Überblick NIS-2-Richtlinie

Die NIS-2-Richtlinie (EU-Richtlinie 2022/2555) ist ein zentraler Bestandteil der europäischen Cybersicherheitsstrategie.

Sie verpflichtet Unternehmen und öffentliche Einrichtungen zu einem höheren Niveau an Informationssicherheit und stärkt die Verantwortung der Geschäftsleitungen.
Für Organisationen in Deutschland wurde diese Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Die Richtlinie verfolgt das Ziel, die Widerstandsfähigkeit der kritischen und wichtigen Infrastrukturen in Europa zu erhöhen und auf eine wachsende Bedrohungslage im Cyberraum zu reagieren.
Im Mittelpunkt steht dabei ein systematischer Ansatz zur Erkennung, Bewertung und Steuerung von Risiken – und die klare Zuweisung von Verantwortung auf Leitungsebene.

Zielsetzung der NIS-2-Richtlinie

Die Europäische Union hat mit NIS-2 einheitliche Mindeststandards für Cybersicherheit in allen Mitgliedstaaten geschaffen.
Die Hauptziele sind:

1. Erhöhung der Cybersicherheitsstandards in wesentlichen und wichtigen Einrichtungen,
2. Verbesserung der Meldepflichten für Sicherheitsvorfälle,
3. Stärkung der Verantwortlichkeit von Geschäftsleitungen,
4. Harmonisierung der nationalen Aufsichtsmaßnahmen und Sanktionen,
5. Schutz der europäischen Wirtschaft vor den Folgen von Cyberangriffen und Systemausfällen.

Im Vergleich zur ersten NIS-Richtlinie (2016) erweitert NIS-2 den Anwendungsbereich erheblich und betont ausdrücklich die Verantwortung der Unternehmensleitung.
Damit wird Informationssicherheit zu einer zentralen Führungsaufgabe und nicht mehr nur zu einer technischen Disziplin.

Erweiterter Anwendungsbereich

Die NIS-2-Richtlinie unterscheidet zwischen zwei Kategorien von Einrichtungen:

• Wesentliche Einrichtungen
  Dazu zählen Betreiber kritischer Infrastrukturen, z. B. Energieversorger, Gesundheitswesen, Verkehrs- und Finanzsektor.
• Wichtige Einrichtungen
  Hierzu gehören unter anderem Unternehmen in den Bereichen Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, Chemie, Fertigung und digitale Dienste.

Neu ist, dass auch mittelständische Unternehmen unter die Richtlinie fallen können, wenn sie in einem betroffenen Sektor tätig sind oder eine bestimmte Größenordnung (250 Mitarbeitende bzw. 50 Mio. € Jahresumsatz) überschreiten.
Die Richtlinie gilt somit für einen deutlich größeren Kreis von Organisationen als bisher – auch für zahlreiche private Unternehmen, kommunale Betriebe und Einrichtungen mit öffentlichem Auftrag.

Pflichten der betroffenen Organisationen

Die NIS-2-Richtlinie verpflichtet die betroffenen Einrichtungen, ein angemessenes Risikomanagementsystem aufzubauen und aufrechtzuerhalten.
Dies umfasst insbesondere:

• Risikomanagementmaßnahmen zum Schutz der Netz- und Informationssysteme,
• Meldepflichten bei erheblichen Sicherheitsvorfällen,
• Schulung und Sensibilisierung der Führungsebene und der Mitarbeitenden,
• Überwachung und regelmäßige Bewertung der getroffenen Maßnahmen,
• Registrierung bei der zuständigen Aufsichtsbehörde.

Von zentraler Bedeutung ist die Pflicht der Geschäftsleitung, die Einhaltung dieser Anforderungen nachweislich zu überwachen und zu steuern.
Unterlässt sie dies, kann dies zu Bußgeldern oder persönlicher Haftung führen.

Rolle der Geschäftsleitung

Die NIS-2-Richtlinie stellt klar:

Die Verantwortung für die Cybersicherheit liegt auf der Ebene der Geschäftsleitung.

Das bedeutet, dass Mitglieder der Unternehmensführung nicht nur eine allgemeine Überwachungspflicht haben, sondern sich aktiv um das Thema Informationssicherheit kümmern müssen.

Zu ihren Aufgaben gehören insbesondere:

• die Genehmigung und Überwachung von Sicherheitsstrategien,
• die Bereitstellung von Ressourcen für die Umsetzung,
• die Bewertung von Risiken und Maßnahmen,
• die Sicherstellung regelmäßiger Schulungen,
• und die Einbindung von Cybersicherheit in die Unternehmensstrategie.

Damit wird NIS-2 zu einem Führungsthema mit haftungsrechtlicher Relevanz.
Ein „Delegieren nach unten" ohne wirksame Kontrolle reicht nicht aus.

Aufsicht und Sanktionen

Die Richtlinie sieht eine verstärkte behördliche Aufsicht vor.
In Deutschland ist hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.
Dieses erhält erweiterte Prüf- und Eingriffsbefugnisse, um die Umsetzung der Anforderungen zu kontrollieren.

Bei Verstößen drohen empfindliche Sanktionen:

• Geldbußen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist),
• Verantwortlichkeit einzelner Geschäftsleitungsmitglieder,
• und gegebenenfalls aufsichtsrechtliche Maßnahmen.

Diese Konsequenzen verdeutlichen, dass NIS-2 mehr ist als eine bloße Formalität.
Sie verpflichtet Organisationen, Informationssicherheit als Teil der Corporate Governance zu etablieren.

Bedeutung für die Unternehmenspraxis

Für betroffene Organisationen bedeutet die Umsetzung von NIS-2:

• Informationssicherheit muss strategisch geplant und gesteuert werden.
• Management- und Kontrollprozesse sind zu dokumentieren.
• Schulungen auf Leitungsebene sind verpflichtend.
• Sicherheitsmaßnahmen müssen regelmäßig überprüft und angepasst werden.

Damit entsteht ein neues Zusammenspiel zwischen Technik, Organisation und Führung:
IT-Abteilungen implementieren Schutzmaßnahmen, doch die Verantwortung für Wirksamkeit und Priorisierung liegt bei der Geschäftsleitung.

Ein zentraler Erfolgsfaktor ist die Kommunikation zwischen Management und IT-Sicherheit.
Nur wenn beide Ebenen gemeinsam handeln, lässt sich die geforderte Resilienz erreichen.

Die NIS-2-Richtlinie markiert einen Wendepunkt in der europäischen Cyber-Governance.

Sie macht deutlich, dass Informationssicherheit kein IT-Spezialthema mehr ist, sondern ein strategischer Bestandteil verantwortungsvoller Unternehmensführung.

Für Geschäftsleitungen bedeutet dies:

• Sie müssen Risiken kennen,
• Sicherheitsmaßnahmen verstehen,
• und die Umsetzung aktiv begleiten.

Die Einhaltung der NIS-2-Anforderungen schützt nicht nur vor Bußgeldern, sondern stärkt auch das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz