EU-Richtlinie NIS2

Die NIS2-Richtlinie (Network and Information Security Directive) zielt darauf ab, die Cyber- und Informationssicherheit von Einrichtungen, die wesentliche Dienste in Schlüsselsektoren erbringen, EU-weit zu verbessern und zu harmonisieren.

In Deutschland ist die Umsetzung mit Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz zum 06.12.2025 gestartet.

Viele Unternehmen in Deutschland und Europa stehen kurz- bis mittelfristig vor der Aufgabe, Governance, Informationssicherheit, IKT-Risikomanagement, Business Continuity und Lieferkettensteuerung verlässlich zu etablieren und nachzuweisen. adesso macht Sie zügig handlungsfähig und begleitet Sie von der ersten Standortbestimmung bis zur Operationalisierung im Tagesgeschäft.

Jetzt Kontakt aufnehmen

Unter den Anwendungsbereich der NIS2 fallen Einrichtungen, die ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.

Neben der Erweiterung der betroffenen Sektoren ist eine weitere wesentliche Änderung beim Anwendungsbereich, dass die Betroffenheit der Einrichtungen nicht mehr über das Erreichen oder Überschreiten der Schwellenwerte der Anlagekategorien, sondern über die Größe der Einrichtungen geregelt werden soll.

Demnach sollen unter die NIS2-Richtlinie große und mittlere Unternehmen fallen:

(mittlere) Einrichtungen

• 50 - 249 Beschäftigte und
• < 50 Mio. EUR Jahresumsatz oder
• < 43 Mio. EUR Jahresbilanzsumme

oder

• < 50 Beschäftigte und
• (10 - 50) Mio. EUR Jahresumsatz und
• (10 - 43) Mio. EUR Jahresbilanzsumme

(große) Einrichtungen

• ≥ 250 Beschäftigte

oder

• ≥ 50 Mio. EUR Jahresumsatz und
• ≥ 43 Mio. EUR Jahresbilanzsumme

Mit der NIS2 kommen weitere Sektoren hinzu, welche die definierten Anforderungen umsetzen müssen. Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Erstere unterliegen höheren Sanktionen bei Verstößen gegen die Anforderungen sowie einem Ex-ante- und Ex-post-Aufsichtssystem, während wichtige Einrichtungen geringeren Sanktionen und einem ausschließlich reaktiven Ex-post-Aufsichtssystem unterliegen.

Wesentliche Einrichtungen

• Großunternehmen in Essential Sectors

Wichtige Einrichtungen

• Mittlere Unternehmen in Essential Sectors
• Großunternehmen und mittlere Unternehmen in Important Sectors

Insgesamt sind somit die folgenden 18 Sektoren von der NIS2 betroffen:

Einrichtungen müssen unter Berücksichtigung des Standes der Technik technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die zur Erbringung ihrer Dienste genutzt werden, zu steuern und zu beherrschen. Damit wird auch in der NIS2-Richtlinie der Risikoansatz zur Umsetzung eines angemessenen Sicherheitsniveaus deutlich. Ein weiterer Schwerpunkt liegt auf der Meldung von Sicherheitsvorfällen, die erhebliche Auswirkungen auf die Erbringung der Dienstleistungen haben, und damit auf der Einrichtung eines standardisierten Meldeverfahrens für Sicherheitsvorfälle.

• Cyber-Security-Management: Richtlinien und Risikomanagement
• Incident Management
• Business Continuity Management (BCM)

Bei Verstößen gegen die Anforderungen werden folgende Geldbußen für wesentliche und wichtige Einrichtungen verhängt:

• Besonders wichtige Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Mit Inkrafttreten der NIS2-Richtlinie am 16.01.2023 haben die EU-Mitgliedstaaten 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Dies verschafft den Einrichtungen Zeit, sich mit den Anforderungen der NIS2-Richtlinie auseinanderzusetzen und mögliche Auswirkungen zu analysieren und zu bewerten.

Die Erfüllung aller Cyber-Sicherheitsmaßnahmen ist komplex und setzt ein Zusammenspiel von verschiedenen Unternehmensfunktionen voraus. adesso unterstützt Sie bei einer erfolgreichen Umsetzung der NIS2-Anforderungen:

Für betroffene Unternehmen ist es daher wichtig, frühzeitig folgende Schritte einzuleiten: