Vollständiger NIS2-Leitfaden 2025

Die ursprüngliche NIS-Richtlinie (Netz- und Informationssicherheit) aus dem Jahr 2016 war das erste verbindliche EU-Regelwerk zur Cybersicherheit. Sie verpflichtete die Mitgliedstaaten zur Benennung zuständiger Behörden und zur Festlegung von Mindestsicherheitsanforderungen für Betreiber wesentlicher Dienste und digitale Diensteanbieter. Obwohl sie eine gemeinsame Basis schuf, offenbarte ihre uneinheitliche Umsetzung in den einzelnen Ländern erhebliche Harmonisierungsdefizite.

Angesichts rasch wachsender Cyberbedrohungen und fortbestehender Fragmentierung zwischen den Mitgliedstaaten veröffentlichte die Europäische Kommission am 27. Dezember 2022 die NIS2-Richtlinie (2022/2555). Dieses Gesetz überarbeitet den bisherigen Rahmen grundlegend: Es erweitert den Anwendungsbereich erheblich, verschärft die Sicherheitspflichten, erhöht die Sanktionen und verlangt eine stärkere Zusammenarbeit der nationalen Behörden. Die Richtlinie trat am 17. Oktober 2024 in Kraft, dem Datum, bis zu dem die Mitgliedstaaten ihre Bestimmungen in nationales Recht umsetzen mussten.

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige nationale Behörde für die Umsetzung von NIS2. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bildet den deutschen Rechtsrahmen. Das BSI wird betroffene Einrichtungen identifizieren und individuell benachrichtigen. Unternehmen sollten bereits jetzt ihren Cybersicherheitsstatus prüfen und Maßnahmen zur Erreichung der Konformität einleiten.

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen: wesentliche Einrichtungen (WE) und wichtige Einrichtungen (WI). Diese Unterscheidung bestimmt den Umfang der Aufsicht durch das BSI und die Höhe der anwendbaren Sanktionen. Wesentliche Einrichtungen sind große Unternehmen (mehr als 250 Beschäftigte oder mehr als 50 Mio. € Jahresumsatz) in den hochkritischen Sektoren des Anhangs I. Wichtige Einrichtungen umfassen mittlere Unternehmen (mehr als 50 Beschäftigte oder mehr als 10 Mio. € Umsatz) in den Sektoren der Anhänge I oder II.

Die Richtlinie erfasst 18 Sektoren in zwei Anhängen. Anhang I (hochkritische Sektoren) umfasst: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung und Weltraum. Anhang II ergänzt: Post- und Kurierdienste, Abfallbewirtschaftung, Chemikalienherstellung und -vertrieb, Lebensmittelproduktion, Herstellung von Medizinprodukten und Elektronik, digitale Anbieter sowie Forschung.

Auch wenn Ihr Unternehmen nicht direkt einem erfassten Sektor angehört, können Sie betroffen sein, wenn Sie Produkte oder Dienste an eine wesentliche oder wichtige Einrichtung liefern. NIS2 verpflichtet erfasste Einrichtungen, dafür zu sorgen, dass auch ihre kritischen Zulieferer ein angemessenes Sicherheitsniveau einhalten — in der Praxis durch Vertragsklauseln, Sicherheitsfragebögen und Audits.

Artikel 21 der NIS2-Richtlinie legt die technischen, betrieblichen und organisatorischen Maßnahmen fest, die betroffene Einrichtungen umsetzen müssen. Diese Maßnahmen müssen dem Risikoniveau, der Größe der Einrichtung und den potenziellen Auswirkungen von Vorfällen angemessen sein. Es werden acht Kernpflichten definiert.

Erstens Governance und Leitungsverantwortung: Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und bei schwerwiegenden Verstößen persönlich haften. Zweitens Cybersicherheitsrisikomanagement: regelmäßige Risikoanalysen, Identifizierung kritischer Assets und eine dokumentierte Sicherheitsrichtlinie. Drittens Sicherheit der Lieferkette: Bewertung und Überwachung kritischer Lieferanten durch Vertragsklauseln, Sicherheitsfragebögen und Audits.

Viertens Vorfallsmanagement und 72-Stunden-Meldepflicht: Frühwarnung an das BSI innerhalb von 24 Stunden nach Erkennung eines erheblichen Vorfalls, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Fünftens Business Continuity: formalisierte und regelmäßig getestete Business-Continuity-Pläne (BCP) und Notfallwiederherstellungspläne (DRP). Sechstens Personalsicherheit: Hintergrundprüfungen für sicherheitssensible Stellen, Cybersicherheitsschulungen und sofortige Zugangsentzug beim Ausscheiden von Mitarbeitern. Siebtens Kryptografie: Verschlüsselung sensibler Daten bei der Übertragung und im Ruhezustand sowie dokumentiertes Schlüsselmanagement. Achtens Zugangssteuerung: Multi-Faktor-Authentifizierung (MFA) für kritische Systeme und eine IAM-Richtlinie auf Basis des Prinzips der minimalen Rechte.

