Neue EU-Direktive: Was ist NIS-2?

Die NIS-2-Richtlinie ist eine aktualisierte Version der NIS-1-Richtlinie und wurde eingeführt, um die Netz- und Informationssicherheit in der EU zu verbessern. Sie berücksichtigt die rasanten digitalen Entwicklungen und ist für ein breiteres Spektrum von Branchensektoren relevant. Die neue Richtlinie sollte in Deutschland ab dem 17.10.2024 wirksam werden. Doch die EU-Umsetzungsfrist wurde verfehlt.Das Bundeskabinett hat im Juli den Regierungsentwurf zum NIS2-Umsetzungsgesetz (NIS2UmsuCG) nun beschlossen und am 15. August 2025 wurde der Entwurf dem Bundesrat zugeleitet.

Es ist geplant, dass er Erlass bis Ende 2025 gültig wird. Zuständige Aufsichtsbehörde wird in Deutschland das BSI sein. Betroffene Organisationen sind bis zu diesem Zeitpunkt verpflichtet, sich auf Änderungen vorzubereiten und Compliance gewährleisten. Unternehmen, die die Richtlinie missachten, drohen hohe Bußgelder. Es ist daher wichtig, die Anforderungen sowie die Herausforderungen im Bereich der Cybersicherheit genau zu verstehen.

Wir haben die wichtigsten Informationen auf 9 Fakten zusammengefasst:

Fakt 1: NIS-2 ist eine EU-Strategie für mehr Cybersicherheit

Die Notwendigkeit einer neuen Regelung für Sicherheit von Informationssystemen und Netzwerken kann aus verschiedenen Blickwinkeln betrachtet werden. Uns allen ist aber klar: Bei einem durch Cyberkriminalität entstehenden Schaden in Höhe von schätzungsweise rund 206 Milliarden Euro pro Jahr muss ein verpflichtender Mindeststandard zum Schutz kritischer und systemrelevanter Netzwerke und Systeme eingeführt werden. Besonders aufgrund einer zunehmenden Digitalisierung unserer Arbeitswelt - überwiegend beim Datenaustausch - sehen wir uns immer häufiger mit digitalen Bedrohungen, wie bspw. Phishing oder Ransomware, konfrontiert.

Die neue Richtlinie NIS-2 bildet einen entscheidenden Rahmen für mehr Cybersicherheit. Sie dient daher nicht nur als Lösungsansatz, indem sie als präventive Abwehrmaßnahme von Cyberangriffen und deren Bedrohungen fungiert, sondern bietet auch effektive Abwehrmethoden und Sicherheitsvorkehrungen.

Fakt 2: Mehrere Unternehmen sind nun in der Pflicht

Die NIS-2-Richtlinie hat den Anwendungsbereich im Vergleich zur ursprünglichen NIS-1-Richtlinie deutlich erweitert. Die NIS-2-Richtlinie gilt für mittlere und große Unternehmen in insgesamt 18 Sektoren, darunter Energie, Verkehr, Gesundheitswesen, Trink- und Abwasser, digitale Infrastrukturen, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, Raumfahrt, Chemie sowie Anbieter digitaler Dienste. Grundsätzlich greift die Richtlinie ab 50 Beschäftigten und 10 Millionen Euro Umsatz oder Bilanzsumme, wobei bestimmte Ausnahmen unabhängig von der Größe gelten können. In Deutschland betrifft dies mehr als 30.000 Unternehmen und Einrichtungen. 

Zwischen „besonders wichtigen“ (Essential) und „wichtigen“ (Important) Einrichtungen besteht kein Unterschied bei den inhaltlichen Anforderungen, sondern nur bei der Art der Aufsicht. Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht durch das BSI, während wichtige Einrichtungen in der Regel nur reaktiv nach Vorfällen kontrolliert werden.

Fakt 3: Einer für Alle und Alle für Einen - Mehr Transparenz und Zusammenarbeit innerhalb der EU

Die Erweiterung des Anwendungsbereichs zielt darauf ab, eine größere Anzahl von Unternehmen in die Pflicht zu nehmen, robustere Sicherheitsmaßnahmen gegen Cyberangriffe und -bedrohungen zu implementieren und dadurch das allgemeine Sicherheitsniveau der Netz- und Informationssysteme in der EU zu erhöhen.

