NIS-2 Richtlinie in Deutschland

Mit der NIS 2 Richtlinie verschärft die EU ihre Anforderungen an die Cybersicherheit von Unternehmen deutlich. Während frühere Regelungen vor allem Betreiber kritischer Infrastrukturen betrafen, rückt NIS-2 nun eine Vielzahl von Organisationen in den Fokus. Für IT-Abteilungen bedeutet das: mehr Verantwortung, klar definierte Prozesse und eine nachweisbare Sicherheitsarchitektur.

Spätestens mit dem nationalen Umsetzungsgesetz in Deutschland wird NIS-2 zu einem verbindlichen Gesetz, das technische, organisatorische und operative Maßnahmen (TOM) zwingend vorschreibt.

Umsetzung Deutschland: Rolle von BSI und Gesetzgeber

Die Umsetzung Deutschland erfolgt über das NIS-2-Umsetzungsgesetz, das das bestehende BSI-Gesetz erweitert. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) übernimmt in Deutschland dabei eine zentrale Rolle als Aufsichtsbehörde, Koordinator für Sicherheitsvorfälle und Schnittstelle zur EU.

Für IT-Verantwortliche bedeutet das:

• standardisierte Meldewege
• verbindliche Fristen
• klare technische Mindestanforderungen

Das BSI orientiert sich dabei an etablierten Standards wie ISO 27001, BSI IT-Grundschutz und gängigen Best Practices im Risikomanagement.

NIS-2 – Wer ist betroffen?

Eine der häufigsten Fragen lautet: Wer ist betroffen?
Die NIS-2 Richtlinie erweitert den Kreis der verpflichteten Unternehmen erheblich.

Betroffen sind unter anderem:

• Energie- und Wasserversorger
• Gesundheitswesen
• Transport und Logistik
• Digitale Dienste und IT-Dienstleister
• Öffentliche Verwaltung
• Industrieunternehmen ab bestimmter Größe

Grundsätzlich gilt: Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz können unter die Regelung fallen, sofern sie in einem definierten Sektor tätig sind.

NIS-2 – kritische IT oder Dienstsleistung

Neben klassischen KRITIS Betreibern (Kritische Infrastrukturen) fallen nun auch viele mittelständische Unternehmen unter das Gesetz – insbesondere, wenn sie digitale Dienste bereitstellen oder Teil kritischer Lieferketten sind.

Typische betroffene IT-Umgebungen sind:

• Rechenzentren und Cloud-Provider
• Managed Service Provider
• Software- und Plattformbetreiber
• Industrie-IT und OT-Netzwerke
• Unternehmen mit hoher Vernetzung

Die Größe des Unternehmens und die Kritikalität der IT-Services sind entscheidend für die Einordnung.

Betroffenheitsprüfung: Wer ist von NIS-2 betroffen?

Die Betroffenheitsprüfung ist der erste und wichtigste Schritt für Unternehmen. Sie klärt, ob und in welchem Umfang die NIS-2 Richtlinie Anwendung findet.

Dabei werden geprüft:

• Branche und Sektor
• Unternehmensgröße
• Kritikalität der erbrachten Dienstleistungen
• Abhängigkeiten in der Lieferkette

NIS-2 Pflicht – Technische Bewertung

Die Betroffenheitsprüfung ist der erste operative Schritt für IT-Abteilungen. Sie erfordert eine strukturierte Analyse von:

• IT-Assets und Services
• Netzwerkinfrastruktur
• Abhängigkeiten zu Drittanbietern
• Angriffsszenarien und Risiken

Ein spezialisiertes Tool oder ein zentrales Portal kann helfen, diese Bewertung reproduzierbar und revisionssicher durchzuführen. Besonders wichtig ist eine klare Abgrenzung zwischen essenziellen und wichtigen Diensten.

Technische Pflichten: Security by Design und Monitoring

Die NIS-2 Richtlinie fordert einen risikobasierten Ansatz. IT-seitig bedeutet das unter anderem:

• Härtung von Systemen und Netzwerken
• Zugriffskontrollen und Identitätsmanagement
• Protokollierung und kontinuierliches Monitoring
• Incident Detection und Response-Prozesse
• Backup- und Wiederherstellungskonzepte

Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Dafür sind automatisierte Erkennungsmechanismen und definierte Eskalationspfade unerlässlich.

NIS-2 Dokumentation und Nachweisfähigkeit für das BSI

Ein zentrales Element von NIS-2 ist die Dokumentation. IT-Maßnahmen müssen nicht nur umgesetzt, sondern auch nachvollziehbar dokumentiert sein.

Dazu zählen:

• Architektur- und Netzpläne
• Sicherheitsrichtlinien
• Risikobewertungen
• Test- und Auditberichte

Diese Unterlagen dienen als Nachweis gegenüber dem BSI und bilden die Grundlage für Prüfungen und Audits.

Unternehmensgrößenklassen nach NIS-2

Die NIS-2 unterscheidet nicht klein/mittel/groß, sondern vor allem:

• • „wichtige Einrichtungen“
  • „wesentliche Einrichtungen“

Zur Vereinfachung (wie von dir gewünscht) hier eine praxisnahe Tabelle „klein vs. groß“:

⚠️ Achtung: Auch kleinere Unternehmen können betroffen sein, wenn sie:

• digitale Dienste erbringen
• Teil kritischer Lieferketten sind

daher ist die Betroffenheitsprüfung Pflicht

Wie hoch sind die Bußgelder nach der NIS-2 Richtlinie?

Die NIS 2 Richtlinie legt EU-weit verbindliche Bußgeldobergrenzen fest. Diese werden im deutschen Umsetzungsgesetz sehr wahrscheinlich 1:1 übernommen.

In welchen Fällen können Bußgelder drohen?

Bußgelder drohen nicht nur nach einem Cyberangriff, sondern bereits bei organisatorischen Mängeln, z. B.:

• keine oder fehlerhafte Betroffenheitsprüfung
• fehlende technische Schutzmaßnahmen
• mangelhafte Dokumentation
• verspätete oder unterlassene Meldung bei Sicherheitsverstoß / Vofall (24h)
• keine Absicherung der Lieferkette
• fehlende Management-Verantwortung

Persönliche Haftung des Managements

Ein besonders kritischer Punkt der NIS-2: Geschäftsführung / Vorstand haftet persönlich
möglich sind:

• Abmahnungen
• zeitweilige Tätigkeitsverbote
• zivilrechtliche Haftung

Das ist neu in dieser Klarheit und macht NIS-2 zu einem Top-Management-Thema, nicht nur zu IT-Compliance.

Haftungsrisiko besteht auf Grund von Art. 20 NIS-2:

Mitglieder der Leitungsorgane können bei Verletzung ihrer Überwachungs- und Umsetzungsspflichten  persönlich haftbar gemacht werden.

Verweis auf ISO 27001

Die gute Nachricht: NIS-2 ist technisch stark an ISO 27001 angelehnt
Unternehmen mit bestehendem ISMS (Informationssicherheits-Managementsystem) haben einen klaren Vorteil.

Schnittmengen: NIS-2 vs. ISO 27001 (Kapitelübersicht)

NIS-2 Anforderungen & ISO-27001-Mapping

Kernaussage: Wer ISO 27001 zertifiziert ist, erfüllt 60–80 % der NIS-2 Anforderungen bereits – es fehlen meist:

• Meldeprozesse (24h-Frist)
• formalisierte Betroffenheitsprüfung
• BSI-spezifische Dokumentation

Einsatz von Portal, Tool und Dokumentation

Für die praktische Umsetzung setzen viele Unternehmen auf:

• ein zentrales Portal (z. B. für Meldungen & Nachweise)
• ein strukturiertes Tool zur Betroffenheitsprüfung & Risikobewertung
• revisionssichere Dokumentation für BSI-Prüfungen

Das reduziert Aufwand, Haftungsrisiken und Abstimmungsprobleme zwischen IT, Compliance und Management.

Fazit: NIS-2 als Treiber für moderne IT-Security

Die NIS 2 Richtlinie zwingt Unternehmen dazu, ihre IT-Sicherheitsstrategie ganzheitlich zu betrachten. Für IT-Abteilungen ist das Gesetz kein reines Compliance-Thema, sondern ein Katalysator für strukturierte, resiliente und skalierbare Sicherheitsarchitekturen.

Wer frühzeitig mit Betroffenheitsprüfung, technische organisatorische Maßnahmen (TOM) und eine konsistente Dokumentation beginnt, reduziert nicht nur regulatorische Risiken – sondern stärkt nachhaltig die eigene IT-Security. Ebenso können mögliche Haftungsrisiken gegenüber der Geschäftsführung reduziert werden. Ein professionelles Risikomanagement gegenüber Lieferungen und IT-Assets wird empfohlen.

Weiterführende BSI Links

• BSI – NIS-2-Richtlinie
• BSI – Risikomanagementmaßnahmen
• BSI – Anleitung zur Meldung im BSI-Portal