Die NIS2-Richtlinie erweitert den Fokus der NIS1 von der reinen technischen Cybersicherheit auf die unternehmensweite Resilienz. Sie verlangt von Organisationen, wesentliche Dienste unter Bedrohung aufrechtzuerhalten, sich schnell von Vorfällen zu erholen und die Stabilität der Lieferkette zu schützen.

Mit NIS2 sind bei Systemausfällen nicht nur Verbraucher gefährdet – auch Führungskräfte können nun mit persönlichen Strafen rechnen. Da die Durchsetzung in allen Mitgliedstaaten ab Oktober 2024 in Kraft tritt, müssen Sie sich jetzt vorbereiten, um die Einhaltung sicherzustellen.

Was NIS2 von Ihrer Organisation verlangt

NIS2 überarbeitet den ursprünglichen NIS1-Rahmen und deckt nun neue Branchen ab, kategorisiert diese und stellt spezifische Erwartungen an diese Branchen. Sektoren, die sich vielleicht nie mit Cybersicherheitsregulierung auseinandersetzen mussten – wie Lebensmittel- oder Postdienste – stehen nun unter der gleichen Beobachtung wie Banken und Krankenhäuser.

NIS2 verschärft im Vergleich zu NIS1 auch die Durchsetzung, erhöht die Strafen und legt die direkte Verantwortung bei der Führungsebene. Das bedeutet: Wenn Sie in der EU tätig sind, könnte die Nichteinhaltung Ihre Organisation Geld und Glaubwürdigkeit kosten und gleichzeitig Ihre Führungsteams persönlich gefährden. Diese Auswirkungen weisen auf eine Wahrheit hin: Unter NIS2 ist jeder für die Resilienz verantwortlich.

Was hat sich von NIS1 zu NIS2 geändert?

Die wichtigste Änderung in NIS2 ist, dass Vorstände und Führungskräfte nun persönlich für die Einhaltung verantwortlich sind. Sie können die Verantwortung nicht länger einfach delegieren, was die Vorstände dazu zwingt, Risikomanagement und Governance genauer zu überwachen.

NIS2 erweitert auch die Abdeckung regulierter Sektoren und unterscheidet zwischen wesentlichen und wichtigen Einrichtungen, wobei für beide Schwerpunkte festgelegt werden. Die Einhaltung wird durch 10 Mindestmaßnahmen zum Risikomanagement sowie durch Meldefristen zur Sicherstellung der Offenlegung umrissen.

Insgesamt zielt man darauf ab, Cybersicherheit und operationale Resilienz zu einem Anliegen auf Vorstandsebene zu erheben. Die Nichteinhaltung birgt schwerwiegende Risiken, einschließlich persönlicher Haftung, Amtsenthebung und Sanktionen. Proaktive Compliance vermeidet nicht nur Strafen; sie schützt auch die Führungsebene und stärkt die gesamte Organisation.

Wichtige Neuerungen durch NIS2

NIS2 führt im Vergleich zu NIS1 mehrere Vorgaben ein, die Organisationen sofort umsetzen müssen:

Bereich NIS1 NIS2
Geltungsbereich Begrenzt auf Betreiber wesentlicher Dienste und ausgewählte digitale Dienstleister Erweitert auf kritische Industrien, einschließlich Fertigung, Lebensmittel, Chemie, Postdienste, Forschung, Raumfahrt und öffentliche Verwaltung
Klassifizierung von Einrichtungen Keine „Wesentliche“ (Anhang I) und „Wichtige“ (Anhang II)
Governance und Rechenschaftspflicht Delegiert Vorstände und Führungskräfte werden zur Rechenschaft gezogen; anhaltende Nichteinhaltung kann Änderungen in der Führungsebene erfordern
Meldung von Vorfällen Vage definiert Erstmeldung innerhalb von 24 Stunden, ein detaillierter Bericht nach 72 Stunden und ein Abschlussbericht nach einem Monat
Risikomanagement Minimale Leitlinien 10 spezifische Risikomaßnahmen
Strafen Variabel EU-weite Bußgelder, verbindliche Anweisungen, öffentliche Offenlegung und Haftung der Führungsebene

