Fuentis

NIS2 - Europäische Cybersicherheitsrichtlinie

Approved
Last updated: Sep 08, 2025
fuentis Suite 4, fuentis Trust Platform

Die NIS2-Richtlinie (EU 2022/2555) markiert einen Paradigmenwechsel in der europäischen Cybersicherheitsgesetzgebung. Sie erweitert den Anwendungsbereich erheblich und verpflichtet alle EU-Mitgliedstaaten, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme zu schaffen. Deutschland setzt die Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) um.

Was ist NIS2 und warum ist es relevant?

NIS2 löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Geltungsbereich dramatisch: von bisher rund 4.500 Betreibern kritischer Infrastrukturen auf voraussichtlich 29.000 betroffene Unternehmen in Deutschland. Diese massive Ausweitung reflektiert die Realität, dass Cyberangriffe mittlerweile alle Branchen treffen und die Wirtschaft als Ganzes resilient werden muss.

Warum NIS2 implementieren?

Rechtliche Notwendigkeit:

- Vermeidung erheblicher Bußgelder (bis zu 20 Mio. EUR oder 2% des weltweiten Umsatzes)

- Erfüllung gesetzlicher Compliance-Anforderungen

- Schutz vor persönlicher Haftung der Geschäftsführung

- Rechtssicherheit in regulierten Märkten

Geschäftliche Vorteile:

- Wettbewerbsvorteil durch frühzeitige Compliance

- Vertrauen bei Kunden, Partnern und Behörden

- Erleichterter Zugang zu öffentlichen Aufträgen

- Synergien mit bestehenden Standards (ISO 27001, IT-Grundschutz)

Sicherheitsnutzen:

- Risikobasierte Steuerung der Cybersicherheit

- Proaktive Incident-Response-Prozesse

- Stärkung der Lieferkettensicherheit

- Verankerung von Cybersicherheit auf Führungsebene

Praxis-Tipp: Timing nutzen

Obwohl Deutschland die EU-Umsetzungsfrist verpasst hat, können sich Unternehmen einen Vorsprung verschaffen, indem sie bereits jetzt mit der Vorbereitung beginnen. Das Gesetz wird voraussichtlich Anfang 2026 in Kraft treten.

Status der deutschen Umsetzung

Aktueller Zeitplan

Verzögerte Umsetzung:

- EU-Frist: 17. Oktober 2024 (verpasst)

- Kabinettsbeschluss: 30. Juli 2025

- Geplantes Inkrafttreten: Anfang 2026

- Registrierungsfrist: 3 Monate nach Inkrafttreten

Rechtliche Konsequenzen:

- EU-Kommission erließ begründete Stellungnahme (7. Mai 2025)

- Vertragsverletzungsverfahren droht

- Keine lange Übergangsfrist für Unternehmen

Zuständige Behörde

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zentrale Aufsichtsbehörde fungieren mit erweiterten Befugnissen:

- Registrierung und Überwachung der Unternehmen

- Anordnung und Durchsetzung von Maßnahmen

- Verhängung von Bußgeldern

- Koordination der Incident-Response

Geltungsbereich und betroffene Unternehmen

Drei Kategorien von Einrichtungen

1. Betreiber kritischer Einrichtungen (KRITIS)

- Behalten bestehende KRITIS-Pflichten

- Schwellenwerte bleiben unverändert (z.B. Versorgung ≥ 500.000 Personen)

- Zusätzliche NIS2-Anforderungen

- Obligatorische Audits alle drei Jahre

2. Besonders wichtige Einrichtungen (Essential Entities)

Größenkriterien:

- ≥ 250 Beschäftigte ODER

- Jahresumsatz > 50 Mio. EUR UND Bilanzsumme > 43 Mio. EUR

Betroffene Sektoren:

- Energie und Wasserwirtschaft

- Transport und Verkehr

- Bankwesen und Finanzmarktinfrastrukturen

- Gesundheitswesen

- Digitale Infrastruktur

- Öffentliche Verwaltung

Größenunabhängig erfasst:

- Top-Level-Domain-Register

- DNS-Anbieter

- Telekommunikationsnetze

- Cloud-Computing-Dienste

3. Wichtige Einrichtungen (Important Entities)

Größenkriterien:

- ≥ 50 Beschäftigte ODER

- Jahresumsatz > 10 Mio. EUR UND Bilanzsumme > 10 Mio. EUR

Zusätzliche Sektoren:

- Post- und Kurierdienste

- Abfallwirtschaft

- Chemische Industrie

- Lebensmittelproduktion

- Verarbeitendes Gewerbe

- Digitale Dienste

- Forschungsorganisationen

Sanktionen und Bußgelder

KategorieBußgeldBemessungsgrundlage
Besonders wichtige Einrichtungenbis zu 20 Mio. EURoder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungenbis zu 10 Mio. EURoder 1,4% des weltweiten Jahresumsatzes
Persönliche Haftung: Geschäfts- und Vorstandsmitglieder haften persönlich für Pflichtverletzungen bei der Umsetzung und Überwachung der Maßnahmen.

Kernkonzepte und Anforderungen

Risikomanagement-Ansatz

NIS2 fordert ein systematisches Risikomanagement basierend auf dem "State of the Art" unter Berücksichtigung von Risiken, Unternehmensgröße und Kosten.

Technische und organisatorische Maßnahmen

Grundlegende Sicherheitsmaßnahmen:

- Risikobewertung und IT-Sicherheitskonzepte

- Incident-Response und Business-Continuity-Management

- Backup-Management und Disaster Recovery

- Lieferkettensicherheit und Vendor Management

- Sichere Entwicklung, Beschaffung und Wartung

- Vulnerability Management und Security Assessments

Technische Kontrollen:

- Kryptographie und Schlüsselmanagement

- Zugangsmanagement und Multi-Faktor-Authentifizierung

- Sichere Kommunikation (Sprach-, Video-, Textkom​munikation)

- Notfallkommunikationssysteme

Organisatorische Kontrollen:

- Cyber-Hygiene und Mitarbeiterschulungen

- Management-Schulungen zu Cyber-Risiken

- Dokumentation und Nachweisverwaltung

Erweiterte Anforderungen für besonders wichtige Einrichtungen

Zusätzliche technische Maßnahmen:

- Einsatz von Angriffserkennungssystemen (SzA)

- Erweiterte Monitoring- und Logging-Systeme

- Regelmäßige Penetrationstests

Audit-Pflichten:

- Alle drei Jahre Nachweis der Maßnahmenumsetzung

- Audits, Inspektionen oder Zertifikate als Nachweismittel

- Stichprobenartige BSI-Audits möglich

Melde- und Registrierungspflichten

Registrierung beim BSI

Selbstidentifikation:

Unternehmen müssen eigenständig prüfen, ob sie unter NIS2 fallen, und sich binnen drei Monaten registrieren.

Erforderliche Angaben:

- Firmenname und Rechtsform

- Kontaktdaten und Ansprechpartner

- IP-Adressbereiche

- Branchenzuordnung

- EU-Länder der Geschäftstätigkeit

- Jährliche Aktualisierung der Daten

Incident-Response-Verfahren

Drei-Stufen-Meldung für erhebliche Sicherheitsvorfälle:

StufeZeitfristInhalt
Erstmeldung24 StundenGrundlegende Informationen zum Vorfall
Folgemeldung72 StundenDetaillierte Analyse und erste Maßnahmen
Abschlussbericht1 MonatVollständige Aufarbeitung und Lessons Learned
Zusätzliche Meldepflichten:

- BSI kann Zwischenberichte anfordern

- Öffentliche Information bei erheblichen Auswirkungen

- Kundenwarnungen in bestimmten Sektoren (Finanz, ICT, digitale Dienste)

Governance und Führungsverantwortung

Management-Verantwortung:

- Persönliche Haftung der Geschäftsführung

- Genehmigung und Überwachung der Sicherheitsmaßnahmen

- Verpflichtende Schulungen zu Cyber-Risiken

- Integration in strategische Unternehmensplanung

BSI-Aufsichtsbefugnisse:

- Umfassende Prüf- und Anordnungsbefugnisse

- Verhängung von Bußgeldern und Sanktionen

- Stichprobenartige Audits basierend auf Risikoprofilen

- Anordnung zusätzlicher Sicherheitsmaßnahmen

Integration mit bestehenden Standards

Synergien mit ISO 27001

NIS2-Anforderungen decken sich weitgehend mit etablierten ISMS-Standards:

Überschneidende Bereiche:

- Risikomanagement und Risikobehandlung

- Incident-Response und Business Continuity

- Zugangskontrollen und Authentifizierung

- Lieferantenmanagement und Outsourcing

- Mitarbeiterschulungen und Awareness

- Dokumentation und Nachweisverwaltung

NIS2-spezifische Erweiterungen:

- Meldepflichten innerhalb 24/72 Stunden/1 Monat

- Management-Haftung und -Schulungen

- BSI-Registrierung und -Überwachung

- Branchenspezifische Anforderungen

Kompatibilität mit IT-Grundschutz

Der BSI IT-Grundschutz bietet eine solide Basis für NIS2-Compliance:

- Baustein-orientierte Umsetzung

- Strukturierte Risikobewertung

- Etablierte Sicherheitsmaßnahmen

- Bewährte Audit-Verfahren

Praxis-Tipp: Standards kombinieren

Unternehmen mit ISO 27001-Zertifizierung oder IT-Grundschutz-Umsetzung haben bereits eine gute Ausgangsbasis. Die bestehenden Prozesse müssen nur um NIS2-spezifische Elemente erweitert werden.

Umsetzungsstrategien und Best Practices

Phasenweise Implementierung

Phase 1: Betroffenheit klären

Schwellenwert-Analyse:

- Prüfung der Branchenzugehörigkeit

- Bewertung der Unternehmensgröße (Mitarbeiter, Umsatz, Bilanzsumme)

- Identifikation kritischer Geschäftsbereiche

- Berücksichtigung von Tochterunternehmen und Konzernstrukturen

Besondere Beachtung für:

- DNS-, Cloud- oder TLD-Dienstleister (größenunabhängig)

- Unternehmen mit gemischten Geschäftsbereichen

- Internationale Konzernstrukturen

Phase 2: ISMS aufbauen oder erweitern

Risikomanagement etablieren:

- Systematische Bedrohungs- und Schwachstellenanalyse

- Definition von Schutzzielen und Akzeptanzschwellen

- Implementierung risikobasierter Kontrollen

- Kontinuierliche Überwachung und Verbesserung

Alle NIS2-Themenbereiche abdecken:

- Business Continuity und Disaster Recovery

- Lieferkettensicherheit und Vendor Management

- Vulnerability Management und Patch-Prozesse

- Schulungsprogramme für alle Mitarbeiterebenen

Phase 3: Operative Umsetzung

Meldeprozesse definieren:

- Klare Verantwortlichkeiten und Eskalationswege

- Vorlagen für Erst-, Folge- und Abschlussmeldungen

- Integration in bestehende Incident-Response-Prozesse

- Regelmäßige Übungen und Tests

Dokumentation sicherstellen:

- Alle Sicherheitsmaßnahmen und Risikobewertungen

- Schulungsnachweise und Management-Trainings

- Audit-Ergebnisse und Verbesserungsmaßnahmen

- Lieferantenbewertungen und Verträge

Häufige Implementierungsfehler vermeiden

Unzureichende Scope-Definition:

- Übersehen von Tochterunternehmen oder Geschäftsbereichen

- Falsche Einschätzung der Größenkriterien

- Unvollständige Erfassung digitaler Dienste

Mangelnde Management-Einbindung:

- Behandlung als rein IT-technisches Thema

- Fehlende Schulungen der Führungsebene

- Unzureichende Ressourcenbereitstellung

Unvollständige Lieferkettenanalyse:

- Vernachlässigung von Cloud-Dienstleistern

- Fehlende Vertragsanpassungen mit Lieferanten

- Unzureichende Überwachung von Drittanbietern

Unterstützung durch die fuentis Suite

Die fuentis Suite bietet umfassende Unterstützung bei der NIS2-Umsetzung:

ISMS-Compliance-Modul

- Vorkonfigurierte Anforderungen nach § 30 BSIG-E

- Automatische Betroffenheitsprüfung nach Größenkriterien

- Gap-Analyse zu bestehenden ISMS-Standards

- Compliance-Dashboard mit Umsetzungsstand

Risikomanagement

- Strukturierte Erfassung aller NIS2-relevanten Risiken

- Verknüpfung mit Assets und Geschäftsprozessen

- Automatische Risikobewertung und -priorisierung

- Integration mit bestehenden Risikomanagement-Prozessen

Incident-Management

- Abbildung der drei-stufigen Meldeprozesse

- Automatische Erinnerungen an Meldefristen

- Templates für BSI-Meldungen

- Dokumentation und Nachverfolgung von Vorfällen

Asset-Management

- Zentrale Erfassung aller informationsverarbeitenden Assets

- Zuordnung von Verantwortlichkeiten und Kritikalitäten

- Überwachung von Änderungen und Updates

- Integration mit Configuration Management

Lieferantenmanagement (On Roadmap)

