NIS2 für Unternehmen: Was Geschäftsführer jetzt wissen müssen

Die NIS2-Richtlinie der EU ist seit Oktober 2024 durch das NIS2-Umsetzungsgesetz deutsches Recht. Was viele Geschäftsführer noch nicht wissen: Die Pflichten gelten nicht nur für Konzerne und Behörden. Mittelständische Unternehmen in einer Reihe von Sektoren sind direkt betroffen, und wer die Schwellen nicht erreicht, kann trotzdem über die Lieferkette in die Pflicht genommen werden. Dieser Artikel erklärt, wen NIS2 trifft, was konkret umzusetzen ist und warum die persönliche Haftung der Geschäftsführung kein juristisches Randproblem ist.

Wen NIS2 trifft: Schwellenwerte und Sektoren

NIS2 unterscheidet zwei Kategorien betroffener Einrichtungen.

Besonders wichtige Einrichtungen sind Organisationen in Hochrisiko-Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser und digitale Kerninfrastruktur. Für diese gelten die strengsten Anforderungen und aktivere Aufsicht durch das BSI.

Wichtige Einrichtungen umfassen weitere Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, Forschung, digitale Dienste und weitere. Hier gelten dieselben Pflichtmaßnahmen, aber die Aufsicht ist reaktiver.

Für beide Kategorien gilt der Größenschwellenwert: mindestens 50 Mitarbeitende oder mindestens 10 Millionen Euro Jahresumsatz. Wer darunter liegt, fällt in der Regel nicht direkt unter NIS2.

Auch unterhalb der Schwellen: die Lieferketten-Falle

Das NIS2-Umsetzungsgesetz verpflichtet betroffene Unternehmen ausdrücklich, die Sicherheit ihrer Lieferkette zu gewährleisten. Das bedeutet: Wer als IT-Dienstleister, Softwarelieferant, Cloud-Anbieter, Reinigungsunternehmen mit Gebäudezugang oder externer Wartungsdienstleister für ein NIS2-pflichtiges Unternehmen tätig ist, kann vertraglich zur Einhaltung bestimmter Sicherheitsstandards verpflichtet werden.

In der Praxis sieht das so aus: Ein mittelständischer IT-Dienstleister mit 35 Mitarbeitenden betreut einen Energie-Versorger. Der Energie-Versorger ist NIS2-pflichtig und muss seine Lieferkette absichern. Der IT-Dienstleister bekommt Sicherheitsanforderungen als Vertragsbestandteil, ohne selbst unter NIS2 zu fallen.

Wer solche Kunden hat oder gewinnen will, kommt an den NIS2-Maßnahmen nicht vorbei.

Die zehn Pflichtmaßnahmen

NIS2 definiert zehn technische und organisatorische Maßnahmen, die betroffene Einrichtungen nachweisbar umsetzen müssen. Die Behörden fragen nicht, ob Sie planen, etwas zu tun. Sie fragen, ob Sie es getan haben und wo der Nachweis dafür ist.

1. 1
   Risikoanalyse und IT-Sicherheitskonzept
   Systematische Erfassung aller IT-Risiken im Unternehmen: Welche Systeme sind geschäftskritisch? Was passiert bei deren Ausfall oder Kompromittierung? Die Risikoanalyse ist kein Einmal-Dokument, sondern muss regelmäßig aktualisiert werden, mindestens jährlich oder bei wesentlichen Änderungen.
2. 2
   Incident Response und Meldeverfahren
   Schriftlicher Plan, wer bei einem Sicherheitsvorfall was tut und in welcher Reihenfolge. Wer meldet intern? Wer meldet ans BSI? Wer kommuniziert mit betroffenen Kunden oder Partnern? Der Plan muss bekannt sein und regelmäßig geübt werden.
3. 3
   Business Continuity Management
   Wie läuft das Unternehmen weiter, wenn kritische IT-Systeme ausfallen? Backup-Systeme, Ausweichverfahren, dokumentierte Wiederherstellungszeiten. Nicht als theoretisches Konzept, sondern als geprüfter und getesteter Plan.
4. 4
   Lieferkettensicherheit
   Alle Dienstleister und Lieferanten mit Zugang zu Ihren Systemen oder Daten müssen angemessene Sicherheitsstandards erfüllen. Auftragsverarbeitungsverträge, Sicherheitsanforderungen im Vertrag, gelegentliche Überprüfung der Einhaltung.
5. 5
   Sicherheit bei Beschaffung
   Neue Hard- und Software wird nach Sicherheitskriterien ausgewählt. Kein System ohne vorherige Prüfung ins Netzwerk. Für Cloud-Dienste gelten dieselben Anforderungen wie für On-Premise-Lösungen.
6. 6
   Wirksamkeitsprüfung der Maßnahmen
   Regelmäßige Tests, ob die Schutzmaßnahmen tatsächlich funktionieren. Dazu gehören Backup-Wiederherstellungstests, Überprüfung der Zugriffsrechte und für größere Unternehmen Penetrationstests.
7. 7
   Schulungen und Sicherheitskultur
   Alle Mitarbeitenden werden regelmäßig zu IT-Sicherheitsrisiken geschult. Phishing, Passwort-Hygiene, Umgang mit unbekannten Dateianhängen. Schulungen müssen dokumentiert sein.
8. 8
   Kryptografie und Verschlüsselung
   Sensible Unternehmens- und Kundendaten werden verschlüsselt gespeichert und übertragen. Klare Richtlinien, welche Verschlüsselungsstandards einzuhalten sind, insbesondere bei mobilen Geräten und Remote-Zugängen.
9. 9
   Zugriffsmanagement und Authentifizierung
   Jeder Mitarbeitende hat nur Zugang zu den Daten und Systemen, die er für seine Aufgabe braucht. Administratorzugänge sind besonders gesichert. Mehrfaktorauthentifizierung für alle externen Zugänge ist Pflicht.
10. 10
    Physische Sicherheit
    Serverräume, Netzwerkhardware und Backup-Medien sind gegen unbefugten Zugang gesichert. Das gilt auch für Homeoffice-Arbeitsplätze, an denen Mitarbeitende mit sensiblen Unternehmensdaten arbeiten.

Die 24-Stunden-Meldepflicht

Bei einem erheblichen Sicherheitsvorfall gilt für NIS2-pflichtige Einrichtungen eine gestufte Meldepflicht. Die Frist beginnt mit dem Zeitpunkt, an dem die Einrichtung von dem Vorfall Kenntnis erlangt.

Innerhalb von 24 Stunden muss eine erste Meldung ans BSI erfolgen. Keine vollständige Analyse, aber eine erste Einschätzung: Was ist passiert, welche Systeme sind betroffen, was sind mögliche Auswirkungen.

Innerhalb von 72 Stunden folgt ein detaillierter Zwischenbericht. Nach spätestens einem Monat ist ein Abschlussbericht fällig, der Ursache, vollständige Auswirkungen und dauerhafte Gegenmaßnahmen beschreibt.

Wann ein Vorfall als "erheblich" gilt: wenn er zu erheblichen Betriebsunterbrechungen führt oder erhebliche finanzielle Verluste verursacht, oder wenn er andere natürliche oder juristische Personen durch erhebliche Sachschäden betroffen hat.

Persönliche Haftung der Geschäftsführung

NIS2 ist das erste europäische Cybersicherheitsgesetz, das die persönliche Haftung der Leitungsorgane ausdrücklich normiert. Bislang haftete bei Compliance-Verstößen in der Regel die Organisation. Das hat sich geändert.

Geschäftsleitungen können persönlich für Verstöße haftbar gemacht werden, wenn nachgewiesen wird, dass sie die nötigen Maßnahmen nicht veranlasst, überwacht oder dokumentiert haben. Es reicht nicht, einen IT-Dienstleister beauftragt zu haben. Die Geschäftsführung muss nachweisbar dafür gesorgt haben, dass die Maßnahmen umgesetzt wurden.

Die Bußgelder für Einrichtungen: Für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Maßgeblich ist jeweils der höhere Wert.

Für ein Unternehmen mit einem Jahresumsatz von 15 Millionen Euro wären das rechnerisch bis zu 210.000 Euro aus der Prozentregel, oder bis zu 7 Millionen Euro aus der Festbetragsregel. Die Behörden wählen den höheren Wert.

Zusätzlich zu Bußgeldern kann die zuständige Behörde eine zeitweise Untersagung von Leitungsfunktionen für natürliche Personen aussprechen. Das bedeutet: Der Geschäftsführer kann persönlich für eine begrenzte Zeit von der Ausübung von Führungsfunktionen ausgeschlossen werden.

Was Unternehmen jetzt konkret tun sollten

Der erste Schritt ist eine ehrliche Bestandsaufnahme. Nicht eine Hochglanz-Präsentation für den Aufsichtsrat, sondern eine nüchterne Checkliste: Was haben wir, was fehlt, wo sind die größten Lücken.

Betroffenheit prüfen: Fallen wir direkt unter NIS2? In welchem Sektor sind wir tätig? Wie viele Mitarbeitende haben wir, wie hoch ist der Umsatz? Haben wir Kunden oder Partner, die NIS2-pflichtig sind und Anforderungen an unsere Lieferkette stellen werden?

Lückenanalyse: Welche der zehn Pflichtmaßnahmen sind bereits umgesetzt? Welche fehlen vollständig? Für welche gibt es keine Dokumentation?

Prioritäten setzen: Nicht alles gleichzeitig. Die größten Lücken zuerst. Backup und Zugriffsmanagement sind technisch umsetzbar und haben den direkten größten Schutzeffekt. Die Risikoanalyse und der Incident-Response-Plan sind die Grundlage für alles andere.

Dienstleister einbinden: Ein externer IT-Dienstleister kann bei Technik und Dokumentation unterstützen. Aber: Die Verantwortung liegt bei der Geschäftsführung, nicht beim Dienstleister. Delegieren ist möglich, Abgeben nicht.

BSI-Registrierung: NIS2-pflichtige Unternehmen müssen sich beim BSI registrieren. Das BSI hat dafür ein Online-Portal eingerichtet. Die Registrierung ist keine Option, sondern Pflicht.

NIS2 und DSGVO: wo sie sich überschneiden

Wer die DSGVO bereits ernsthaft umsetzt, hat eine gute Ausgangsbasis für NIS2. Beide Regelwerke fordern in weiten Teilen dasselbe: technische und organisatorische Maßnahmen zum Schutz von Daten und Systemen, dokumentiert und nachweisbar.

Die wesentlichen Unterschiede: NIS2 betrifft die Sicherheit des Betriebs insgesamt, nicht nur die Verarbeitung personenbezogener Daten. Und NIS2 sieht eine eigenständige Meldepflicht ans BSI vor, die parallel zur DSGVO-Meldepflicht an die Datenschutzbehörde gilt.

Wer seine DSGVO-TOMs aktuell hält und einen funktionierenden Datenschutzbeauftragten hat, kann die NIS2-Anforderungen mit überschaubarem Mehraufwand ergänzen. Wer DSGVO noch als Papierexercise behandelt, hat bei NIS2 mehr zu tun.

Wenn Sie sich nicht sicher sind, ob und wie Ihr Unternehmen von NIS2 betroffen ist, sprechen Sie uns gerne an. ITCC unterstützt mittelständische Unternehmen bei der NIS2-Bestandsaufnahme, der Lückenanalyse und der strukturierten Umsetzung, ohne doppelte Dokumentation und ohne IT-Fachchinesisch.