NIS-2 Richtlinie

RICHTIG UMGESETZT

JETZT KOSTENLOSES ERSTGESPRÄCH BUCHEN

NIS-2 IM FOKUS
WISSENSWERTES für KMU

NIS-2 Richtlinie - was ändert sich?

Die Einführung der NIS-2-Richtlinie bringt signifikante Veränderungen in der Cybersicherheitslandschaft der Europäischen Union mit sich, insbesondere in Bezug auf die Verantwortlichkeiten der Geschäftsführung von Unternehmen. Im Vergleich zur ursprünglichen NIS-Richtlinie erweitert NIS-2 nicht nur den Geltungsbereich und verschärft die Sicherheitsanforderungen, sondern legt auch einen klaren Fokus auf die Haftung der Unternehmensführung bei Cybervorfällen.

Durch NIS-2 wird die Geschäftsführung direkt in die Verantwortung genommen, die Implementierung und Einhaltung angemessener Cybersicherheitsmaßnahmen zu gewährleisten. Dies bedeutet, dass Führungskräfte persönlich haftbar gemacht werden können, wenn sie es versäumen, geeignete Sicherheitsvorkehrungen zu treffen. Die Richtlinie sieht vor, dass Unternehmen umfassende Risikomanagementmaßnahmen einführen und Cybervorfälle zeitnah melden müssen. Ein Versäumnis in diesen Bereichen kann nun als fahrlässiges Handeln gewertet werden. Um hier zeitnah und kostengünstig erste Maßnahmen nachzuweisen, empfehlen wir den CyberRisikoCheck durchzuführen

Fahrlässiges Verhalten der Geschäftsführung kann weitreichende rechtliche und finanzielle Konsequenzen nach sich ziehen. Sollte es zu einem Cybervorfall kommen und nachgewiesen werden, dass die erforderlichen Sicherheitsmaßnahmen nicht umgesetzt wurden oder eine Meldung verzögert erfolgte, können die verantwortlichen Führungskräfte mit hohen Geldstrafen und weiteren Sanktionen belegt werden. Die Verschärfung der Haftungsregelungen unter NIS-2 unterstreicht die Notwendigkeit einer proaktiven und umfassenden Cybersicherheitsstrategie auf höchster Managementebene.

Insgesamt erhöht NIS-2 den Druck auf die Unternehmensführung, Cyberrisiken ernst zu nehmen und angemessene Schutzmaßnahmen zu ergreifen. Die Richtlinie soll sicherstellen, dass die EU besser auf Cyberbedrohungen vorbereitet ist und die Widerstandsfähigkeit der kritischen Infrastrukturen gegen Cyberangriffe gestärkt wird. Die Geschäftsführung muss sich ihrer Verantwortung bewusst sein und aktiv Maßnahmen ergreifen, um die Sicherheit und Integrität ihrer Systeme zu gewährleisten.

NIS-2 - Wer ist betroffen?

Viele Unternehmen sind unsicher, ob Sie von der NIS 2 Richtlinie betroffen sind. Dabei ist die Wahrscheinlichkeit, dass man betroffen ist sehr hoch!
Denn Unternehmen sind betroffen wenn sie:

  • Teil einer der 18 Sektoren sind
    UND
  • Wichtige Einrichtungen: ab 50 MA ODER ab 10 Mio. € Umsatz
    ODER
  • Besonders wichtige Einrichtungen: ab 250 MA ODER ab 50 Mio. € Umsatz
    haben.
     
    Ausnahme: Bestimmte Einrichtungen wie Anbieter von DNS-Diensten, Telekommunikationsdienste- oder netze, Vertrauensdiensten oder TLD-Registries fallen unabhängig von ihrer Größe unter NIS-2
     
  • Die 18 Sektoren:
  1. Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
  2. Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  3. Bankwesen (Kreditinstitute)
  4. Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien)
  5. Gesundheit (Gesundheitsdienstleister; EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte
  6. Trinkwasser (Wasserversorgung)
  7. Abwässer (Abwasserentsorgung)
  8. Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation)
  9. IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers)
  10. Öffentliche Verwaltungen (Zentralregierung, regionale Regierung
  11. Weltraum (Bodeninfrastruktur)
  12. Post- und Kurierdienste (Postdienste)
  13. Abfallwirtschaft (Abfallbewirtschaftung)
  14. Herstellung, Produktion und Vertrieb von Chemikalien
  15. Lebensmittelproduktion, -verarbeitung und -vertrieb‍
  16. Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
  17. Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
  18. Forschung (Forschungsinstitute)

Registrierung beim BSI – Ihre gesetzliche Pflicht

Wenn Sie von der NIS-2-Richtlinie betroffen sind, sind Sie gesetzlich verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Die Frist dafür war der 06.03.2026 – wenn Sie sich noch nicht registriert haben, sollten Sie umgehend handeln.

So funktioniert die Registrierung:

  1. ELSTER-Organisationszertifikat beantragen Sie benötigen ein gültiges ELSTER-Organisationszertifikat. Falls Sie noch keines besitzen, beantragen Sie es unter elster.de. Beachten Sie, dass die Ausstellung einige Tage dauern kann.

  2. MUK-Konto erstellen Erstellen Sie ein Konto im Melde- und Informationsportal des BSI (MUK) unter portal.bsi.bund.de. Die Anmeldung erfolgt über Ihr ELSTER-Zertifikat.

  3. Registrierung abschließen Tragen Sie die geforderten Angaben zu Ihrem Unternehmen ein – unter anderem Kontaktdaten, Sektor, Unternehmensgröße und die verantwortliche Ansprechperson für IT-Sicherheit.

Sie haben die Frist verpasst? Handeln Sie jetzt. Eine verspätete Registrierung ist besser als keine. Wir unterstützen Sie dabei, den Prozess schnellstmöglich nachzuholen und weitere Pflichten fristgerecht umzusetzen.

Unser Experte für organisatorische Sicherheit, Tobias Oortman, hilft Ihnen dabei, Stolpersteine im Registrierungsprozess zu vermeiden. Buchen Sie einen kostenlosen 30-minütigen Termin über unsere Online-Terminbuchung.

Kostenlose Erstberatung!

JETZT TERMIN BUCHEN!
Das Wichtigste zur NIS-2-Richtlinie in Kürze

KEYNOTES NIS-2

Seit dem 6. Dezember 2025 werden erhöhte Cybersicherheitsstandards gemäß der NIS-2-Richtlinie für bestimmte Unternehmen in der EU eingeführt. Diese Standards gelten für Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro in 18 definierten Sektoren.

Die Einstufung als "Essential Entities" oder "Important Entities" erfolgt auf Grundlage der Unternehmensgröße und des Sektors und bestimmt den Grad der staatlichen Aufsicht sowie mögliche Sanktionen.

Es gibt Ausnahmeregelungen, die Unternehmen unabhängig von ihrer Größe und ihrem Umsatz von der NIS-2-Richtlinie befreien oder einschließen können. Der "size-cap"-Ansatz ermöglicht eine differenzierte Regelung basierend auf der Unternehmensgröße und den Risiken.

Um die Anforderungen der NIS-2-Richtlinie zu erfüllen, wird die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder mindestens die Durchführung eines CyberRisikoChecks empfohlen.



JETZT TERMIN BUCHEN

Jetzt Erstgespräch buchen!