Klassifizierung von Einrichtungen im Detail

  • Wesentliche (Anhang I): Abwasser, öffentliche Verwaltung, Raumfahrt
  • Wichtige (Anhang II): Post- und Kurierdienste, Abfallwirtschaft (unterschieden von Abwasser), Chemieproduktion, Lebensmittelproduktion, Fertigung, digitale Dienstleister, Forschung

Wesentliche Einrichtungen unterstützen kritische gesellschaftliche Infrastrukturen. Die Nichteinhaltung könnte zu Störungen von Diensten führen, auf die Verbraucher angewiesen sind. Wichtige Einrichtungen sind möglicherweise nicht so kritisch für die Gesellschaft, aber Versäumnisse können dennoch erhebliche finanzielle und reputative Schäden verursachen.

Unter NIS2 unterliegen wesentliche Einrichtungen Aufsichtsanforderungen, während wichtige Einrichtungen einer nachträglichen Aufsicht unterliegen, was bedeutet, dass Maßnahmen ergriffen werden, wenn sie nicht konform sind. Die Mitgliedstaaten können aus einer Reihe von in der Richtlinie dargelegten Optionen festlegen, was „Aufsicht“ darstellt.

Bußgelder und Strafen sind für wesentliche Einrichtungen vergleichsweise höher. Wesentliche Einrichtungen müssen mit Verwaltungsstrafen von bis zu 10 Millionen Euro oder mindestens 2 % des gesamten jährlichen weltweiten Umsatzes des Unternehmens im vorherigen Geschäftsjahr rechnen, je nachdem, welcher Betrag höher ist. Nicht konforme wichtige Einrichtungen müssen mit Verwaltungsstrafen von bis zu 7 Millionen Euro oder mindestens 1,4 % des gesamten jährlichen weltweiten Umsatzes des Unternehmens rechnen, je nachdem, welcher Betrag höher ist. Mit diesen härteren Strafen und einer strengen Auffassung von persönlicher Rechenschaftspflicht für Führungskräfte zielt NIS2 darauf ab, die Risiken der Nichteinhaltung zu erhöhen.

Wer muss NIS2 einhalten?

Neu regulierte Sektoren – und die Führungskräfte, die sie beaufsichtigen – fallen nun in den Geltungsbereich von NIS2. Diese Richtlinie betrifft nicht nur die Abdeckung, sondern auch, wer für Störungen verantwortlich gemacht wird. Für Ihre Organisation geht die NIS2-Verantwortung über die IT hinaus und umfasst:

  • Business Continuity Management (BCM): Aufrechterhaltung wesentlicher Dienste
  • Operationale Resilienz: Koordination der Wiederherstellung über Geschäftsbereiche hinweg
  • Governance, Risiko und Compliance (GRC): Sicherstellung der Einhaltung von Aufsichts- und Governance-Protokollen
  • Cybersicherheit: Abwehr von Bedrohungen und Unterstützung der Meldung von Vorfällen

Angesichts dieser geteilten Verantwortung ist die funktionsübergreifende Koordination entscheidend, um Dienste am Laufen zu halten und Störungsrisiken zu mindern. Ein Mangel an Zusammenarbeit kann zu Nichteinhaltungsrisiken wie öffentlicher Offenlegung oder sogar obligatorischen Führungswechseln führen.

Die 10 Kernanforderungen von NIS2 an die Compliance

NIS2 verlangt 10 Mindestmaßnahmen zum Risikomanagement, die Ihre Organisation umsetzen muss. Diese Maßnahmen sind die Grundlage; Aufsichtsbehörden werden Nachweise erwarten, und Führungskräfte werden zur Rechenschaft gezogen, wenn sie nicht erfüllt werden:

1. Risikoanalyse und Sicherheit von Informationssystemen

Erwartung: Schwachstellen identifizieren und Schutzmaßnahmen festlegen.
Lücken hier sind die Hauptursache für die meisten Compliance-Fehler, und Vorstände werden gefragt werden, warum sie übersehen wurden.

2. Vorfallmanagement

Erwartung: Effektiv reagieren, um operationale und finanzielle Auswirkungen zu reduzieren.
Die Fristen sind unter NIS2 eng, und ein schwacher Vorfallprozess birgt das Risiko, Fristen zu versäumen.

3. Maßnahmen zur Geschäftskontinuität

Erwartung: Wesentliche Dienste während Störungen aufrechterhalten.
Wenn Ihr Plan unter Druck versagt, können wesentliche Dienste offline gehen.

4. Sicherheit der Lieferkette

Erwartung: Anbieterbezogene Störungen oder Verstöße verhindern.
Ein schwacher Anbieter kann Ihre gesamte Organisation aus der Compliance bringen. Aufsichtsbehörden werden „unser Lieferant hat versagt“ nicht als Ausrede akzeptieren.

5. Sicherheit bei Systemerwerb, -entwicklung und -wartung, einschließlich Schwachstellenmanagement und Offenlegung

Erwartung: Systeme von Anfang an sichern, um Risiken zu reduzieren.
Wenn Sicherheit zu spät angebracht wird, vervielfachen sich Schwachstellen, wodurch Sie für vermeidbare Schwächen verantwortlich gemacht werden.

6. Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen

Erwartung: Sicherstellen, dass Risikokontrollen über die Zeit wirksam bleiben.
Veraltete Kontrollen werden die Aufsichtsbehörden nicht zufriedenstellen. Vorstände müssen Nachweise erbringen, dass Schutzmaßnahmen getestet und weiterhin wirksam sind.

7. Grundlegende Computerhygiene und Schulungen

Erwartung: Mitarbeiter ausstatten, um Verstöße und Fehler zu verhindern.
Die meisten Verstöße gehen auf einfache Fehler zurück. Unzureichende Schulungen können Ihre Organisation Fahrlässigkeitsstrafen aussetzen.

8. Richtlinien zur angemessenen Nutzung von Kryptographie und Verschlüsselung

Erwartung: Sensible Daten und Kommunikationen schützen.
Schwache Kryptographie kann Kundendaten offenlegen und Bußgelder sowie öffentliche Offenlegungspflichten auslösen, die die Glaubwürdigkeit direkt schädigen.

9. Sicherheit des Personalwesens, Zugriffsrichtlinien und Asset Management:

Erwartung: Begrenzung der Exposition gegenüber internen und externen Bedrohungen.
Schlechte Zugriffskontrolle ist einer der schnellsten Wege, Compliance-Audits nicht zu bestehen.

10. Nutzung von Multi-Faktor-, gesicherter Sprach-/Video-/Textkommunikation und gesicherter Notfallkommunikation

Erwartung: Starken Zugriff durchsetzen und Kommunikation in Krisen sicherstellen.
Schwache Authentifizierung oder unterbrochene Kommunikationskanäle können die Krisenreaktion zum Erliegen bringen.

Gemäß den Leitlinien müssen diese Maßnahmen proportional zu Risiko, Größe, Kosten und Auswirkungen von Vorfällen umgesetzt werden. Im Rahmen der Richtlinie kann die EU auch Risikobewertungen kritischer Dienste, Systeme oder Lieferketten durchführen, Zertifizierungspflichten auferlegen und technische Anforderungen in Bezug auf diese Maßnahmen erlassen.

