Was ist NIS2? Hintergründe zur EU-Richtlinie und zum Umsetzungsgesetz

Die zunehmende Vernetzung von Geschäftsprozessen, Lieferketten und kritischen Infrastrukturen erweitert kontinuierlich die Angriffsfläche für Cyberbedrohungen. Gleichzeitig agieren Angreifer heute hochprofessionell, arbeitsteilig und mit erheblichem Ressourceneinsatz.

Im Matrix-Stil animiertes Bild eines Hackers, vor dem sich NIS2-betroffene Unternehmen schützen sollten.

Ransomware, gezielte Sabotage oder Angriffe über die Lieferkette sind längst keine Ausnahmefälle mehr, sondern ein dauerhaftes Risiko für Unternehmen und öffentliche Einrichtungen.

Organisationen, deren Ausfall weitreichende Auswirkungen hätte, stehen daher besonders im Fokus regulatorischer Anforderungen.

Cyber-Resilienz als strategische Aufgabe

Vor diesem Hintergrund gewinnt Cyber-Resilienz zunehmend an Bedeutung: die Fähigkeit, Sicherheitsvorfälle nicht nur zu verhindern, sondern deren Auswirkungen zu begrenzen und den Geschäftsbetrieb schnell wiederherzustellen.

Die NIS2-Richtlinie der EU sowie das nationale Umsetzungsgesetz schaffen hierfür einen deutlich erweiterten regulatorischen Rahmen. Unternehmen werden verpflichtet,

Cybersicherheit systematisch zu etablieren
Risiken strukturiert zu managen
Sicherheitsvorfälle transparent zu melden

Damit wird Informationssicherheit zur unternehmenskritischen Disziplin – und zur klaren Verantwortung auf Management-Ebene.

NIS2 geht dabei über rein technische Maßnahmen hinaus: Gefordert ist ein ganzheitlicher Ansatz, der Organisation, Prozesse und Technologien gleichermaßen umfasst.

Welche Unternehmen sind betroffen?

Ob ein Unternehmen unter die NIS2-Regulierung fällt, muss grundsätzlich eigenständig geprüft werden. Das Gesetz unterscheidet zwischen wichtigen und besonders wichtigen Einrichtungen – eine Einordnung, die im Detail komplex sein kann.

Zur ersten Orientierung gilt: Betroffen sind insbesondere

KRITIS-Betreiber
Vertrauensdiensteanbieter (z. B. qualifizierte Anbieter digitaler Signaturen)
Betreiber von DNS-Diensten und TLD-Registries
Anbieter öffentlicher Telekommunikationsdienste und -netze
Unternehmen ab 50 Mitarbeitenden oder mit mehr als 10 Mio. € Umsatz und Bilanzsumme in definierten Branchen

Ein offizieller Test zur Einstufung wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt.

Relevante Sektoren im Überblick

Die NIS2-Richtlinie umfasst eine Vielzahl von Branchen, darunter:

Energieversorgung
Transport und Verkehr
Finanzwesen
Gesundheitswesen und Medizintechnik
Wasser- und Abwasserwirtschaft
Digitale Dienste und IT-Infrastruktur
Lebensmittelindustrie
Chemie und verarbeitendes Gewerbe
Forschungseinrichtungen

Damit betrifft NIS2 einen erheblichen Teil der deutschen Wirtschaft – Schätzungen gehen von rund 30.000 betroffenen Unternehmen aus.

Zentrale Pflichten für Unternehmen

Unternehmen, die unter NIS2 fallen, müssen eine Reihe konkreter Anforderungen erfüllen. Dazu zählen insbesondere:

Registrierung und Nachweisführung

Registrierung beim BSI
Dokumentation der umgesetzten Sicherheitsmaßnahmen
Nachweispflichten (z. B. durch Audits bei KRITIS-Betreibern)

Risikomanagement und Sicherheitsmaßnahmen

Durchführung strukturierter Risikoanalysen
Implementierung von Business-Continuity- und Krisenmanagementprozessen
Einsatz technischer Maßnahmen wie Verschlüsselung und Multi-Faktor Authentifizierung
Schulung und Sensibilisierung von Mitarbeitenden

Melde- und Informationspflichten

Unverzügliche Meldung erheblicher Sicherheitsvorfälle an das BSI
Laufende Berichterstattung zum Vorfallsmanagement
Information von Kunden oder Partnern auf Anordnung der Behörden

Verantwortung der Geschäftsleitung

Sicherstellung und Überwachung der Maßnahmen
Verpflichtende Schulung
Persönliche Haftung bei Pflichtverletzungen

Für KRITIS-Betreiber gelten darüber hinaus zusätzliche Anforderungen, etwa Einschränkungen beim Einsatz bestimmter kritischer Komponenten.

Konsequenzen bei Verstößen

Die NIS2-Regulierung sieht abgestufte, teils erhebliche Sanktionen vor. Bußgelder können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen – maßgeblich ist der jeweils höhere Wert.

Darüber hinaus kann die Haftung auf die Geschäftsleitung ausgeweitet werden. Bei Verstößen drohen nicht nur regulatorische Konsequenzen, sondern auch persönliche Haftungsrisiken für Vorstände und Geschäftsführer.

Umsetzung: Ganzheitlich und praxisnah

Die Anforderungen von NIS2 betreffen nicht nur IT-Systeme, sondern die gesamte Organisation – von technischen Schutzmaßnahmen über Prozesse bis hin zur physischen Sicherheit.

ASTRUM IT unterstützt Unternehmen dabei, diese Anforderungen strukturiert und nachhaltig umzusetzen – im Sinne einer ganzheitlichen, zukunftssicheren IT-Strategie.

Dazu gehören unter anderem:

individueller Softwareentwicklung, bei der Sicherheit von Anfang an integriert wird
Full Managed Hosting & Betrieb auf DSGVO-konformen, ISO-27001-zertifizierten Infrastrukturen in Deutschland
Lösungen wie VISIT, die einen wichtigen Beitrag zur physischen Zugriffskontrolle leisten – etwa im Besuchermanagement sowie im Yard Management.

So entsteht ein durchgängiger Ansatz, der digitale und physische Sicherheit miteinander verbindet und die Grundlage für digitale Vitalität schafft.

Sie möchten NIS2-Anforderungen strukturiert und nachhaltig umsetzen?

Sprechen Sie mit uns über maßgeschneiderte Lösungen für sichere, skalierbare und zukunftsfähige IT-Strukturen.