Buchst. d indirekt von den NIS-2-Anforderungen seiner Kunden eingefangen. Lieferanten schreiben ihre Pflichten weiter.

Was Sie jetzt tun sollten

  1. Klären Sie zuerst die Betroffenheit: Sektor (Annex I oder II), Größe (ab 50 Beschäftigten oder 10 Mio. Euro Umsatz) und ob ein Sonderkriterium greift. Halten Sie das Ergebnis schriftlich fest.
  2. Erfassen Sie den Ist-Stand entlang der zehn Pflichtbereiche aus Art. 21 und notieren Sie pro Bereich, was fehlt (Gap-Analyse).
  3. Richten Sie den Meldeprozess so ein, dass die 24-Stunden-Frühwarnung auch nachts und am Wochenende verlässlich ausgelöst werden kann - mit benannten Verantwortlichen und Rufbereitschaft.
  4. Bringen Sie die Geschäftsleitung formal ins Boot: Maßnahmen genehmigen lassen, Leitungsschulung dokumentieren - die Haftung lässt sich nicht delegieren.
  5. Nehmen Sie die Lieferkette in den Blick: Sicherheitsanforderungen in Verträge mit Zulieferern aufnehmen und deren Eignung prüfen.

Wie Dernium hier hilft

Für den technischen Anteil der zehn Pflichtbereiche aus Art. 21 NIS-2 bieten wir mehrere Bausteine: Dernium Mailcheck deckt die Authentizitäts-Anforderungen der E-Mail-Kommunikation ab (SPF/DKIM/DMARC - Verfahren, die belegen, dass eine E-Mail wirklich von Ihrer Domain stammt - mit Auswertung der Sammelberichte), Dernium Clean entschärft Dokumente aus der Lieferkette (Art. 21 Abs. 2 Buchst. d) und Dernium Watch überwacht Marken- und Website-Integrität als Frühwarnstufe. Ein sauberes security.txt nach RFC 9116 (standardisierte Datei, die den Kontaktpunkt für Schwachstellen-Hinweise nennt), das den Kontaktpunkt für externe Schwachstellen-Hinweise abbildet, lässt sich mit dem kostenlosen Dernium Webtools in wenigen Minuten ableiten - relevant für die NIS-2-Meldepflichten nach Art. 23 und für die Kontaktstelle, die Auditoren regelmäßig sehen wollen. Keiner der Bausteine ist eine NIS-2-Zertifizierung und ersetzt das interne Risikomanagement; zusammen decken sie aber einen großen Teil der technischen Umsetzung.

Verifikation

  • NIS-2-Richtlinie im Original: CELEX 32022L2555.
  • NIS2UmsuCG-Referentenentwurf und weitere Dokumente: BMI-Entwurf, abrufbar über das Bundesministerium des Innern.
  • BSI-Überblick zur NIS-2-Umsetzung: bsi.bund.de/nis-2.
  • Sektoren-Checklisten sind bei Industrieverbänden (Bitkom, VOICE e.V., TeleTrusT) frei verfügbar.

Offene Punkte

Umsetzungstempo in Deutschland. Das NIS2UmsuCG liegt zum Zeitpunkt dieses Beitrags als Entwurf vor, die Verabschiedung steht aus. Die materiellen Pflichten der Richtlinie gelten gleichwohl ab dem Umsetzungsdatum (17.10.2024), weil die Richtlinie insoweit unmittelbare Wirkung entfalten kann.

Konzerngesellschaften. Unklar ist derzeit, ob verbundene Unternehmen gemeinsam oder getrennt zur Registrierung verpflichtet sind; die Aufsichtsbehörden tendieren zur gesamtkonzernalen Betrachtung, eine rechtsverbindliche Klärung steht aus.

Häufige Fragen

Woran erkenne ich, ob mein Unternehmen unter NIS-2 fällt?

Prüfen Sie zwei Dinge: Liegt Ihre Tätigkeit in einem Sektor aus Annex I (z.B. Energie, Gesundheit, digitale Infrastruktur) oder Annex II (z.B. Fertigung, Lebensmittel, digitale Dienste)? Und erreichen Sie die Schwelle von 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz? Sind beide erfüllt, gilt NIS-2. Auch kleinere Betriebe können erfasst sein, wenn sie als "besonders kritisch" eingestuft werden, etwa als einzige Versorgung einer Region.

Was bedeutet die 24-Stunden-Meldefrist konkret?

Sobald Sie von einem erheblichen Sicherheitsvorfall Kenntnis erlangen, müssen Sie binnen 24 Stunden eine erste Frühwarnung an das BSI absetzen - auch nachts und am Wochenende. "Kenntnis" heißt nicht, dass die Ursache schon geklärt sein muss; eine begründete Vermutung reicht. Nach 72 Stunden folgt eine genauere Einschätzung, nach einem Monat der Abschlussbericht. Sie brauchen also einen Meldeprozess mit klarer Zuständigkeit rund um die Uhr.

Haftet wirklich die Geschäftsführung persönlich?

Ja. Art. 20 NIS-2 verpflichtet die Geschäftsleitung, die Sicherheitsmaßnahmen zu genehmigen und deren Umsetzung zu überwachen, und schließt aus, dass diese Verantwortung vollständig an einen IT-Sicherheitsverantwortlichen abgegeben wird. Versäumt die Leitung ihre Sorgfaltspflicht, kann sie persönlich in Haftung genommen werden. Außerdem muss sie selbst an Schulungen teilnehmen.

Bin ich aus dem Schneider, wenn ich zu klein bin?

Nicht unbedingt. Wenn Sie an wesentliche oder wichtige Einrichtungen liefern, geben diese ihre NIS-2-Anforderungen über die Lieferkettensicherheit (Art. 21 Abs. 2 Buchst. d) an Sie weiter - meist über Vertragsklauseln. Sie können also faktisch betroffen sein, ohne selbst direkt unter das Gesetz zu fallen.

Reicht eine ISO-27001-Zertifizierung aus?

Sie ist eine gute Grundlage, aber kein Freibrief. ISO 27001 deckt das Sicherheits-Managementsystem ab, behandelt aber die NIS-2-spezifische Lieferkettensicherheit erst seit der Revision 2022 breiter und sagt nichts über die NIS-2-Meldepflichten und die persönliche Governance-Verantwortung der Leitung. Diese Teile müssen Sie zusätzlich und separat einrichten.

Aktualisierungen