- Bewertung und Überwachung von Dienstleistern

- Verwaltung von Sicherheitsanforderungen und -nachweisen

- Audit-Planung und -durchführung

- Vertragsmanagement mit Sicherheitsklaluseln

Audit- und Review-Funktionen (On Roadmap)

- Planung und Durchführung interner Audits

- Verfolgung von Nichtkonformitäten und Maßnahmen

- Management-Review-Unterstützung

- Automatisierte Berichtserstellung für BSI-Audits

Vorbereitung auf BSI-Audits

Audit-Typen und -Verfahren

KRITIS-Audits (alle 3 Jahre):

- Vollständige Überprüfung aller Maßnahmen

- Vor-Ort-Audits oder Remote-Assessments

- Alternative: Anerkannte Zertifizierungen (ISO 27001, IT-Grundschutz)

Stichprobenartige BSI-Audits:

- Risikobasierte Auswahl der Unternehmen

- Fokus auf spezifische Schwachstellen oder Vorfälle

- Kurze Ankündigungsfristen

Audit-Vorbereitung

Dokumentationsanforderungen:

- Vollständige ISMS-Dokumentation

- Nachweise für alle implementierten Maßnahmen

- Risikobewertungen und -behandlungsstrategien

- Incident-Response-Pläne und -Nachweise

- Schulungsunterlagen und -zertifikate

Praktische Tipps:

- Regelmäßige interne Audits als Vorbereitung

- Kontinuierliche Aktualisierung der Dokumentation

- Klare Verantwortlichkeiten und Ansprechpartner

- Übung von Audit-Situationen mit dem Team

Zukunftsperspektiven und Entwicklungen

Europäische Harmonisierung

Trends in der EU:

- Weitere Harmonisierung der nationalen Umsetzungen

- Verstärkte grenzüberschreitende Zusammenarbeit

- Integration mit anderen EU-Cybersecurity-Initiativen

- Mögliche Verschärfung der Anforderungen

Technologische Entwicklungen

Neue Herausforderungen:

- Künstliche Intelligenz und maschinelles Lernen

- IoT und Industrial IoT Security

- 5G-Netze und Edge Computing

- Quantum Computing und Post-Quantum-Kryptographie

Anpassung der Anforderungen:

- Regelmäßige Updates der technischen Standards

- Berücksichtigung neuer Bedrohungsszenarien

- Evolution der "State of the Art"-Definition

Kernaussagen auf einen Blick

Die 5 wichtigsten Erfolgsfaktoren für NIS2-Compliance:

  1. Frühzeitige Betroffenheitsprüfung: Klären Sie umgehend, ob Ihr Unternehmen unter NIS2 fällt - die Größenkriterien sind komplex und erfassen deutlich mehr Organisationen als bisher
  1. ISMS als Compliance-Grundlage: Ein etabliertes Informationssicherheitsmanagementsystem nach ISO 27001 oder IT-Grundschutz bildet die beste Basis für NIS2-Compliance
  1. Management-Commitment sichern: Die persönliche Haftung der Geschäftsführung macht Cybersicherheit zur Chefsache - Management-Schulungen und -Involvement sind unverzichtbar
  1. Incident-Response-Fähigkeiten aufbauen: Die 24-Stunden-Meldepflicht erfordert etablierte Prozesse, klare Verantwortlichkeiten und geübte Abläufe
  1. Lieferketten systematisch absichern: Supply-Chain-Risiken sind ein zentrales NIS2-Thema - bewerten und überwachen Sie alle kritischen Dienstleister und Lieferanten

Warum NIS2 mehr ist als nur Compliance:

NIS2 markiert den Übergang von freiwilliger zu verpflichtender Cybersicherheit für weite Teile der Wirtschaft. Unternehmen, die NIS2 proaktiv umsetzen, schaffen nicht nur Rechtssicherheit, sondern auch einen nachhaltigen Wettbewerbsvorteil durch erhöhte Resilienz, Kundenvertrauen und operative Exzellenz in der digitalen Transformation.