NIS2-Compliance-Leitfaden: Was Sie wissen müssen

## Einleitung Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der aktualisierte EU-Rahmen für Cybersicherheit in kritischen und wichtigen Sektoren. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich, verschärft die Anforderungen und führt eine persönliche Haftung für das Management ein. NIS2 trat am 16. Januar 2023 in Kraft. Die EU-Mitgliedstaaten waren verpflichtet, sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland ist das Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Organisationen, die noch nicht vorbereitet sind, sollten jetzt handeln. ## Wer ist betroffen? NIS2 verwendet einen Größen-und-Sektor-Ansatz. Ihre Organisation ist wahrscheinlich betroffen, wenn sie in einem der aufgeführten Sektoren tätig ist UND den Größenschwellenwert erfüllt. ### Wesentliche Einrichtungen Größere Organisationen in kritischen Sektoren unterliegen einer strengeren Aufsicht: - Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme) - Verkehr (Luft, Schiene, Wasser, Straße) - Bankwesen und Finanzmarktinfrastruktur - Gesundheit (Krankenhäuser, Labore, Medizinproduktehersteller) - Trinkwasser und Abwasser - Digitale Infrastruktur (IXPs, DNS-Anbieter, TLD-Register, Cloud, Rechenzentren) - IKT-Service-Management (Managed Service Provider, Managed Security Service Provider) - Öffentliche Verwaltung - Raumfahrt ### Wichtige Einrichtungen Kleinere Organisationen und weitere Sektoren: - Post- und Kurierdienste - Abfallwirtschaft - Chemische Herstellung und Vertrieb - Lebensmittelproduktion und -vertrieb - Fertigung (Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge) - Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) - Forschungsorganisationen ### Größenschwellenwerte - **Mittlere Unternehmen**: 50–249 Mitarbeitende ODER 10–50 Mio. EUR Umsatz - **Große Unternehmen**: 250+ Mitarbeitende ODER 50 Mio. EUR+ Umsatz Einige Einrichtungen fallen unabhängig von ihrer Größe in den Anwendungsbereich, zum Beispiel DNS-Anbieter, TLD-Register und Anbieter öffentlicher elektronischer Kommunikationsnetze. ## Was fordert NIS2? Artikel 21 von NIS2 definiert 10 Mindestsicherheitsmaßnahmen für das Cybersicherheitsrisikomanagement, die alle Einrichtungen umsetzen müssen: 1. **Risikoanalyse und Informationssicherheitsrichtlinien**. Richtlinien auf Basis eines risikobasierten Ansatzes einrichten und aufrechterhalten 2. **Vorfallsbehandlung**. Verfahren zur Erkennung, Behandlung und Meldung von Sicherheitsvorfällen 3. **Business Continuity und Krisenmanagement**. Backup-Management, Disaster Recovery und Krisenreaktionspläne 4. **Sicherheit der Lieferkette**. Sicherheitsrisiken von Lieferanten und Dienstleistern bewerten und managen 5. **Sicherheit in Netz- und Informationssystemen**. Sicherer Erwerb, Entwicklung und Wartung von Systemen einschließlich Schwachstellenmanagement 6. **Richtlinien zur Bewertung von Cybersicherheitsmaßnahmen**. Verfahren zur Bewertung der Wirksamkeit Ihrer Sicherheitsmaßnahmen 7. **Cybersicherheitshygiene und Schulung**. Grundlegende Cyberhygiene-Praktiken und regelmäßige Sicherheitsbewusstseinsschulungen 8. **Kryptografie und Verschlüsselung**. Richtlinien und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung 9. **Personalsicherheit und Zugangskontrolle**. Asset-Management, Identitätsmanagement und Zugangskontrollrichtlinien 10. **Multi-Faktor-Authentifizierung und sichere Kommunikation**. Einsatz von MFA, kontinuierlicher Authentifizierung und verschlüsselter Sprach-/Video-/Textkommunikation, wo angemessen ## Meldepflichten bei Vorfällen NIS2 führt strenge Meldefristen für Vorfälle ein: - **Frühwarnung**: Innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls - **Vorfallsmeldung**: Innerhalb von 72 Stunden, einschließlich einer ersten Bewertung von Schweregrad und Auswirkung - **Abschlussbericht**: Innerhalb eines Monats, einschließlich Ursachenanalyse und Abhilfemaßnahmen Ein „erheblicher Vorfall“ ist einer, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht oder verursachen kann, oder der andere Organisationen betrifft. ## Managementhaftung Eine der wirkungsvollsten Änderungen von NIS2 ist die Einführung der persönlichen Haftung für Leitungsorgane. Artikel 20 fordert, dass das Management: - Die Cybersicherheits-Risikomanagementmaßnahmen genehmigt - Deren Umsetzung überwacht - An Cybersicherheitsschulungen teilnimmt - Persönlich für Nichtkonformität haftbar gemacht werden kann Das bedeutet, dass Vorstandsmitglieder und C-Level-Führungskräfte persönliche Konsequenzen tragen können, wenn ihre Organisation die NIS2-Anforderungen nicht erfüllt. Bußgelder können bis zu 10 Mio. EUR oder 2 % des globalen Jahresumsatzes für wesentliche Einrichtungen betragen. ## Wie NIS2 auf bestehende Frameworks abbildet Wenn Ihre Organisation bereits einem etablierten Sicherheits-Framework folgt, haben Sie einen erheblichen Vorsprung: - **ISO 27001**. Deckt die meisten NIS2-Anforderungen ab. Wesentliche Lücken bestehen typischerweise bei Meldefristen für Vorfälle und spezifischen Anforderungen zur Lieferkettensicherheit. - **BSI IT-Grundschutz**. Starke Übereinstimmung, insbesondere für deutsche Organisationen. Das BSI hat Leitlinien zur Zuordnung von Grundschutz zu NIS2 veröffentlicht. - **SOC 2**. Teilweise Überschneidung bei Sicherheit und Verfügbarkeit. NIS2 erfordert explizitere Maßnahmen zur Lieferkettensicherheit und Vorfallsmeldung. Die Nutzung einer Plattform wie KaitoSec, die Multi-Framework-Mapping unterstützt, ermöglicht es Ihnen, genau zu erkennen, wo Ihre bestehenden Maßnahmen NIS2 erfüllen und wo Lücken bestehen. ## Vorbereitung auf NIS2: Ein praktischer Fahrplan ### Phase 1: Scoping (Wochen 1–2) - Festlegen, ob Ihre Organisation eine wesentliche oder wichtige Einrichtung ist - Ermitteln, welche nationalen Gesetze gelten (z. B. NIS2UmsuCG in Deutschland) - Management über seine persönlichen Haftungspflichten informieren ### Phase 2: Gap-Analyse (Wochen 3–4) - Ihre aktuellen Sicherheitsmaßnahmen gegenüber den 10 NIS2-Maßnahmen abbilden - Lücken bei Vorfallsmeldung, Lieferkettensicherheit und Governance identifizieren - Priorisierung nach Risiko und regulatorischer Exposition ### Phase 3: Implementierung (Wochen 5–12) - Incident-Response-Verfahren einrichten oder aktualisieren, um die 24/72-Stunden-Fristen zu erfüllen - Lieferketten-Risikobewertungen für kritische Lieferanten durchführen - MFA und Verschlüsselung implementieren, wo noch nicht vorhanden - Management-Schulungen und Genehmigungsworkflows entwickeln ### Phase 4: Validierung (Wochen 13–16) - Incident-Response-Verfahren durch Tabletop-Übungen testen - Internes Audit gegenüber NIS2-Anforderungen durchführen - Compliance-Nachweise für potenzielle regulatorische Überprüfungen dokumentieren ## Wesentliche Erkenntnisse NIS2 ist nicht optional, es ist Gesetz. Der erweiterte Anwendungsbereich bedeutet, dass Tausende von Organisationen, die nicht unter die ursprüngliche NIS-Richtlinie fielen, jetzt betroffen sind. Die Kombination aus strengen Meldefristen, Managementhaftung und erheblichen Bußgeldern macht Compliance zu einer Priorität auf Vorstandsebene. Beginnen Sie mit einer Gap-Analyse, nutzen Sie Ihre bestehenden Framework-Zertifizierungen und setzen Sie Multi-Framework-Mapping ein, um Doppelarbeit zu vermeiden. Die Organisationen, die jetzt vorbereiten, werden die stärkste Position haben, wenn die Durchsetzung beginnt.