Die EU-Richtlinie NIS 2 (Network and Information Security Directive 2) ist seit ihrer Verabschiedung ein zentrales Element der europäischen Cyber-Sicherheitsstrategie. Sie soll die Resilienz und den Schutz kritischer Infrastrukturen (KRITIS) in Europa stärken. Im Januar 2025 sind viele Unternehmen und Organisationen gefragt, ihre IT-Sicherheitsstandards weiter anzupassen. Doch wie ist der aktuelle Stand? Was bedeutet NIS 2 konkret für Unternehmen?
Zur Erinnerung: Was ist NIS 2?
Die NIS 2-Richtlinie ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie (2016/1148), die als erste europaweite Regelung zur Cybersicherheit eingeführt wurde. Ziel war es damals, einheitliche Sicherheitsanforderungen in der EU zu schaffen. Mit NIS 2 geht die EU nun einen Schritt weiter:
- Erweiterter Anwendungsbereich: NIS 2 betrifft mehr Sektoren, also Branchen, als die ursprüngliche NIS. Neben Energie, Verkehr und Gesundheit sind nun auch Lieferketten, digitale Dienstleistungen und IT-Dienstleister betroffen.
- Höhere Standards: Organisationen müssen strengere technische und organisatorische Maßnahmen zur Cybersicherheit umsetzen.
- Verschärfung der Meldepflichten: Sicherheitsvorfälle müssen schneller und detaillierter gemeldet werden.
- Sanktionen: NIS 2 sieht empfindliche Bußgelder für Verstöße vor, ähnlich der DSGVO.
Für wen gilt die NIS 2 Richtlinie?
Die Betroffenheit von NIS 2 wird anhand verschiedener Kriterien bestimmt. Die Richtlinie betrifft sowohl große als auch mittlere Unternehmen und Organisationen in kritischen Sektoren wie Energie, Verkehr, Banken, Gesundheitswesen, öffentliche Verwaltung, sowie Anbieter digitaler Dienste. Neben dem Sektor spielen auch Kriterien wie die Unternehmensgröße oder auch die Systemrelevanz eine Rolle. Detaillierte Informationen zu den betroffenen Unternehmen findet ihr unter diesem Link bei openkritis.de
Bis wann muss ich NIS 2 umgesetzt haben?
Das ist schwer zu sagen. Die NIS 2 Richtlinie sollte ursprünglich bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Bis heute, dem 9. Januar 2025, ist dies nicht geschehen. Das Inkrafttreten des NIS 2 Umsetzungsgesetzes (NIS2UmSuCG) war ursprünglich für März 2025 geplant, was aber aufgrund der anstehenden Neuwahlen und der damit verbundenen Regierungsbildung realistischerweise nicht vor Sommer 2025 zu erwarten ist.
Dabei ist jedoch wichtig zu beachten: Trotz der Verzögerung wird Unternehmen empfohlen, sich bereits jetzt mit den kommenden Anforderungen auseinander zu setzen und sich darauf vorzubereiten, da das Gesetz neben den Betreibern kritischer Anlagen (KRITIS) auch große Teile der deutschen Wirtschaft betreffen wird. Es gibt keine Übergangsfrist für die NIS-2-Richtlinie. Sobald das nationale Umsetzungsgesetz in Kraft tritt, gelten die Pflichten von NIS 2 unmittelbar für betroffene Unternehmen.
Fazit
Die NIS 2-Richtlinie mag auf den ersten Blick wie eine weitere bürokratische Hürde wirken, sie macht aber durchaus Sinn. Sie hilft uns allen, besser auf die wachsenden Gefahren vorbereitet zu sein und unsere IT-Systeme auf ein stabiles Fundament zu stellen. Klar, die Umsetzung ist kein Selbstläufer, und es gibt einiges zu tun – von technischen Maßnahmen bis hin zu organisatorischen Anpassungen. Aber am Ende profitieren wir davon.
Weitere Informationen zum Thema findet ihr unter diesem Link.
Falls ihr Fragen zum Thema habt, könnt ihr euch gerne an uns wenden. Wir sind per Telefon, per E-Mail oder über ein Kontaktformular für euch erreichbar.