NIS2 sieht ein deutlich schärferes Sanktionsregime als NIS1 vor. Bußgelder werden anhand des jeweils höheren Betrags aus einem festen Höchstbetrag oder einem Prozentsatz des weltweiten Jahresumsatzes berechnet. Für wesentliche Einrichtungen beträgt das Höchstbußgeld 10.000.000 € oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen sind es 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes.

Eine wesentliche Neuerung gegenüber NIS1 ist die persönliche Haftung von Führungskräften bei schwerwiegenden Verstößen gegen Cybersicherheitspflichten. Die Mitgliedstaaten können individuelle Sanktionen gegen natürliche Personen in Leitungsfunktionen wesentlicher Einrichtungen verhängen, bis hin zu einem vorübergehenden Tätigkeitsverbot. Diese Regelung soll Leitungsorgane dazu veranlassen, direkte Verantwortung für die Cybersicherheitspolitik zu übernehmen.

Das BSI verfügt über weitreichende Kontrollbefugnisse: Vor-Ort- und Fernprüfungen, Auskunftsverlangen, Anordnungen zur Mängelbeseitigung mit Fristsetzung sowie Veröffentlichung von Verstößen (Name-and-Shame). Bei wesentlichen Einrichtungen können Kontrollen proaktiv ohne vorherigen Vorfall eingeleitet werden.

Die Erreichung der NIS2-Konformität ist ein mehrstufiges Organisationsprojekt, das mehrere Monate in Anspruch nehmen kann. Der folgende Fünf-Schritte-Plan basiert auf BSI-Empfehlungen und ENISA-Leitlinien.

Schritt 1 (Monate 1-2) — Asset-Inventarisierung: Identifizieren und katalogisieren Sie alle digitalen Assets (Server, Anwendungen, Netzwerkgeräte, Arbeitsplätze, Cloud-Zugänge) und klassifizieren Sie diese nach ihrer Geschäftskritikalität. Schritt 2 (Monate 2-3) — Risikobewertung: Führen Sie eine Risikoanalyse durch, die Bedrohungen, Schwachstellen und potenzielle Auswirkungen für jeden kritischen Asset identifiziert; die BSI-Grundschutz-Methodik oder ISO 27005 sind geeignete Verfahren. Schritt 3 (Monate 3-6) — Maßnahmenumsetzung: Implementieren Sie priorisierte technische und organisatorische Maßnahmen (MFA, Verschlüsselung, Netzwerksegmentierung, Patch-Management, Datensicherung, Incident Detection) und dokumentieren Sie jede Maßnahme.

Schritt 4 (Monate 6-9) — Mitarbeiterschulungen: Sensibilisieren Sie alle Mitarbeiter für Cyberrisiken und gute Praktiken; schulen Sie IT-Teams gezielt in neuen Erkennungs- und Meldeprozessen; binden Sie die Führungsebene in Schulungen zur NIS2-Governance und Haftung ein. Schritt 5 (fortlaufend) — Audit und kontinuierliche Verbesserung: Planen Sie regelmäßige interne und externe Audits, aktualisieren Sie Ihre Risikoanalyse mindestens jährlich, testen Sie Ihren Business-Continuity-Plan durch Krisenübungen und halten Sie die Dokumentation aktuell.

Mehrere offizielle Quellen helfen Ihnen, NIS2 zu verstehen und Ihren Compliance-Prozess zu starten.

Der vollständige Text der Richtlinie (EU) 2022/2555 ist auf EUR-Lex, dem Amtsblatt der Europäischen Union, verfügbar. Das BSI (bsi.bund.de) veröffentlicht praxisnahe Handlungsempfehlungen, den IT-Grundschutz-Kompendium und aktuelle Informationen zur deutschen Umsetzung von NIS2 durch das NIS2UmsuCG. Die ENISA (Agentur der EU für Cybersicherheit) stellt technische Leitlinien und Implementierungsempfehlungen für Mitgliedstaaten und betroffene Einrichtungen bereit.

Für das Risikomanagement bietet der BSI IT-Grundschutz einen anerkannten deutschen Standard, der die Anforderungen der NIS2-Risikoanalyse erfüllt. Ergänzend können Unternehmen auf die ISO/IEC 27001-Zertifizierung setzen, die als Nachweis gegenüber Aufsichtsbehörden anerkannt wird.