Öffentliche und private Einrichtungen in 14 Sektoren
aus Anlage 1 und 2 des BSI-Gesetzes (2025) mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme
NIS-2-Richtlinie im Überblick
Was jetzt für Unternehmen wichtig ist
Erhalten Sie einen klaren Überblick, was die NIS-2-Richtlinie der EU und das deutsche Umsetzungsgesetz für Sie bedeuten. Damit sind Sie gut vorbereitet, um Ihre nächsten Schritte zu gehen.
Was ist NIS-2?
Mit der NIS-2-Richtlinie und dem deutschen Umsetzungsgesetz gelten für viele Unternehmen und Organisationen in 14 Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten. Viele sind zudem als Lieferanten möglicherweise indirekt betroffen. Ziel von NIS-2 ist es, ein besseres gemeinsames Cybersicherheitsniveau in der EU zu erreichen. Um Geldstrafen bei Verstößen von vornherein zu vermeiden, erfahren Sie hier Schritt für Schritt, was zu tun ist.
Was bedeutet NIS?
NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.
Wann ist NIS-2 in Kraft getreten?
- Die NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft.
- Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen.
- Das deutsche NIS-2-Umsetzungsgesetz ist am 06. Dezember 2025 in Kraft getreten.
Es gibt keine Übergangsfrist. Die Pflichten und Sanktionen gelten seit Inkrafttreten des deutschen Gesetzes. Unternehmen müssen die Nachweise zur Umsetzung zwar normalerweise erst nach 3 Jahren einreichen. Aber wer auffällt oder besonders relevant ist, muss schon vorher damit rechnen, dass unabhängige Stellen die Umsetzung prüfen. Für Unternehmen wird es also höchste Zeit.
Dr. Matthias Zuchowski, Regulatory Affairs & Compliance Manager, G DATA CyberDefense AG
NIS-2: Wer ist betroffen?
Die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Ihnen eine erste Orientierung, ob Ihr Unternehmen von der EU-weiten NIS-2-Richtlinie betroffen ist. Die NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben. „Vernachlässigbare Geschäftstätigkeiten“ können dabei unberücksichtigt bleiben.
Sonderfälle
Einige Sonderfälle unabhängig von ihrer Größe
Wie hängen NIS-2 und BSI-Gesetz zusammen?
Das deutsche NIS-2-Umsetzungsgesetz enthält selbst keine neuen inhaltlichen Bestimmungen, sondern ändert bestehende Gesetze ab. In Artikel 1 fasst es das BSI-Gesetz (BSIG) neu. Die Referenzen auf dieser Webseite beziehen sich daher auf das „BSI-Gesetz (2025)“. Die weiteren Artikel ändern andere Gesetze. Beispiel: Artikel 17 ändert das Energiewirtschaftsgesetz (EnWG), das Maßnahmen für die Energiewirtschaft enthält.
Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?
Maßnahmen zum Risikomanagement für Cybersicherheit
§ 30 BSI-Gesetz (2025)
Laut NIS-2 müssen Sie mindestens die folgenden Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.
- Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
- Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
- Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
- Supply Chain: Sicherheit in der Lieferkette
- Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
- Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
- Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
- Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
- Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
- Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall
Verantwortung der Geschäftsführung
§ 38 BSI-Gesetz (2025)
- muss die Maßnahmen umsetzen und die Umsetzung überwachen
- haftet für Verstöße nach den Regeln des jeweiligen Gesellschaftsrechts
- muss an Schulungen teilnehmen (vorläufige Handreichung des BSI für die Empfehlung zur Schulungspflicht für Geschäftsleitungen)
Meldepflicht von Sicherheitsvorfällen
§ 32 BSI-Gesetz (2025)
Die NIS-2-Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Als Meldestelle dient das BSI-Portal. Diese Fristen gelten, um einen Vorfall dem BSI zu melden:
- Frühwarnung innerhalb von 24 Stunden ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend. - Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren. - Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.
NIS-2 Registrierung
§§ 33-34 BSI-Gesetz (2025)
Wenn NIS-2 für Sie gilt, müssen Sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Der Registrierungsprozess ist zweistufig: Zunächst müssen Sie sich beim digitalen Dienst Mein Unternehmenskonto (MUK) anmelden und danach im BSI-Portal registrieren. Wie genau Sie vorgehen, erfahren Sie in der Schritt-für-Schritt-Anleitung.
Folgende Informationen sind einzureichen:
- Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer
- Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse
- öffentliche IP-Adressbereiche und Telefonnummern
- relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche
- Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen
- die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder
- ggf. weitere Informationen je nach Einrichtungsart, insbesondere für Betreiber kritischer Anlagen und weitere besonders kritische Einrichtungsarten
Was passiert, wenn Sie die NIS-2-Vorschriften nicht einhalten?
Besonders wichtige Einrichtungen | Wichtige Einrichtungen | |
|---|---|---|
Aufsicht durch Behörden (§§ 61–62 BSI-Gesetz 2025) | Proaktive Aufsicht ohne vorige Hinweise auf Verstöße, zum Beispiel (nach Ermessen des BSI):
| Reaktive Aufsicht nur nach Hinweisen auf Verstöße, zum Beispiel (nach Ermessen des BSI):
|
Geldstrafen bei Verstößen (§ 65 BSI-Gesetz) | Bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist | Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist |
Wer zählt dazu? | Große Unternehmen aus Anlage 1 im BSI-Gesetz (2025):
Größenunabhängige Sonderfälle | Große Unternehmen aus Anlage 2 im BSI-Gesetz (2025):
Mittlere Unternehmen aus Anlage 1 oder Anlage 2 im BSI-Gesetz (2025):
Größenunabhängige SonderfälleHinweis: Die Einstufung als „besonders wichtig“ geht immer vor. |
Wie G DATA Lösungen Ihnen helfen, die NIS-2-Vorschriften zu erfüllen
Benötigen Sie Hilfe bei der Umsetzung der NIS-2-Richtlinie?
Dann ist unsere NIS-2-Beratung ideal. Sie wird von G DATA Advanced Analytics GmbH angeboten – einer hochspezialisierten IT Security Consultancy innerhalb der G DATA Gruppe. Schreiben Sie uns einfach unverbindlich und erhalten Sie weitere Informationen.
Hinweis: Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.