Zum Hauptinhalt springen
Informationssicherheit / NIS2

NIS-2-Richtlinie

Die EU-Richtlinie 2022/2555 zur Stärkung der Cybersicherheit in wesentlichen und wichtigen Einrichtungen.

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Cybersicherheitsrichtlinie, die im Januar 2023 in Kraft trat und die bisherige NIS-1-Richtlinie ablöste. Sie verpflichtet Mitgliedstaaten, einen einheitlichen Rechtsrahmen für Cybersicherheit umzusetzen, und erfasst deutlich mehr Unternehmen und Branchen als ihr Vorgänger. In Deutschland wurde die Richtlinie durch das NIS2UmsuCG in nationales Recht überführt.

Die Richtlinie unterscheidet zwischen „wesentlichen Einrichtungen" (Essential Entities) und „wichtigen Einrichtungen" (Important Entities). Wesentliche Einrichtungen umfassen Sektoren wie Energie, Verkehr, Gesundheit, Trinkwasser und digitale Infrastruktur, während wichtige Einrichtungen u. a. Post, Abfallwirtschaft und Lebensmittel einschließen. Die Einstufung richtet sich nach Unternehmensgröße (ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz) sowie der Kritikalität des Sektors.

Betroffene Einrichtungen müssen geeignete technische und organisatorische Maßnahmen ergreifen, Sicherheitsvorfälle melden, ein Risikomanagement etablieren und die Sicherheit in der Lieferkette berücksichtigen. Besonders hervorzuheben ist die persönliche Haftung der Geschäftsleitung: Führungskräfte können bei Pflichtverletzungen persönlich haftbar gemacht werden. Die Bußgelder betragen für wesentliche Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.

Rechtliche Grundlage

EU-Richtlinie 2022/2555 (NIS2), NIS2UmsuCG (Deutschland)

Praxisbeispiel

Ein mittelständisches Energieversorgungsunternehmen mit 120 Mitarbeitenden und einem Jahresumsatz von 25 Mio. EUR stellt im Rahmen einer NIS2-Betroffenheitsprüfung fest, dass es als wesentliche Einrichtung im Sektor Energie eingestuft wird. Das Unternehmen beauftragt daraufhin die Erstellung einer Risikoanalyse nach ISO 27005, richtet ein Incident-Response-Team ein und implementiert ein Meldeverfahren für erhebliche Sicherheitsvorfälle an das BSI. Die Geschäftsführung wird in einem Workshop über ihre persönliche Haftung nach NIS2 informiert und nimmt die Cybersicherheitsverantwortung aktiv in die Unternehmensführung auf.

Häufige Fragen

Die NIS-2-Richtlinie ist eine EU-Richtlinie (2022/2555), die Mindestanforderungen an die Cybersicherheit für wesentliche und wichtige Einrichtungen in der EU festlegt. Sie löst seit 2023 die frühere NIS-1-Richtlinie ab und erweitert den Anwendungsbereich erheblich auf neue Sektoren und Unternehmensgrößen.
NIS2 gilt für mittlere und große Unternehmen (ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz) in definierten kritischen Sektoren wie Energie, Gesundheit, Verkehr, IT und digitale Infrastruktur. Einige Einrichtungen gelten unabhängig von der Größe als betroffen, etwa Betreiber kritischer Infrastrukturen.
Betroffene Einrichtungen müssen ein Risikomanagement einführen, technische und organisatorische Sicherheitsmaßnahmen umsetzen, erhebliche Sicherheitsvorfälle melden und die Sicherheit ihrer Lieferkette gewährleisten. Zusätzlich haften Geschäftsführer persönlich für die Einhaltung dieser Pflichten.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISMS (Informationssicherheits-Managementsystem) BSI IT-Grundschutz Meldepflicht nach NIS2 NIS2-Betroffenheitsprüfung Sicherheitsvorfall (Security Incident)
Zurück zum Glossar