Kurzfassung
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Verordnung, die Mindeststandards für Cybersicherheit in kritischen und wichtigen Sektoren vorschreibt und deutlich mehr Unternehmen betrifft als ihre Vorgängerin NIS1.
Was ist die NIS2-Richtlinie?
NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie trat im Januar 2023 in Kraft und muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Die Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich und verschärft die Anforderungen an Risikomanagement, Meldepflichten und Governance.
Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 definierten Sektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur und ICT-Service-Management.
Warum ist NIS2 relevant?
Für DACH-Unternehmen bringt NIS2 konkrete Handlungspflichten:
- Erweiterter Geltungsbereich: Deutlich mehr Unternehmen sind betroffen als unter NIS1
- Persönliche Haftung: Geschäftsführer können persönlich haftbar gemacht werden
- Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden
- Supply Chain Security: Unternehmen müssen auch die Sicherheit ihrer Lieferkette bewerten
- Bußgelder: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
Praxis-Tipps
- Führen Sie eine Gap-Analyse durch: Wo stehen Sie heute vs. NIS2-Anforderungen?
- Implementieren Sie automatisierte Vulnerability Scans in Ihrer CI/CD-Pipeline
- Etablieren Sie ein Incident-Response-Verfahren mit klaren Eskalationswegen
- Nutzen Sie Policy-as-Code (z.B. mit Mondoo oder Open Policy Agent), um Compliance nachweisbar zu machen
Häufige Fehler
- Abwarten, bis das nationale Umsetzungsgesetz final ist, statt frühzeitig zu handeln
- NIS2 als reines IT-Thema behandeln statt als organisationsweite Aufgabe
- Fehlende Dokumentation von Sicherheitsmaßnahmen und Risikobewertungen
- Lieferantenrisiken nicht systematisch erfassen