NIS2: Wer ist betroffen, welche Pflichten gelten – und was jetzt zu tun ist
Mit der NIS2-Richtlinie und ihrer nationalen Umsetzung werden erstmals zehntausende Unternehmen zu Cybersicherheits-Pflichten verpflichtet – bei persönlicher Verantwortung der Geschäftsleitung. Dieser Leitfaden fasst zusammen, wer betroffen ist, was gefordert wird und wie ein pragmatischer Einstieg gelingt.
Wer ist betroffen?
NIS2 unterscheidet „wesentliche" und „wichtige" Einrichtungen in rund 18 Sektoren – darunter Energie, Wasser und Abwasser, Verkehr, Gesundheit, Banken und Finanzmarkt, digitale Infrastruktur und IT-Dienste, öffentliche Verwaltung, Ernährung, Chemie, Abfallwirtschaft, Post sowie weite Teile des verarbeitenden Gewerbes.
Maßgeblich sind in der Regel Größenschwellen: erfasst werden meist Unternehmen ab 50 Beschäftigten oder mit mehr als 10 Mio. € Jahresumsatz bzw. Bilanzsumme. Einzelne, besonders kritische Anbieter fallen unabhängig von ihrer Größe unter die Regulierung.
Welche Pflichten gelten?
Im Kern verlangt NIS2 angemessene technische und organisatorische Maßnahmen zum Risikomanagement – etwa Risikoanalysen, Zugriffs- und Kryptokonzepte, Business Continuity, Lieferkettensicherheit sowie Prozesse zur Behandlung von Sicherheitsvorfällen.
Hinzu kommen Meldepflichten mit engen Fristen (erste Meldung erheblicher Vorfälle typischerweise innerhalb von 24 Stunden), eine Registrierung bei der zuständigen Behörde sowie Nachweis- und Dokumentationspflichten.
Neu ist die ausdrückliche Verantwortung der Leitungsebene: Die Geschäftsführung muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich schulen lassen – und haftet bei Verstößen persönlich.
Die ersten Schritte
1. Betroffenheit klären: Fällt Ihr Unternehmen unter NIS2 – direkt oder über die Lieferkette? 2. Gap-Analyse: Wo stehen Sie gegenüber den Anforderungen? 3. Roadmap: Maßnahmen priorisieren und mit Verantwortlichkeiten hinterlegen.
4. Umsetzung und Nachweis: Risiken, Maßnahmen und Meldeprozesse strukturiert dokumentieren – idealerweise in einem ISMS. 5. Betrieb: regelmäßig prüfen, berichten und verbessern.
Fazit
NIS2 ist kein einmaliges Projekt, sondern ein dauerhafter Managementprozess. Wer früh mit einer strukturierten Betroffenheits- und Gap-Analyse beginnt, vermeidet Hektik und schafft belastbare Nachweise. Ein externer Informationssicherheitsbeauftragter kann diesen Prozess verantwortlich führen.
Passende Artikel
ISO 27001 einführen: der Weg zum ISMS in 7 Schritten
Von der Geltungsbereichsdefinition bis zum Zertifizierungsaudit – ein klarer, praxiserprobter Fahrplan für Ihr Managementsystem.
WeiterlesenExterner oder interner ISB? Vor- und Nachteile im Vergleich
Kosten, Verfügbarkeit, Unabhängigkeit und Know-how: Wann sich ein externer ISB lohnt und wann eine interne Lösung sinnvoll ist.
WeiterlesenFragen zu Ihrer Informationssicherheit?
Wir klären Ihre Ausgangslage und die sinnvollsten nächsten Schritte in einem unverbindlichen Erstgespräch.