NIS2-Richtlinie: Was Unternehmen jetzt tun müssen

Die NIS2-Richtlinie der Europäischen Union hat den Kreis der betroffenen Unternehmen erheblich erweitert. Was zunächst nach einem Thema für Großkonzerne klingt, betrifft mittlerweile zehntausende Unternehmen in Deutschland.

Was ist NIS2?

NIS2 steht für Network and Information Security Directive 2, die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die erste NIS-Richtlinie ab und stellt deutlich höhere Anforderungen an betroffene Unternehmen. Ziel ist es, die Cyber-Resilienz in kritischen und wichtigen Sektoren der EU zu stärken.

Wer ist betroffen?

NIS2 gilt für Unternehmen in 18 Sektoren, darunter Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Finanzwesen und viele mehr. Entscheidend sind zwei Schwellenwerte: wesentliche Einrichtungen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz, wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz.

Auch Unternehmen, die Zulieferer kritischer Infrastrukturen sind, können indirekt betroffen sein. Ihr Auftraggeber wird Sie nach Ihrer Cybersicherheitslage fragen.

Die wichtigsten Pflichten

Risikomanagement: Betroffene Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme einführen. Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden bei der zuständigen Behörde gemeldet werden. Governance: Die Geschäftsführung haftet persönlich für die Einhaltung der Anforderungen und muss geschult werden.

Zu den technischen Maßnahmen gehören unter anderem Zugriffskontrolle, Verschlüsselung, Incident-Response-Pläne, Backup-Strategien und die Sicherheit der Lieferkette.

Konsequenzen bei Nichteinhaltung

Die Bußgelder sind erheblich: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden.

So gehen Sie vor

Prüfen Sie zunächst, ob und in welchem Umfang NIS2 auf Ihr Unternehmen zutrifft. Führen Sie eine Bestandsaufnahme Ihrer IT-Sicherheitsmaßnahmen durch und identifizieren Sie die Lücken. Ein erfahrener IT-Dienstleister kann diese Gap-Analyse übernehmen und einen Maßnahmenplan erstellen.