Startseite > Security > NIS2 – Abwarten ist keine Option

Priorisierung der Cybersicherheit

NIS2 – Abwarten ist keine Option

27. Mai 2025, 8:37 Uhr | Autor: Peter Klien / Redaktion: Diana Künstler

NIS2 gilt auf EU-Ebene bereits, trotz gescheitertem Umsetzungsgesetz. Sicherheitsverantwortliche sollten sich nicht in falscher Sicherheit wiegen: Sobald das nationale Gesetz in Kraft tritt, entfallen Übergangsfristen. Jetzt ist Handeln gefragt.

Über NIS2, die Richtlinie für Netzwerk- und Informationssicherheit in der EU, wird breit diskutiert. Das Scheitern des deutschen Umsetzungsgesetzes in der letzten Legislaturperiode mag manchem Sicherheitsverantwortlichen die Illusion geben, Zeit für die Implementierung zu gewinnen. Diese Wahrnehmung täuscht. NIS2 gilt bereits auf EU-Ebene und sobald das nationale Gesetz in Kraft tritt, sind Übergangsfristen passé...

Mit der „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz und Informationssystemen“ ist die EU im Jahr 2016 angetreten, um die Cybersicherheit kritischer Infrastrukturen auf nationaler Ebene zu verbessern. Seither haben sich die Rahmenbedingungen vehement verändert. Die fortschreitende Digitalisierung sowie die zunehmende Anzahl und Komplexität von Cyberangriffen machten eine robustere und umfassendere Regelung erforderlich. Das Ergebnis ist die NIS2-Richtlinie, die bereits im Januar 2023 auf EU-Ebene in Kraft getreten ist.

Im Oktober 2024 ist die Frist, die NIS2-Richtlinie in nationales Recht umzusetzen, abgelaufen. Zwar wurde der Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) im Bundeskabinett im Juli 2024 beschlossen, aber nicht mehr verabschiedet. Mit der Schaffung des Bundesministeriums für Digitales und Staatsmodernisierung wird der Umsetzung der Richtlinie eine hohe Priorität beigemessen. Auch wenn dazu eine ganze Reihe bestehender Gesetze geändert werden müssen, so wird dennoch eine zeitnahe Verabschiedung erwartet – und das nicht nur aufgrund der möglichen Folgen des Vertragsverletzungsverfahrens der EU gegen Deutschland, sondern auch wegen der Notwendigkeit, Klarheit für die betroffenen Unternehmen zu schaffen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Vielfältige Regelungen

Tatsächlich macht es für Unternehmen, Organisationen und Behörden kaum einen Sinn, die Verabschiedung des Umsetzungsgesetztes abzuwarten, um die notwendigen Maßnahmen einzuleiten. Zum einen beinhaltet NIS2 vielfältige Maßnahmen und Vorgehensweisen, die bereits durch andere Gesetze, Vorschriften und Richtlinien Gültigkeit haben, zum anderen gilt die NIS2-Richtlinie auf EU-Ebene bereits, und es gibt keine Übergangsfristen mehr, sobald das nationale Gesetz in Kraft tritt. Bei Nichteinhaltung drohen empfindliche Sanktionen einschließlich Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Aber nicht nur NIS2 meint es ernst mit der Durchsetzung von Forderungen an Unternehmen. Daneben gibt es eine Reihe weiterer Gesetze und Richtlinien im Bereich der Cybersicherheit, die sich teilweise mit NIS2 überschneiden, aber spezifischere Anwendungsbereiche oder Ziele verfolgen.

Die Datenschutz-Grundverordnung (DSGVO) hat primär den Schutz personenbezogener Daten im Fokus, aber Sicherheitsaspekte sind integraler Bestandteil der Verordnung (Artikel 32). Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Die Meldepflichten bei Datenschutzverletzungen ähneln den Meldepflichten unter NIS2.
Die Critical Entities Resilience (CER) Directive (Richtlinie (EU) 2022/2557) ist eine EU-weite Gesetzgebung, die darauf abzielt, die Widerstandsfähigkeit kritischer Einrichtungen gegenüber einer Reihe von Bedrohungen zu stärken, die die Erbringung wesentlicher Dienstleistungen beeinträchtigen könnten. Das Ziel ist Stärkung der physischen und operationellen Widerstandsfähigkeit von Organisationen, die für die Aufrechterhaltung wesentlicher Dienstleistungen in der EU unerlässlich sind. Deutschland muss die CER-Richtlinie ebenfalls in nationales Recht umsetzen. Derzeit laufen die Vorbereitungen dafür. Es ist wichtig für Unternehmen, die potenziell als kritische Einrichtungen eingestuft werden könnten, sich frühzeitig mit den Anforderungen der CER-Richtlinie auseinanderzusetzen.
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) ist die aktuelle nationale Umsetzung der ursprünglichen NIS-Richtlinie (NIS1) in Deutschland. Mit der Umsetzung von NIS2 wird das IT-Sicherheitsgesetz 2.0 entsprechend angepasst und abgelöst werden.
Das KRITIS-Dachgesetz (KRITIS-DachG) dient der Umsetzung der CER-Richtlinie in Deutschland und regelt die Resilienz kritischer Infrastrukturen gegenüber physischen und operationellen Bedrohungen. Es wird voraussichtlich in enger Abstimmung mit der NIS2-Umsetzung erfolgen.
In verschiedenen Branchen gibt es spezifische Gesetze und Verordnungen, die ebenfalls Anforderungen an die Cybersicherheit stellen können, z.B. im Telekommunikationsgesetz (TKG) oder im Energiewirtschaftsgesetz (EnWG) für Betreiber kritischer Infrastrukturen in diesen Bereichen.

Die Cybersicherheitslandschaft ist für Unternehmen komplex und umfasst eine Reihe von Gesetzen und Richtlinien auf EU- und nationaler Ebene. NIS2 ist nicht mehr oder weniger als ein zentraler Baustein, aber Unternehmen müssen auch andere relevante Vorschriften wie den CRA, DORA, die DSGVO und die CER-Richtlinie sowie die nationale Gesetzgebung im Blick behalten, um umfassend sicher und compliant zu sein. Es ist ratsam, eine integrierte Compliance-Strategie zu entwickeln, die alle relevanten Anforderungen berücksichtigt.

Wer ist betroffen?

Für Unternehmen und Organisationen mögen sich in Bezug auf die Erfüllung der Anforderungen an die Cybersicherheit zwei Fragen stellen. Die nächstliegende ist: Ist meine Organisation von den geltenden oder zu erwartenden Vorschriften betroffen? Die andere naheliegende könnte sein, ob die Einhaltung der Vorschriften nicht auch dann für die Aufrechterhaltung des Unternehmensprozesses sinnhaft sein könnte, selbst wenn es nicht unter die Vorschriften fällt.

Die Zahl der Unternehmen, die unter die KRITIS-Regulierung fallen, liegt derzeit in Deutschland bei etwa 1.900. Im Sinne der Definition zählen dazu Organisationen und Einrichtungen aus den Sektoren Energie, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Medien und Kultur, Staat und Verwaltung, Gesundheit sowie Informationstechnik und Telekommunikation.

Die Anzahl der Unternehmen, die in Deutschland unter die NIS2-Richtlinie fallen, wird auf etwa 30.000 geschätzt. Diese Zahl beinhaltet sowohl die bisherigen KRITIS-Betreiber als auch viele mittelgroße und große Unternehmen aus 18 festgelegten Sektoren, die neu in den Anwendungsbereich fallen. Die genaue Abgrenzung hängt von der finalen nationalen Umsetzung der NIS2-Richtlinie in Deutschland ab, die derzeit noch aussteht.

Unternehmen müssen folglich selbst prüfen, ob sie die Kriterien erfüllen:

Gehört das Unternehmen einem der in den Anhängen der NIS2-Richtlinie genannten Sektoren an? Diese umfassen „besonders wichtige“ und „wichtige“ Sektoren wie Energie, Transport, Gesundheitswesen, digitale Infrastruktur, Finanzwesen, etc.
Überschreitet das Unternehmen bestimmte Schwellenwerte bezüglich Mitarbeiterzahl und Umsatz/Bilanzsumme? Bei besonders wichtigen Sektoren gibt es keine generellen Größenschwellenwerte. Unternehmen in diesen Sektoren können unabhängig von ihrer Größe betroffen sein, wenn sie einen wesentlichen Dienst erbringen. Bei wichtigen Einrichtungen sind in der Regel Unternehmen betroffen, die die Schwellenwerte für mittlere Unternehmen überschreiten, wie mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz.

Es existiert keine formale „Betroffenheitsanfrage“, aber es gibt eine Reihe von Hilfsmitteln, die dazu dienen können, den eigenen Status zu ermitteln. Dazu gehören etwa ein Entscheidungsbaum auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder Online-Angebote von Beratungsunternehmen.

Was ist zu tun?

Unternehmen und Organisationen müssen sich unabhängig von NIS2 darüber im klaren sein, dass es keine Frage ist, ob, sondern wann es sie erwischt. Globale Schadensschätzungen wie 10,5 Billionen US Dollar weltweit für 2025 erscheinen eher galaktisch als real. Selbst die Research-Ergebnisse des Bitkom, die bei weit über 260 Milliarden allein für Deutschland liegen, sind für die meisten Unternehmen kaum fassbar. Nur stecken dahinter tatsächliche Ereignisse, die jede Organisation täglich ereilen könnten.

Geschäftsführer sind gut beraten, sich ernsthaft mit der Frage des Sicherheitsniveaus ihrer Organisation zu beschäftigen, weil sie bei einer Nichteinhaltung selbst haftbar gemacht werden können. Die Einführung eines umfassenden Risikomanagements ist folgerichtig ein zentraler Pfeiler neben der Implementierung angemessener und verhältnismäßiger technischer, operationeller und organisatorischer Maßnahmen nach dem Stand der Technik.

Das beinhaltet die Entwicklung und Implementierung von Strategien zur Aufrechterhaltung des Betriebs und zur Wiederherstellung nach Sicherheitsvorfällen und umfasst Backup-Management, Notfallpläne und Krisenmanagementverfahren. NIS2 verlangt zudem die Implementierung von Maßnahmen zur Überwachung ihrer Netz- und Informationssysteme inklusive der Erkennung und Analyse von Sicherheitsvorfällen und eine geeignete Reaktion darauf. Das ist mit eigenen Ressourcen für die wenigsten Unternehmen zu stemmen.

Tatsächlich wird es zukünftig darauf hinauslaufen müssen, für die Erfüllung der Pflichten sowie für die Sicherstellung der eigenen Geschäftstätigkeit externe Partner einzubinden, die über das notwendige Know-how sowie das Personal verfügen, um einen sicheren Betrieb zu garantieren. Ein 24/7 Security Operations Center (SOC) ist zwar nicht explizit als zwingender Bestandteil in der NIS2-Richtlinie aufgeführt wird, aber wird für die meisten Unternehmen ein sehr effektives Mittel sein, um viele der Anforderungen zu erfüllen.

Letztlich sollten Unternehmen Regularien wie NIS2 nicht als Zwang begreifen, den es zu erfüllen gilt, sondern als Chance, in einem immer komplexeren Umfeld aus Angreifern zumindest gut gerüstet zu sein. Es steht zu erwarten, dass ein gesteigertes Budget im neuen Digitalministerium etwa auch der Ausbildung von entsprechenden Fachkräften und Förderprogrammen dient. Die Verbesserung der politischen Rahmenbedingungen verspricht, den Druck von den Unternehmen zumindet partiell zu lindern. Das ändert allerdings an der eigenen Verantwortlichkeit.

Peter Klien ist Strategic Account Manager bei Sonicwall und Mitglied der Bundesfachkommission Cybersicherheit Deutschland sowie der Landesfachkommission für Digitalisierung und Cybersicherheit Baden-Württemberg.