Der neue EU-Rechtsakt NIS-2 verschärft die Sicherheitsanforderungen an Netz- und Informationssysteme. Sie verlangt von Unternehmen angemessene technische und organisatorische Maßnahmen zur Risikobewältigung und wirksame Prozesse zur Reaktion auf Sicherheitsvorfälle. Zudem fordert sie regelmäßige Überprüfungen und Aktualisierungen der Sicherheitsmaßnahmen. Sie unterstützt Transparenz und Zusammenarbeit zwischen EU-Mitgliedstaaten, wobei Unternehmen ernsthafte Sicherheitsvorfälle melden müssen. Das fördert die schnelle Erkennung von Bedrohungen und bessere Koordinierung der Sicherheitsmaßnahmen in der gesamten EU. Kleinere Unternehmen und Mitgliedstaaten können so von den Erfahrungen und Unterstützung der größeren profitieren.

Meldepflichten nach NIS-2 in Deutschland: Unternehmen müssen schwerwiegende Sicherheitsvorfälle in drei Stufen an das BSI melden. Innerhalb von 24 Stunden ist eine erste Frühwarnung abzugeben, innerhalb von 72 Stunden ein ausführlicher Bericht mit Details und möglichen Gegenmaßnahmen. Spätestens nach einem Monat folgt ein Abschlussbericht mit Ursachenanalyse und Lessons Learned.

Fakt 4: Der neuste Stand der Technik wird beachtet

Die NIS-2-Richtlinie berücksichtigt auch die neuesten technologischen Entwicklungen und die sich konstant verändernde Bedrohungslandschaften. Beispielsweise wurden Vorschriften in Bezug auf neue Technologien wie Künstliche Intelligenz und das Internet der Dinge aufgenommen. Das Ziel ist es, sicherzustellen, dass die Unternehmen auf dem neuesten Stand der Technik bleiben und gleichzeitig ihre Netz- und Informationssysteme gegen alle Arten von Bedrohungen abgesichert sind.

Als Ergebnis sind betroffene Unternehmen dazu verpflichtet, sich mit diesen neuen Technologien auseinanderzusetzen, sich mit den damit verbundenen Risiken vertraut zu machen und geeignete Maßnahmen zur Risikobewältigung und -reduzierung zu treffen.

Fakt 5: Bei Verstoßen wird es teuer!

Die NIS-2-Richtlinie sieht hohe Strafen für Nichtbeachtung vor. Verstöße gegen die NIS-2-Richtlinie können erhebliche finanzielle Folgen haben. Für besonders wichtige Einrichtungensieht der Bußgeldrahmen Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen gilt ein reduzierter Rahmen von bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Die Einhaltung der Vorschriften wird in Deutschland durch das BSI überwacht.

Ein Verstoß kann jedoch nicht nur finanzielle Folgen haben, sondern auch zum Verlust des Vertrauens der Kunden führen.

Fakt 6: NIS-2 hat Parallelen zur DSGVO

Sowohl NIS-2 als auch die Datenschutz-Grundverordnung (DSGVO) unterstreichen die Notwendigkeit für Organisationen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um Sicherheitsrisiken zu minimieren. So betonen beide Verordnungen die Bedeutung von Datenschutz und Cybersicherheit, fordern Organisationen zur Compliance auf und verhängen bei Nichtbefolgung der Regelungen erhebliche Strafen.

Während die DSGVO mit dem Schutz personenbezogener Daten eine breitere Palette von Organisationen betrifft, ist NIS-2 mit ihrem spezifischerem Anwendungsbereich eher weniger bekannt. Doch bei genauerer Betrachtung, lassen sich wesentliche Parallelen finden, die die Wichtigkeit und Relevanz von NIS-2 klar herausstechen lässt:

• Als Folge einer immer stärker digitalisierten Gesellschaft und Wirtschaft schützen beide Richtlinien strategisch und wirtschaftliche Datenbestände und Informationsnetzwerke.

• Bei beiden Richtlinien wurde ein mehrstufiger Einführungsprozess verfolgt und es waren sowohl EU-Institutionen, die Mitgliedsstaaten als auch verschiedene Interessengruppen aktiv eingebunden. In einem offenen Dialog mit Wirtschaft, Zivilgesellschaft und öffentlicher Hand wurden beide Regularien entwickelt und angepasst.

• Beide Verordnungen setzen einen hohen Stellenwert auf Compliance und die Einführung von Sanktionen bei Verstößen.
  
  

Fakt 7: Ende-zu-Ende Verschlüsselung ist ein entscheidender Faktor für NIS-2-Compliance

Ende-zu-Ende-Verschlüsselung (E2EE) bzw. clientseitige Verschlüsselung ist ein wichtiger Sicherheitsmechanismus zum Schutz unserer digitalen Kommunikation, bspw. via E-Mail. Sie gewährleistet, dass nur die kommunizierenden User - und niemand sonst - die Informationen entschlüsseln und lesen können. Dies erhöht die Datensicherheit und schützt die Informationen vor unerlaubtem Zugriff oder Manipulation während der Übertragung.

Gemäß den Anforderungen der NIS-2-Richtlinie muss eine Organisation Maßnahmen ergreifen, um ihre Systeme und Netzwerke vor solchen Risiken zu schützen. Die Verschlüsselung spielt dabei eine entscheidende Rolle, da sie verhindert, dass sensible Daten während der Übertragung aufgedeckt oder gestohlen werden, wie bspw. über Phishing. Eine Ende-zu-Ende Verschlüsselung sollte daher zentraler Bestandteil jeder ernsthaften Datenschutzstrategie sein.

Fakt 8: Mehrere Faktoren verbessern die Sicherheit beim Account-Login

Ein weiteres unerlässliches Schlüsselelement für die Einhaltung der NIS-2-Richtlinie ist die Implementierung einer Multifaktor-Authentifizierung (MFA). MFA ist ein Sicherheitssystem, das mehr als eine Verifizierungsmethode verwendet, um die Identität des Benutzers zu bestätigen. Dabei gibt es viele Wege zur digitalen Authentifizierung, aber im Kern drehen sich alle um 3 Kernfaktoren:

1. Etwas, das man hat - wie bspw. einen Hardware-Token in Form eines USB-Sticks
2. Etwas, das man ist - wie die unverwechselbare Biometrie (Face ID, Touch ID)
3. Etwas, das man weiß - wie ein Passwort oder eine PIN

MFA stellt somit eine erweiterte Sicherheitsmaßnahme dar, die dabei hilft, Systeme effektiver vor unberechtigtem Zugriff zu schützen. In Übereinstimmung mit der NIS-2-Richtlinie sind Organisationen angehalten, MFA-Verfahren zu implementieren und zu warten. Dies gewährleistet einen höheren Schutz der von ihnen betreuten Netzwerk- und Informationssysteme. Durch die Erfüllung dieser Anforderung können Organisationen das Risiko von Datenschutzverletzungen und Datenklau minimieren und die Einhaltung der NIS-2-Vorschriften gewährleisten.

Fakt 9: NIS-2 hat erhebliche Auswirkungen auf bestehende Regularien

Die NIS-2-Richtlinie wird voraussichtlich erhebliche Auswirkungen auf bestehende und zukünftige Regularien in der gesamten EU haben. Behörden, Organisationen und Unternehmen müssen sicherstellen, dass sie über ein fundiertes Verständnis der neuen Richtlinie und ihrer Anforderungen verfügen, um die Einhaltung sicherzustellen. Darüber hinaus könnte die NIS-2-Richtlinie die Art und Weise verändern, wie Organisationen ihre Cybersicherheitsstrategien planen und umsetzen (müssen).

In Deutschland wird die EU-Verordnung in Form des NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Es ist geplant, dass verschiedene Anforderungen aus dem NIS2UmsuCG durch eine oder mehrere Rechtsverordnungen konkretisiert und im Einklang mit dem neuen KRITIS-Dachgesetz definiert werden. Beide neuen Gesetze werden die bestehende KRITIS-Regulierung in Deutschland ablösen, die Resilienz und physische Sicherheit Kritischer Infrastrukturen regulieren und für mehr Cybersicherheit im deutschen Cyberraum sorgen.

Es steht außerdem schon fest, dass inhaltliche Veränderungen am Telekommunikationsgesetz vorgenommen, sowie das Energiewirtschaftsgesetz und der Energie-Sicherheitskatalog aktualisiert werden müssen. 

Worauf es jetzt ankommt

NIS-2 wird als ein wichtiger Bestandteil der fortschrittlichen EU-Cybersicherheitsinitiativen die IT-Sicherheit in Europa wesentlich verbessern und wird als erstes EU-Gesetz überhaupt nicht nur KRITIS-Unternehmen betreffen. In Deutschland sind schätzungsweise mehr als 30.000 Unternehmen betroffen. Diese müssen ihre Daten jetzt schützen und sicherstellen, dass sie den Compliance-Standards von NIS-2 entsprechen.

Als zentraler & zertifizierter Speicherort mit Zero-Trust-Prinzipien und einfachem Dateiaustausch ohne Umwege bieten wir Ihnen eine schnelle und einfach integrierbare Cloud-Lösung, mit der Sie entspannt auf die Erfüllung von NIS-2 Anforderungen in Ihrer Organisation blicken können. Ihre Daten sind bei uns nachweislich so sicher wie nur möglich und lassen sich im Arbeitsalltag gleichzeitig intuitiv und bequem verwalten.

Benutzerfreundlichkeit ist natürlich eine subjektive Erfahrung. Überzeugen Sie sich gerne selbst und testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Häufig gestellte Fragen zu NIS-2