NIS2 in 10 Minuten erklärt


NIS2 in 10 Minuten verstanden – Was Geschäftsführer jetzt wissen müssen

Die neue EU-Richtlinie zur Cybersicherheit ist keine abstrakte Brüsseler Bürokratie. Sie betrifft in Deutschland schätzungsweise 30.000 Unternehmen direkt – und macht die Geschäftsleitung persönlich verantwortlich.

Worum geht es?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die alte NIS-Richtlinie von 2016 ab und erweitert den Geltungsbereich massiv. In Deutschland wird sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt – konkret durch Änderungen im BSI-Gesetz (BSIG).

Wen betrifft NIS2?

Die Richtlinie unterscheidet zwei Kategorien:

  • Wesentliche Einrichtungen (z. B. Energie, Trinkwasser, Gesundheit, digitale Infrastruktur) ab 250 Mitarbeitenden oder 50 Mio. € Umsatz
  • Wichtige Einrichtungen (z. B. Lebensmittel, Chemie, Post, Abfallwirtschaft, Forschung) ab 50 Mitarbeitenden oder 10 Mio. € Umsatz

Hinzu kommen 18 Sektoren mit teils überraschender Reichweite. Wer zum Beispiel Maschinenbau mit IT-Anteil betreibt oder als Zulieferer in kritischen Lieferketten arbeitet, sollte genau hinsehen.

Was müssen betroffene Unternehmen tun?

Die zentralen Pflichten nach § 30 BSIG umfassen:

  1. Risikomanagementmaßnahmen einführen (Art. 21 NIS2) – von Zugriffskontrolle über Backups bis Incident Response
  2. Meldepflichten einhalten (Art. 23 NIS2): Frühwarnung binnen 24 Stunden, Erstmeldung nach 72 Stunden, Abschlussbericht nach 30 Tagen
  3. Registrierung beim BSI
  4. Schulung der Geschäftsleitung in Cybersicherheit
  5. Nachweispflichten – also dokumentierte Sicherheitsmaßnahmen

Der oft übersehene Punkt: Haftung

NIS2 macht die Geschäftsleitung persönlich verantwortlich für die Umsetzung der Sicherheitsmaßnahmen. Verstoße können nicht an die IT-Abteilung delegiert werden. Bußgelder reichen bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist.

Was jetzt zu tun ist

  • Betroffenheit prüfen: Fällt mein Unternehmen unter NIS2? (Sektor × Größe)
  • Gap-Analyse: Wo stehen wir gegenüber den Anforderungen?
  • Dokumentation aufbauen: Ohne nachvollziehbare Dokumente keine Compliance
  • Geschäftsleitung einbinden: Schulung und formale Verantwortungsübernahme

Fazit

NIS2 ist keine reine IT-Aufgabe. Sie verlangt ein Zusammenspiel aus Technik, Organisation und Regulatorik – genau dort, wo in vielen Unternehmen noch keine Struktur existiert. Wer jetzt strukturiert startet, vermeidet Hektik bei der nächsten Prüfung und haftungsrelevante Lücken.