Compliance-Reihe

NIS2 – Anwendungsbereich und KMU

NIS2-Richtlinie: Was Unternehmen in der EU und in Deutschland wissen müssen

Einleitung

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) schafft einen deutlich verschärften europäischen Rechtsrahmen für Cybersicherheit. Sie erweitert den Anwendungsbereich der bisherigen NIS-Richtlinie erheblich und führt strengere Vorgaben zu Risikomanagement, Governance und Meldepflichten ein.
Die Mitgliedstaaten waren verpflichtet, NIS2 bis Oktober 2024 in nationales Recht umzusetzen. In Deutschland erfolgt dies insbesondere durch das NIS2-Umsetzungsgesetz und Änderungen des BSI-Gesetzes. Für viele Unternehmen gelten seither deutlich erhöhte Anforderungen.

Hintergrund: Ziel und Zweck von NIS2

NIS2 reagiert auf die zunehmende Zahl und Komplexität von Cyberangriffen in Europa. Ziel ist es, ein einheitliches und hohes Sicherheitsniveau für Netz- und Informationssysteme sicherzustellen und die Resilienz kritischer Dienstleistungen zu stärken.
Im Vergleich zur ursprünglichen NIS-Richtlinie werden deutlich mehr Branchen erfasst. Zudem wird die Verantwortung der Geschäftsleitung ausdrücklich betont. Aufsichtsbehörden erhalten erweiterte Kontroll- und Sanktionsbefugnisse.

Welche Unternehmen sind betroffen?

NIS2 gilt für sogenannte „wesentliche“ und „wichtige“ Einrichtungen in definierten Sektoren. Dazu zählen unter anderem:
Energie, Verkehr, Banken und Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser- und Abwasserversorgung, digitale Infrastruktur (z. B. Cloud-Anbieter, Rechenzentren), öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion sowie bestimmte industrielle Hersteller.
Grundsätzlich erfasst sind Unternehmen, die mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz bzw. eine Bilanzsumme von mindestens 10 Millionen Euro erreichen – sofern sie in einem der genannten Sektoren tätig sind.

Gilt NIS2 auch für kleine Unternehmen?

In der Regel sind Kleinst- und kleine Unternehmen nicht automatisch vom Anwendungsbereich erfasst. Entscheidend sind jedoch nicht nur die Unternehmensgröße, sondern auch Art und Bedeutung der erbrachten Dienstleistungen.
Kleine Unternehmen können dennoch unter NIS2 fallen, wenn sie eine kritische Rolle in einem relevanten Sektor einnehmen, als alleiniger Anbieter auftreten oder durch nationale Behörden ausdrücklich einbezogen werden.
Eine individuelle Prüfung des Anwendungsbereichs ist daher unerlässlich.

Zentrale Pflichten nach NIS2

Betroffene Unternehmen müssen angemessene technische und organisatorische Maßnahmen zur Cybersicherheit implementieren. Dazu gehören insbesondere:
dokumentierte Sicherheitsrichtlinien, regelmäßige Risikoanalysen, Verfahren zur Erkennung und Bewältigung von Sicherheitsvorfällen, Notfall- und Krisenmanagement, sowie Absicherung der Lieferkette.
Die Geschäftsleitung ist ausdrücklich für die Umsetzung und Überwachung dieser Maßnahmen verantwortlich. Bei schwerwiegenden Verstößen können auch persönliche Haftungsrisiken entstehen.

Meldepflichten bei Sicherheitsvorfällen

NIS2 führt gestufte Meldepflichten für erhebliche Sicherheitsvorfälle ein:
Eine Frühwarnmeldung muss innerhalb von 24 Stunden nach Bekanntwerden erfolgen.
Eine formelle Meldung mit erster Bewertung ist innerhalb von 72 Stunden abzugeben.
Ein Abschlussbericht mit Ursachenanalyse und Abhilfemaßnahmen ist innerhalb eines Monats einzureichen.
In Deutschland erfolgt die Meldung in der Regel an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Aufsicht und Sanktionen

Die zuständigen Behörden verfügen über erweiterte Prüf- und Durchsetzungsbefugnisse. Bei Verstößen drohen erhebliche Bußgelder.
Für wesentliche Einrichtungen können Geldbußen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
Zusätzlich können verbindliche Sicherheitsanordnungen, Prüfungen und Nachbesserungsmaßnahmen angeordnet werden.

Fazit: Frühzeitige Prüfung schafft Rechtssicherheit

NIS2 erweitert den Kreis der betroffenen Unternehmen erheblich und verschärft die regulatorischen Anforderungen deutlich. Auch wenn viele kleine Unternehmen nicht automatisch erfasst sind, betrifft die Richtlinie zahlreiche mittelständische Organisationen.
Der erste Schritt sollte eine strukturierte Anwendungsbereichsanalyse sein: In welchem Sektor ist das Unternehmen tätig? Werden die Schwellenwerte überschritten? Welche IT-Systeme sind kritisch? Eine frühzeitige Bewertung reduziert Haftungsrisiken und ermöglicht eine geordnete Compliance-Umsetzung.
Quellen
Richtlinie (EU) 2022/2555 – NIS2-Richtlinie, Amtsblatt der Europäischen Union
NIS2-Umsetzungsgesetz Deutschland
BSI – Informationen zur NIS2-Umsetzung
Europäische Kommission – Überblick zur NIS2-Politik
Created with