NIS2 – betrifft das Ihr Unternehmen?
Die neue EU-Richtlinie zur Cybersicherheit gilt fĂĽr deutlich mehr Unternehmen als bisher.
Wir zeigen Ihnen, ob Sie direkt oder indirekt betroffen sind – und was jetzt konkret zu tun ist.
Was ist NIS2 – und warum wurde sie eingeführt?
Die NIS2-Richtlinie ist eine EU-weite Vorgabe zur Stärkung der Cybersicherheit.
Sie ersetzt die bisherige NIS1-Richtlinie und reagiert auf eine deutlich gestiegene Bedrohungslage durch Cyberangriffe, Ausfälle und Lieferkettenrisiken.
Im Mittelpunkt steht nicht mehr nur die IT-Technik, sondern die gesamte Organisation:
Verantwortlichkeiten, Prozesse, Risikomanagement und die Rolle der Geschäftsleitung.
Ziel von NIS2 ist es, Unternehmen widerstandsfähiger zu machen und sicherzustellen, dass Cyberrisiken frühzeitig erkannt, bewertet und behandelt werden.
| Merkmal | NIS 1 | NIS 2 |
|---|---|---|
| Anwendungsbereich (Sektoren) | 7 Sektoren (u. a. Energie, Banken, Gesundheit, Transport). | 18 Sektoren (erweitert um u. a. Abfall, Weltraum, öffentliche Verwaltung, Lebensmittel, Post). |
| Betroffene Unternehmen | Ca. 2.000 in Deutschland (hauptsächlich KRITIS). | Ca. 30.000 bis 40.000 allein in Deutschland. |
| Größenregelung (Size-Cap) | Festlegung durch die Mitgliedstaaten (oft nach Schwellenwerten der Kritikalität). | Automatisch betroffen, wenn > 50 Mitarbeiter oder > 10 Mio. € Umsatz/Bilanzsumme (mittlere/große Unternehmen). |
| Kategorisierung | Betreiber wesentlicher Dienste (BWD) & Anbieter digitaler Dienste (DSP). | Wesentliche Einrichtungen (Essential) & Wichtige Einrichtungen (Important). |
| Haftung der Geschäftsführung | Kaum direkte persönliche Haftung vorgesehen. | Persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen; verpflichtende Schulungen. |
| Meldepflichten | „Unverzüglich“ bei erheblichen Vorfällen. | Mehrstufiges Modell: 24h (Frühwarnung), 72h (Meldung), 1 Monat (Abschlussbericht). |
| Lieferkettensicherheit | Keine spezifischen Anforderungen. | Pflicht zur ĂśberprĂĽfung der Sicherheit von direkten Zulieferern und Dienstleistern. |
| Sanktionen (Bußgelder) | Länderspezifisch (in DE bis zu 20.000 € oder 50.000 € je nach Verstoß). | Drastisch erhöht (ähnlich der EU-DSGVO): Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. |
Indirekte Betroffenheit durch NIS2 – oft unterschätzt
Auch wenn Ihr Unternehmen nicht direkt unter NIS2 fällt, können sich dennoch konkrete Anforderungen für Sie ergeben.
Der Grund dafür sind Lieferketten, Dienstleistungsverhältnisse und Abhängigkeiten.
Wann gelten Unternehmen als indirekt betroffen?
Ihr Unternehmen ist indirekt von NIS2 betroffen, wenn Sie:
- Lieferant oder Dienstleister eines NIS2-pflichtigen Unternehmens sind
- IT-Services, Software, Hosting, Wartung oder Support erbringen
- kritische Prozesse oder Systeme fĂĽr Kunden betreiben
- Teil einer sicherheitsrelevanten Lieferkette sind
Dabei ist es unerheblich, ob Sie selbst formell unter NIS2 fallen.
Was bedeutet das konkret?
NIS2-pflichtige Unternehmen sind verpflichtet,
- Risiken in ihrer Lieferkette zu bewerten
- Sicherheitsanforderungen an Dienstleister weiterzugeben
- Nachweise und MaĂźnahmen einzufordern
In der Praxis heiĂźt das:
- Fragebögen zur Informationssicherheit
- vertragliche Sicherheitsanforderungen
- Audit- oder Nachweisanforderungen
- Erwartung an strukturierte SicherheitsmaĂźnahmen
Häufige Fehlannahmen
- „Wir sind zu klein“ → keine Garantie
- „Wir sind nur Zulieferer“ → genau deshalb relevant
- „Wir haben keine formale Pflicht“ → reicht dem Kunden oft nicht
Unsere UnterstĂĽtzung bei NIS2
strukturiert, praxisnah, nachvollziehbar
NIS2 wirft viele Fragen auf – rechtlich, organisatorisch und technisch.
Wir unterstĂĽtzen Sie dabei, Ihre Situation realistisch einzuordnen und sinnvolle, angemessene Schritte abzuleiten.
