Einordnung: Relevanz der NIS2-Richtlinie
Mit der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (kurz: NIS2) verfolgt die Europäische Union das Ziel, die Widerstandsfähigkeit gegenüber Cyberbedrohungen sektorübergreifend zu erhöhen. Die Richtlinie ersetzt die bisher geltende NIS1-Richtlinie und erweitert deren Anwendungsbereich erheblich. Neben klassischen Betreibern kritischer Infrastrukturen (KRITIS) werden künftig zahlreiche weitere Unternehmen verpflichtet, umfassende Maßnahmen zur Informationssicherheit umzusetzen.
Der Fokus der Regelungen liegt auf einem risikobasierten Sicherheitsmanagement, einheitlichen Meldepflichten bei Vorfällen sowie klaren organisatorischen Verantwortlichkeiten. Die Bedeutung der Richtlinie ergibt sich nicht allein aus der Ausweitung auf neue Branchen und Unternehmensgrößen, sondern auch aus der zunehmenden Vernetzung und Digitalisierung zentraler Versorgungs- und Wertschöpfungsprozesse.
Aktueller Stand der Umsetzung in Deutschland
Die Frist zur nationalen Umsetzung der NIS2-Richtlinie endete am 17. Oktober 2024. Trotz dieser klaren Vorgabe liegt bislang kein verabschiedetes Umsetzungsgesetz in Deutschland vor. Zwar wurde im Mai 2024 ein erster Referentenentwurf durch das Bundesinnenministerium veröffentlicht, das Gesetzgebungsverfahren ist jedoch weiterhin nicht abgeschlossen. Derzeit laufen noch Ressortabstimmungen sowie Konsultationen mit Ländern, Fachverbänden und der Wirtschaft.
Deutschland befindet sich damit in Verzug – während andere EU-Mitgliedstaaten, darunter Frankreich, Dänemark oder die Niederlande, ihre nationalen Regelungen bereits vollständig umgesetzt oder weit vorangetrieben haben. Für betroffene Unternehmen bedeutet dies eine anhaltende Rechtsunsicherheit hinsichtlich der konkreten Anforderungen und Fristen. Es ist jedoch davon auszugehen, dass die wesentlichen Vorgaben der NIS2-Richtlinie im nationalen Recht weitgehend übernommen werden. Eine frühzeitige inhaltliche Auseinandersetzung mit den Pflichten bleibt daher dringend zu empfehlen.
Adressatenkreis: Ausweitung des Anwendungsbereichs
Ein zentrales Merkmal der NIS2-Richtlinie ist die deutliche Ausweitung des Anwendungsbereichs. Betroffen sind künftig nicht nur Betreiber kritischer Infrastrukturen, sondern auch sogenannte „wichtige Einrichtungen“. Maßgeblich für die Einordnung sind dabei sowohl branchenspezifische Kriterien als auch Unternehmenskennzahlen.
Zu den erfassten Sektoren zählen unter anderem:
- Energieversorgung (Erzeugung, Transport, Verteilung)
- Informations- und Kommunikationstechnologie
- Transportwesen (Straße, Schiene, Luft, Wasser)
- Gesundheitsversorgung und Arzneimittelherstellung
- Finanz- und Versicherungswesen
- öffentliche Verwaltung auf zentraler und Landesebene
- Abfall- und Abwasserwirtschaft
- Digitale Dienste (z. B. Cloud, Hosting, Rechenzentren)
Grundsätzlich gelten Schwellenwerte von mindestens 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Auch kleinere Unternehmen können betroffen sein, wenn sie systemrelevant sind oder Dienste für kritische Einrichtungen erbringen. Damit rückt eine Vielzahl bislang nicht regulierter Organisationen in den Anwendungsbereich.
Inhaltliche Anforderungen: Pflichten aus der NIS2-Richtlinie
Die NIS2-Richtlinie verpflichtet betroffene Einrichtungen zur Einführung und Aufrechterhaltung eines strukturierten Risikomanagements im Bereich der Informationssicherheit. Die Anforderungen umfassen unter anderem:
- Identifikation und Bewertung relevanter Sicherheitsrisiken
- Implementierung technischer und organisatorischer Schutzmaßnahmen
- Notfallmanagement und Wiederherstellungsprozesse
- Sicherheit in der Lieferkette, insbesondere bei IT-Dienstleistern
- Pflicht zur Meldung erheblicher Sicherheitsvorfälle (innerhalb von 24 Stunden)
- Sicherheitsbewusstsein und Schulung von Mitarbeitenden
Besonders hervorzuheben ist, dass die Verantwortung auf Ebene der Unternehmensleitung angesiedelt ist. Geschäftsführung und Vorstand werden explizit in die Pflicht genommen, geeignete Maßnahmen zur Sicherstellung der Cybersicherheit zu implementieren und zu überwachen. Auch haftungsrechtliche Aspekte werden durch die Richtlinie verschärft.
Die inhaltlichen Überschneidungen mit bestehenden Regelwerken – etwa der DSGVO, dem IT-Sicherheitsgesetz 2.0 oder internationalen Standards wie ISO/IEC 27001 – sind beträchtlich. Gleichwohl erfordert die NIS2-Richtlinie eine eigenständige Auseinandersetzung, da sie zusätzliche, insbesondere sektorübergreifende Anforderungen enthält und neue Berichtspflichten normiert.
Zusammenfassung: Handlungsbedarf trotz fehlender Umsetzung
Auch wenn das deutsche Umsetzungsgesetz derzeit noch nicht verabschiedet ist, entfaltet die Richtlinie bereits Wirkung. Spätestens ab Ablauf der Umsetzungsfrist am 17. Oktober 2024 wird die EU-Vorgabe unmittelbar relevant, insbesondere im Fall grenzüberschreitender Sachverhalte oder Aufsichtsmaßnahmen. Derzeit wird mit einer Verabschiedung des Gesetzes im Herbst 2025 gerechnet, wodurch sich die nationale Rechtslage voraussichtlich bald konkretisieren wird.
Unternehmen, die voraussichtlich unter den Anwendungsbereich der Richtlinie fallen, sollten die Verzögerung im Gesetzgebungsverfahren nicht als Spielraum für Untätigkeit interpretieren. Eine frühzeitige Bestandsaufnahme der eigenen Sicherheitsarchitektur, eine Zuordnung von Verantwortlichkeiten sowie die Vorbereitung auf Melde- und Dokumentationspflichten sind bereits jetzt zielführend. Die Anforderungen an die Informationssicherheit entwickeln sich zunehmend zu einem allgemeinen Standard betrieblicher Compliance – unabhängig von der sektorspezifischen Regulierung.
Kommen Sie bei Fragen dazu gerne auf uns zu – wir stehen Ihnen für weitergehende Informationen und Unterstützung zur Verfügung.
Folgende Beiträge könnten Sie auch interessieren: