Was genau ist NIS2?

NIS2 ist die zweite Version der sogenannten NIS-Richtlinie (Network and Information Security Directive) der Europäischen Union. Sie wurde entwickelt, um die Cybersicherheit innerhalb der EU zu stärken und den Schutz kritischer Infrastrukturen sowie wichtiger digitaler Dienstleistungen deutlich zu verbessern. Während die erste NIS-Richtlinie aus dem Jahr 2016 vor allem Betreiber wesentlicher Dienste betraf, erweitert NIS2 den Anwendungsbereich erheblich: Sie verpflichtet nun auch viele weitere Unternehmen aus Bereichen wie Energie, Gesundheit, Verkehr, Finanzen, öffentliche Verwaltung und digitale Dienstleistungen zu höheren Sicherheitsstandards.

Kernpunkte der NIS2 sind unter anderem die Einführung strengerer Anforderungen an Risikomanagement und Vorfallmeldungen, eine klare Zuweisung von Verantwortung auf Ebene der Unternehmensführung sowie deutlich höhere Strafen bei Verstößen. Die Richtlinie wurde am 27. Dezember 2022 veröffentlicht und muss bis spätestens Oktober 2024 in nationales Recht umgesetzt werden. Ziel von NIS2 ist es, eine europaweit einheitliche und widerstandsfähigere Cybersicherheitslandschaft zu schaffen.

 

Wer muss NIS2 umsetzen?

Die NIS2-Richtlinie richtet sich an Unternehmen und Organisationen, die in bestimmten kritischen Sektoren tätig sind und bestimmte Größenkriterien erfüllen. Betroffen sind:

  • Unternehmen mit mindestens 50 Beschäftigten oder

  • Unternehmen mit einem Jahresumsatz von über 10 Millionen Euro

Darüber hinaus gelten besondere Regelungen für bestimmte Einrichtungen, unabhängig von ihrer Größe, wie z. B. Anbieter von öffentlichen elektronischen Kommunikationsdiensten, DNS-Diensteanbieter und Betreiber von Top-Level-Domain-Registrierungsstellen. 

Betroffene Sektoren

Die Richtlinie unterscheidet zwischen “wesentlichen” und “wichtigen” Einrichtungen, abhängig von der Kritikalität des Sektors:

  • Wesentliche Einrichtungen: Unternehmen in hochkritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur und öffentliche Verwaltung.

  • Wichtige Einrichtungen: Unternehmen in anderen kritischen Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Chemieindustrie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste und Forschung.

 

Kann man sich nach NIS2 zertifizieren lassen?

Eine direkte Zertifizierung nach der NIS2-Richtlinie ist nicht möglich. NIS2 ist ein gesetzlicher Rahmen, der Anforderungen an die Cybersicherheit von Unternehmen und Organisationen definiert, jedoch selbst kein Zertifizierungsstandard ist. Stattdessen verlangt NIS2, dass betroffene Einrichtungen geeignete technische und organisatorische Maßnahmen umsetzen, um ein angemessenes Sicherheitsniveau zu gewährleisten.

Unternehmen können jedoch Zertifizierungen nach anerkannten Standards wie ISO/IEC 27001 (für Informationssicherheitsmanagementsysteme) oder dem BSI IT-Grundschutz anstreben. Solche Zertifizierungen können dabei helfen, die Einhaltung der NIS2-Anforderungen nachzuweisen und werden oft als geeignete Maßnahmen im Rahmen von Prüfungen oder Kontrollen anerkannt. Dennoch ersetzt eine Zertifizierung nicht die Pflicht, individuell geeignete Maßnahmen zu definieren und regelmäßig zu überprüfen.

 

Wann kommt NIS2 in Deutschland

Die Umsetzung der EU-NIS2-Richtlinie in deutsches Recht verzögert sich erheblich. Ursprünglich sollte das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bis zum 17. Oktober 2024 in Kraft treten. Aufgrund politischer Entwicklungen, einschließlich der Auflösung des Bundestags und vorgezogener Neuwahlen im Februar 2025, wurde das Gesetzgebungsverfahren jedoch unterbrochen. Nach dem Grundsatz der Diskontinuität müssen alle Gesetzesvorhaben neu eingebracht werden, was eine weitere Verzögerung bedeutet. 

Aktuell ist unklar, wann das NIS2UmsuCG verabschiedet wird. Einige Quellen gehen davon aus, dass die Umsetzung frühestens Ende 2025 erfolgen könnte.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont jedoch, dass Unternehmen bereits jetzt mit der Umsetzung der bekannten Anforderungen der NIS2-Richtlinie beginnen sollten, um rechtzeitig compliant zu sein. 

Obwohl die NIS2-Richtlinie auf EU-Ebene bereits am 16. Januar 2023 in Kraft getreten ist, entfaltet sie ohne nationale Umsetzung keine unmittelbare Rechtswirkung für Unternehmen in Deutschland. Dennoch sollten betroffene Unternehmen proaktiv handeln, um sich auf die kommenden gesetzlichen Anforderungen vorzubereiten und ihre Cybersicherheitsmaßnahmen entsprechend anzupassen.

 

Warum ein ISMS-Tool wie die fuentis Suite bei der Umsetzung von NIS2 hilft

Die Umsetzung der NIS2-Richtlinie stellt Unternehmen vor die Herausforderung, komplexe Anforderungen an Informationssicherheit, Risikomanagement und Berichtspflichten effizient und nachweisbar zu erfüllen. Ein ISMS-Tool wie die fuentis Suite unterstützt dabei entscheidend: Es ermöglicht die strukturierte Erfassung und Bewertung von Risiken, steuert Sicherheitsmaßnahmen zentral und dokumentiert die Einhaltung gesetzlicher Vorgaben lückenlos.

Durch integrierte Funktionen wie Workflow-Management, Vorfallbearbeitung und Compliance-Reporting vereinfacht die fuentis Suite nicht nur die tägliche Arbeit, sondern schafft auch die Grundlage, um im Fall von Prüfungen durch Aufsichtsbehörden schnell und umfassend nachweisen zu können, dass die Anforderungen der NIS2-Richtlinie erfüllt werden. So reduziert ein ISMS-Tool spürbar den organisatorischen Aufwand und erhöht gleichzeitig die Rechtssicherheit.

Nach oben scrollen

Entdecke mehr von fuentis

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen