Start Aktuelles NIS2-Richtlinie
Alle Artikel
Compliance 28. Januar 2025 8 Min. Lesezeit

NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie erweitert die Cybersicherheitsanforderungen auf viele mittelständische Unternehmen. Erfahren Sie, ob Sie betroffen sind und welche Maßnahmen Sie ergreifen müssen.

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit und tritt in Deutschland voraussichtlich im März 2025 in Kraft. Sie erweitert den Anwendungsbereich erheblich und betrifft nun auch viele mittelständische Unternehmen, die bisher nicht reguliert waren.

Wer ist betroffen?

Die NIS2-Richtlinie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Betroffen sind Unternehmen aus 18 Sektoren:

  • Energie (Strom, Öl, Gas, Fernwärme)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur und IT-Dienste
  • Öffentliche Verwaltung
  • Raumfahrt
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie und Lebensmittel
  • Verarbeitendes Gewerbe (bestimmte Bereiche)

Wichtig: Die Schwellenwerte liegen bei mindestens 50 Mitarbeitern ODER einem Jahresumsatz von über 10 Millionen Euro. Damit fallen deutlich mehr Unternehmen unter die Regulierung als bei der ursprünglichen NIS-Richtlinie.

Welche Anforderungen gelten?

Betroffene Unternehmen müssen umfassende Cybersicherheitsmaßnahmen implementieren:

Risikomanagement

Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme etablieren. Dies umfasst die Identifikation, Bewertung und Behandlung von Cyberrisiken.

Technische Maßnahmen

  • Incident-Management und Business Continuity
  • Sicherheit der Lieferkette
  • Netzwerk- und Informationssystemsicherheit
  • Verschlüsselung und Kryptografie
  • Zugangskontrolle und Asset Management
  • Multi-Faktor-Authentifizierung

Meldepflichten

Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Innerhalb von 72 Stunden ist ein detaillierter Bericht erforderlich.

Welche Strafen drohen?

Die Sanktionen bei Verstößen sind erheblich:

  • Für wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
  • Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung möglich

Was sollten Sie jetzt tun?

Unternehmen sollten zeitnah handeln:

  • Prüfen Sie, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt
  • Führen Sie eine Gap-Analyse Ihrer aktuellen Sicherheitsmaßnahmen durch
  • Entwickeln Sie einen Maßnahmenplan zur Schließung identifizierter Lücken
  • Etablieren Sie Prozesse für Incident Response und Meldewesen
  • Schulen Sie Ihre Mitarbeiter im Bereich Cybersicherheit
Passende Leistungen
Compliance & NIS2 IT-Strategie & Architektur

NIS2-Readiness Check

Wir prüfen, ob Ihr Unternehmen betroffen ist und welche Maßnahmen Sie ergreifen müssen.

Beratung anfragen
Weitere Artikel
Security

Zero-Trust Security: Vertraue niemandem

Das Zero-Trust-Modell revolutioniert die IT-Sicherheit.
Security

Ransomware-Schutz für den Mittelstand

So schützen Sie Ihr Unternehmen effektiv vor Verschlüsselungstrojanern.