Was ist NIS2? Pflichten, Fristen, Bußgelder

Wer ist betroffen?

NIS2 erfasst 18 Sektoren in zwei Kategorien: wesentliche Einrichtungen (essential) und wichtige Einrichtungen (important). Schwellenwerte: ab 50 Mitarbeitenden oder 10 Mio EUR Umsatz. In kritischen Sektoren wie Energie, Banken, Trinkwasser oder Telekommunikation gelten zusätzlich Spezialregeln.

Wesentliche Einrichtungen: Energie (Strom, Gas, Oel, Fernwärme, Wasserstoff), Verkehr (Luft, Schiene, Wasser, Straße), Banken und Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur (Cloud, Rechenzentrum, DNS, CDN), ICT-Service-Management, Öffentliche Verwaltung, Weltraum.

Wichtige Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe (Medizinprodukte, Computer, Elektronik, Optik, Maschinenbau, Kraftfahrzeuge), Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.

Wichtig: Lieferanten von wesentlichen Einrichtungen unterliegen mittelbar der Lieferketten-Sorgfalt nach Art. 21 (4). Auch wenn ein Unternehmen formal nicht betroffen ist, kann es durch Vertragsklauseln seiner Kunden faktisch zur NIS2-Compliance gezwungen werden.

Die zehn Mindestmaßnahmen nach Art. 21

1. Risikoanalyse- und Sicherheitskonzepte für Informationssysteme.

2. Bewältigung von Sicherheitsvorfällen (Incident-Handling).

3. Business Continuity, Backup-Management, Krisenmanagement.

4. Sicherheit der Lieferkette einschließlich Sicherheitsaspekten zwischen Einrichtungen und ihren Lieferanten.

5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (Schwachstellenmanagement, Updates, Tests).

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit der Cyberrisikomanagement-Maßnahmen.

7. Grundlegende Cyber-Hygiene und Schulungen.

8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung.

9. Personalsicherheit, Zugriffskontrolle und Asset-Management.

10. Mehr-Faktor-Authentifizierung, kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, gesicherte Notfallkommunikation.

Meldepflichten bei Sicherheitsvorfällen

Frühwarnung: innerhalb von 24 Stunden ab Kenntnis eines erheblichen Sicherheitsvorfalls. Inhalt: ob der Vorfall vermutlich durch rechtswidrige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte.

Vorfallsmeldung: innerhalb von 72 Stunden ab Kenntnis. Inhalt: erste Bewertung des Vorfalls einschließlich Schweregrad und Auswirkungen sowie Kompromittierungsindikatoren.

Abschlussbericht: spätestens einen Monat nach der Vorfallsmeldung. Inhalt: detaillierte Beschreibung des Vorfalls, Schweregrad, Auswirkungen, Art der Bedrohung oder Ursache, getroffene und laufende Abhilfemaßnahmen, ggf. grenzüberschreitende Auswirkungen.

Meldestelle in Deutschland: das BSI. Die Meldung erfolgt über das Meldeportal des BSI. Achtung: parallele Meldepflichten nach DSGVO, Störfall-Verordnung, KritisV oder DORA können gleichzeitig greifen.

Persönliche Haftung der Geschäftsleitung

Art. 20 NIS2 verpflichtet die Geschäftsleitung, die Cyberrisikomanagement-Maßnahmen zu billigen, ihre Umsetzung zu überwachen und an einschlägigen Schulungen teilzunehmen. Versäumnisse können persönliche Haftung auslösen, in schweren Fällen kann die Aufsichtsbehörde die Ausübung von Geschäftsführungs- oder Leitungsfunktionen vorübergehend untersagen.

Bußgelder

Wesentliche Einrichtungen: bis zu 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist.

Wichtige Einrichtungen: bis zu 7 Mio EUR oder 1,4 Prozent des weltweiten Jahresumsatzes.

Zusätzliche Sanktionen: öffentliche Bekanntmachung der Verstöße, Aussetzen von Zertifizierungen oder Genehmigungen, Untersagung der Geschäftsführungstätigkeit für leitende Personen in schweren Fällen.

Stand der nationalen Umsetzung in Deutschland

Die EU-Frist zur Umsetzung war der 17. Oktober 2024. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich weiterhin im Gesetzgebungsverfahren. Stand 2026 ist das Inkrafttreten in den nächsten Monaten erwartet. Das BSI nimmt bereits Vorbereitungen vor und prüft, ob Unternehmen die Anforderungen kennen. Eine Wartehaltung ist riskant: Compliance-Programme dauern 6-12 Monate, und nach Inkrafttreten gibt es keine Schonfrist.

Was Unternehmen jetzt tun sollten

1. Anwendbarkeit prüfen: Bin ich wesentlich, wichtig oder Lieferant einer betroffenen Einrichtung?

2. Gap-Assessment gegen Art. 21 NIS2 durchführen, idealerweise als Delta zu vorhandenen ISO-27001-Kontrollen.

3. Strukturierte Entscheidungen über die wichtigsten Investitionen treffen: EDR/XDR, IAM mit MFA, SIEM/SOC, Backup/DR, Lieferantenmanagement.

4. Meldewege technisch und organisatorisch testen, inkl. 24h-Frühwarnung.

5. Geschäftsleitung schulen und Beschlüsse zur Cyberrisikomanagement-Strategie dokumentieren.

6. Jede dieser Entscheidungen so dokumentieren, dass sie BSI-prüfungsfest ist: gewichtete Kriterien, Dealbreaker, Stakeholder-Alignment, Residualrisiken. Genau das ist die Funktion eines Decision Memo.

DecisionOS und NIS2

Wir bauen DecisionOS as Entscheidungsinfrastruktur für genau diese Investitionsentscheidungen unter NIS2. Jedes Memo mappt auf Art. 21 Mindestmaßnahmen, dokumentiert Stakeholder-Alignment, halt Residualrisiken explizit fest und liefert einen Readiness Score, der zeigt, ob die Entscheidung wirklich audit-ready ist. EU-gehostet bei Hetzner in Nürnberg. Demo unter nexalign.io/book.