Informationssicherheit

Die neue NIS2-Richtlinie der EU: Was du wissen musst

Die im Dezember 2022 verkündete NIS2-Richtlinie ist der Nachfolger der NIS-Richtlinie. Dieser Rechtsrahmen verbessert die Cybersicherheit von Netzwerken und Informationssystemen in der EU.

Autor
Dr. Kilian Schmidt
Datum
2.2.2025
Aktualisiert am
28.2.2025
Die neue NIS2-Richtlinie der EU: Was du wissen musst

NIS2-Richtlinie: Ein neuer Standard für Cybersicherheit in der EU

Im Jahr 2016 führte die EU die Richtlinie zur Netz- und Informationssicherheit (NIS) als erste EU-weite Gesetzgebung ein, um ein einheitliches Niveau der Cybersicherheit in den Mitgliedstaaten zu schaffen. Die Unzulänglichkeiten im Zusammenhang mit der uneinheitlichen Widerstandsfähigkeit in den einzelnen Mitgliedstaaten und Sektoren, das Fehlen einer gemeinsamen Krisenreaktion und die Unfähigkeit, der sich ständig weiterentwickelnden Bedrohungslandschaft zu begegnen, veranlassten die EU-Kommission jedoch, die NIS durch die NIS2 zu ersetzen.

Die im Dezember 2022 verkündete NIS2-Richtlinie ist der Nachfolger der NIS-Richtlinie. Dieser Rechtsrahmen verbessert die Cybersicherheit von Netzwerken und Informationssystemen in der EU. Zu den wichtigsten Änderungen der NIS2-Richtlinie gehören ein breiterer Geltungsbereich, strengere Anforderungen und eine striktere Durchsetzung. Die Mitgliedsstaaten müssen die Bestimmungen der NIS2 bis zum 17. Oktober 2024 in ihre lokale Gesetzgebung übernehmen.

Anwendungsbereich der Richtlinie

Die NIS2-Richtlinie gilt für Anbieter kritischer/essentieller Dienste, die Teil der seit NIS1 (2016) gültigen EPCIP-Sektoren waren und die seit NIS2 (2022) zu den EPCIP-Sektoren hinzugefügt wurden. Der Begriff EPCIP-Sektoren bezieht sich auf die Sektoren im Rahmen des Europäischen Programms für den Schutz kritischer Infrastrukturen.  

  • Bestehende Sektoren seit NIS1: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, digitale Infrastruktur und digitale Anbieter.
  • Zusätzliche Sektoren seit NIS2: Produktion und Verarbeitung, Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten, IKT (Informations- und Kommunikationstechnologien) Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfall- und Abwasserwirtschaft sowie Forschung.

Wenn ein Anbieter zu einem der oben genannten Sektoren gehört, gibt es einige zusätzliche Kriterien, die ihn als Anbieter kritischer oder wesentlicher Dienstleistungen qualifizieren:

  • Größe: Teamstärke von 50 oder mehr Personen.
  • Umsätze: Jahresumsatz von mehr als 10 Millionen Euro.
  • Ausschließlichkeit: Einziger Anbieter einer wichtigen Dienstleistung, unabhängig von der Größe.

Wesentliche Einrichtungen sind Unternehmen und Organisationen, deren Unterbrechung des Betriebs das Funktionieren der Wirtschaft und das öffentliche Wohlergehen erheblich stören kann. Zu diesen Sektoren gehören Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, Raumfahrt, Trinkwasserversorgung und -verteilung usw. Wichtige Unternehmen erbringen wichtige Dienstleistungen, aber ihre Unterbrechung kann nicht die gleichen Auswirkungen haben wie die der wesentlichen Dienstleistungen. Zu diesen Sektoren gehören Post- und Kurierdienste, Hersteller und Vertreiber von Lebensmitteln und Chemikalien, Forschungseinrichtungen usw. Der Anwendungsbereich der NIS2-Richtlinie gilt auch für Unternehmen, die wesentliche Dienstleistungen für die Europäische Union erbringen, unabhängig von ihrer Präsenz in der EU. Das bedeutet, dass auch Unternehmen, die außerhalb der EU tätig sind, den Bestimmungen der Richtlinie unterliegen, wenn ihre Dienstleistungen in der EU als kritisch eingestuft werden. Diese Unternehmen müssen in dem Mitgliedstaat, in dem sie Dienstleistungen erbringen, eine Vertretung einrichten.

Struktur der NIS2 und ihre wichtigsten Anforderungen an die Cybersicherheit

Abgesehen von der Präambel der Richtlinie besteht ihr Hauptteil aus 46 Artikeln. Diese Artikel, die sich auf neun Kapitel verteilen, behandeln vor allem den Anwendungsbereich der Richtlinie, Definitionen, Sicherheitsanforderungen, Zusammenarbeit, Meldung von Vorfällen, zuständige Behörden, Sanktionen und Schlussbestimmungen.

Von den neun Kapiteln definiert überraschenderweise nur Kapitel IV mit dem Titel “Maßnahmen zum Cybersecurity-Risikomanagement und Meldepflichten” die Sicherheitsanforderungen, die sowohl wesentliche als auch wichtige Unternehmen erfüllen müssen, um die Richtlinie einzuhalten.

In den übrigen Kapiteln (I, II, III, V, VI, VII, VIII und IX) werden die Verpflichtungen der EU-Länder (Mitgliedstaaten) und der Regierungsbehörden in Bezug auf die Durchsetzung der NIS 2 festgelegt. Diese Kapitel umfassen die übergreifende Struktur, Regeln und Mechanismen für den Rahmen, die Steuerung und die Durchsetzung der Richtlinie auf EU-Ebene.  

Hauptziele der NIS2-Richtlinie

Zu den drei Hauptzielen der NIS2 gehören die Erhöhung der Cyber-Resilienz, die Verringerung von Unstimmigkeiten bei der Resilienz und die Verbesserung des gemeinsamen Lagebewusstseins. Die Richtlinie umfasst eine Reihe von Maßnahmen, die zusammenwirken, um die Ziele zu erreichen, darunter:

  • Risikobewertung und -management: Unternehmen sind verpflichtet, regelmäßig Risikobewertungen durchzuführen, um Risiken zu erkennen, bevor sie zu einer großen Sicherheitsbedrohung werden. Sie hilft bei der Entwicklung und Umsetzung von Risikomanagementstrategien, einschließlich der Zuweisung von Ressourcen nach Prioritäten, um die Auswirkungen festgestellter Risiken zu mindern.
  • Bereitschaft zur Reaktion auf Vorfälle und Berichterstattung: Die NIS2 verpflichtet Unternehmen, im Voraus Pläne für die Reaktion auf Vorfälle zu entwickeln und zu pflegen. Darin werden Schritt für Schritt die Verfahren beschrieben, die im Falle eines Cyberangriffs durchzuführen sind. Außerdem müssen solche Vorfälle den zuständigen Behörden gemeldet werden, damit diese die neue Bedrohungslandschaft besser verstehen können.  
  • Bessere Zusammenarbeit und Informationsaustausch: Die von der NIS2 geförderte Zusammenarbeit und der Informationsaustausch zwischen Unternehmen, Behörden und Strafverfolgungsbehörden tragen dazu bei, die Widerstandsfähigkeit im Cyberspace zu verbessern. Die Richtlinie erreicht dieses Ziel durch verschiedene Mechanismen, darunter:
  • die Entwicklung von Vereinbarungen zum Informationsaustausch, um den sicheren und gesetzeskonformen Austausch von sensiblen Cybersicherheitsinformationen zwischen Unternehmen und Behörden zu regeln.
  • behördenübergreifende Zusammenarbeit, indem Regierungsbehörden, private Einrichtungen und Cybersicherheitsexperten zusammengebracht werden, um koordinierte Reaktionen zu üben. In gemeinsamen Übungen werden gängige Cyberangriffe simuliert, um das Risikomanagement und die Reaktionspläne eines Unternehmens auf die Probe zu stellen und aus den Erfahrungen der anderen zu lernen.

Einhaltung und Durchsetzung

NIS2 sieht ein abgestuftes Sanktionssystem für die Nichteinhaltung vor. Bei wesentlichen Unternehmen kann die Nichteinhaltung der NIS2-Anforderungen mit 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bestraft werden, je nachdem, welcher Betrag höher ist.  Bei wichtigen Unternehmen kann die Nichteinhaltung mit Geldbußen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Die Behörden können auch Sanktionen verhängen, wie z. B. die vorübergehende Aussetzung der von den Unternehmen angebotenen Dienste.  Um die NIS2-Konformität zu erreichen, sollten sich Unternehmen an den folgenden Rahmen halten.

  1. Finde heraus, zu welcher Kategorie von Unternehmen sie gehören – essentiell oder wichtig.
  2. Führe eine Lückenanalyse durch, um Bereiche zu ermitteln, in denen Verbesserungen erforderlich sind.
  3. Entwickle Strategien für das Risikomanagement, einschließlich der Umsetzung der notwendigen Sicherheitsrichtlinien, -prozesse und -kontrollen.
  4. Eine robuste Reaktion auf Vorfälle einrichten, um das Risiko im Falle von Cyberangriffen zu mindern.
  5. Beurteile und verwalte Cybersicherheitsrisiken in der Lieferkette.  
  6. Sei auf mögliche Prüfungen, Inspektionen und Durchsetzungsmaßnahmen der Behörden vorbereitet.

NIS2-konforme Netzwerksicherheit mit Kertos

Obwohl die NIS2 zusätzliche Anforderungen für die Netzwerk- und Informationssicherheit in kritischen Sektoren einführt, stimmen viele ihrer Bestimmungen mit den bestehenden Standards wie ISO 27001 überein. Das bedeutet, dass die Einhaltung von ISO 27001 die Einhaltung von NIS2 in hohem Maße erleichtern kann.  

Wir von Kertos bieten die Einhaltung der wichtigsten Datenschutzbestimmungen und international anerkannten Informationssicherheitsstandards. Unsere Unterstützung bei der Risikobewertung und dem Risikomanagement, bei der Vorbereitung auf Vorfälle sowie bei der Aufklärung und Sensibilisierung für Bedrohungen solltest du dir nicht entgehen lassen!  

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
Die neue NIS2-Richtlinie der EU: Was du wissen musst
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

CEO & Co-Founder, Kertos GmbH

Dr. Kilian Schmidt entwickelte schon früh ein starkes Interesse an rechtlichen Prozessen. Nach seinem Studium der Rechtswissenschaften begann er seine Karriere als Senior Legal Counsel und Datenschutzbeauftragter bei der Home24 Gruppe. Nach einer Tätigkeit bei Freshfields Bruckhaus Deringer wechselte er zu TIER Mobility, wo er als General Counsel maßgeblich am Ausbau der Rechts- und Public Policy-Abteilung beteiligt war - und das Unternehmen von einer auf 65 Städte und von 50 auf 800 Mitarbeiter vergrößerte. Motiviert durch die begrenzten technologischen Fortschritte im Rechtsbereich und inspiriert durch seine beratende Tätigkeit bei Gorillas Technologies, war er Co-Founder von Kertos, um die nächste Generation der europäischen Datenschutztechnologie zu entwickeln.

Über Kertos

Kertos ist das moderne Rückgrat der Datenschutz- und Compliance-Aktivitäten von skalierenden Unternehmen. Wir befähigen unsere Kunden, integrale Datenschutz- und Informationssicherheitsprozesse nach DSGVO, ISO 27001, TISAX®, SOC2 und vielen weiteren Standards durch Automatisierung schnell und günstig zu implementieren.

Bereit für Entlastung in Sachen DSGVO?

Angebot anfordernPlattform entdecken
CTA Image

ARTIKEL

Other Articles

ISO 27001: Der ultimative Leitfaden zum Gold-Standard
Informationssicherheit
All
ISO 27001: Der ultimative Leitfaden zum Gold-Standard

Erfahre in unserem ultimativen Guide alles über die ISO 27001-Zertifizierung: Warum sie der Gold-Standard für Informationssicherheit ist, wie der Prozess abläuft und welche Vorteile sie dir bietet.

Jetzt reinhören
Mobile Device Management für die ISO 27001 Compliance
Informationssicherheit
All
Mobile Device Management für die ISO 27001 Compliance

In den letzten Jahren haben mobile Endgeräte eine unübersehbare Präsenz in der Geschäftswelt gefunden. Der weit verbreitete Einsatz mobiler Geräte in Unternehmen wurde durch den von COVID ausgelösten Trend zur Fernarbeit noch verstärkt.

Jetzt reinhören
ISO 27701 Zertifizierung auf einen Blick
Informationssicherheit
All
ISO 27701 Zertifizierung auf einen Blick

Erfahre, wie die ISO 27701-Zertifizierung Unternehmen hilft, Datenschutz zu verbessern und grenzüberschreitende Datenübertragungen zu erleichtern. Erhöhe das Kundenvertrauen und erschließe internationale Märkte mit einem soliden Datenschutzmanagement.

Jetzt reinhören