NIS2 in 10 Minuten erklärt
NIS2 in 10 Minuten verstanden – Was Geschäftsführer jetzt wissen müssen
Die neue EU-Richtlinie zur Cybersicherheit ist keine abstrakte Brüsseler Bürokratie. Sie betrifft in Deutschland schätzungsweise 30.000 Unternehmen direkt – und macht die Geschäftsleitung persönlich verantwortlich.
Worum geht es?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die alte NIS-Richtlinie von 2016 ab und erweitert den Geltungsbereich massiv. In Deutschland wird sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt – konkret durch Änderungen im BSI-Gesetz (BSIG).
Wen betrifft NIS2?
Die Richtlinie unterscheidet zwei Kategorien:
- Wesentliche Einrichtungen (z. B. Energie, Trinkwasser, Gesundheit, digitale Infrastruktur) ab 250 Mitarbeitenden oder 50 Mio. € Umsatz
- Wichtige Einrichtungen (z. B. Lebensmittel, Chemie, Post, Abfallwirtschaft, Forschung) ab 50 Mitarbeitenden oder 10 Mio. € Umsatz
Hinzu kommen 18 Sektoren mit teils überraschender Reichweite. Wer zum Beispiel Maschinenbau mit IT-Anteil betreibt oder als Zulieferer in kritischen Lieferketten arbeitet, sollte genau hinsehen.
Was müssen betroffene Unternehmen tun?
Die zentralen Pflichten nach § 30 BSIG umfassen:
- Risikomanagementmaßnahmen einführen (Art. 21 NIS2) – von Zugriffskontrolle über Backups bis Incident Response
- Meldepflichten einhalten (Art. 23 NIS2): Frühwarnung binnen 24 Stunden, Erstmeldung nach 72 Stunden, Abschlussbericht nach 30 Tagen
- Registrierung beim BSI
- Schulung der Geschäftsleitung in Cybersicherheit
- Nachweispflichten – also dokumentierte Sicherheitsmaßnahmen
Der oft übersehene Punkt: Haftung
NIS2 macht die Geschäftsleitung persönlich verantwortlich für die Umsetzung der Sicherheitsmaßnahmen. Verstoße können nicht an die IT-Abteilung delegiert werden. Bußgelder reichen bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist.
Was jetzt zu tun ist
- Betroffenheit prüfen: Fällt mein Unternehmen unter NIS2? (Sektor × Größe)
- Gap-Analyse: Wo stehen wir gegenüber den Anforderungen?
- Dokumentation aufbauen: Ohne nachvollziehbare Dokumente keine Compliance
- Geschäftsleitung einbinden: Schulung und formale Verantwortungsübernahme
Fazit
NIS2 ist keine reine IT-Aufgabe. Sie verlangt ein Zusammenspiel aus Technik, Organisation und Regulatorik – genau dort, wo in vielen Unternehmen noch keine Struktur existiert. Wer jetzt strukturiert startet, vermeidet Hektik bei der nächsten Prüfung und haftungsrelevante Lücken.