Diese 10 Maßnahmen sollten als Untergrenze, nicht als Obergrenze der Resilienz verstanden werden. Aufsichtsbehörden werden von Ihnen erwarten, diese in der Praxis nachzuweisen, und Führungskräfte persönlich zur Rechenschaft ziehen, wenn eine davon vernachlässigt wird.

Häufige Hindernisse bei der NIS2-Compliance

Viele Organisationen können auf diese Probleme stoßen, wenn sie versuchen, NIS2 einzuhalten:

  • Nicht zugewiesene Verantwortlichkeiten über Governance-, Betriebs- und IT-Teams hinweg
    • Falle: Jeder geht davon aus, dass „jemand anderes“ für die Compliance verantwortlich ist. Meldefristen können versäumt werden, weil sich kein Team wirklich verantwortlich fühlt.
    • So vermeiden Sie es: Weisen Sie einen einzigen leitenden Verantwortlichen mit funktionsübergreifender Befugnis zu und verfolgen Sie dann die Verantwortlichkeiten in allen Teams transparent.
  • Fehlgeleitete Cybersicherheits- und operationale Resilienzstrategien
    • Falle: Cybersicherheitsteams konzentrieren sich eng auf technische Abwehrmaßnahmen, während Business-Continuity-Teams sich auf die Wiederherstellung konzentrieren, wodurch eine Lücke entsteht. Diese Diskrepanz zeigt sich, wenn ein Vorfall eintritt und die Wiederherstellungspläne nicht der tatsächlichen Bedrohung entsprechen.
    • So vermeiden Sie es: Behandeln Sie Resilienz und Cybersicherheit als einen kontinuierlichen Prozess, nicht als getrennte Silos. Führen Sie gemeinsame Tabletop-Übungen durch, damit Pläne unter Druck nicht zusammenbrechen.
  • Zersplitterte Compliance über Standorte und Teams hinweg
    • Falle: Große Organisationen könnten regionalen Standorten erlauben, NIS2 unterschiedlich zu interpretieren. Einige übererfüllen, andere untererfüllen, was zu inkonsistenten Berichten und Auditlücken führt.
    • So vermeiden Sie es: Zentralisieren Sie Compliance-Richtlinien und passen Sie diese bei Bedarf lokal an. Nutzen Sie Software-Dashboards, um eine einzige Quelle der Wahrheit zu gewährleisten.
  • Versäumte Melde- und Dokumentationsfristen
    • Falle: Teams geraten nach einem Vorfall in Hektik, weil Eskalationspfade unklar sind. Berichte werden verspätet oder unvollständig versandt, was regulatorische Strafen auslöst.
    • So vermeiden Sie es: Eskalationsprotokolle vordefinieren und die Beweismittelsammlung automatisieren. Üben Sie den 24/72-Stunden-Meldezyklus im Voraus, damit er im Ernstfall nicht versagt.
  • Unüberwachte Lieferanten
    • Falle: Unternehmen gehen davon aus, dass Lieferanten angemessene Kontrollen haben, überprüfen dies aber nicht. Wenn ein Lieferantenverstoß auftritt, werden Aufsichtsbehörden Sie zur Rechenschaft ziehen.
    • So vermeiden Sie es: Integrieren Sie Lieferanten-Risikobewertungen in Verträge und fordern Sie Nachweise der Compliance an. Überwachen Sie Ihre Anbieter kontinuierlich, nicht nur jährlich.

Die meisten NIS2-Fehler treten nicht auf, weil Organisationen die Regeln ignorieren. Sie entstehen aufgrund kleiner Lücken in der Verantwortlichkeit, im Timing oder in der Lieferantenaufsicht. Der Unterschied zwischen Compliance und kostspieligem Versagen liegt oft darin, ob diese Lücken im Voraus geschlossen werden.

So bereiten Sie sich auf die NIS2-Compliance vor

Um bereit zu sein, sollten Organisationen:

  • Eine Gap-Analyse durchführen, um Schwachstellen im Hinblick auf die 10 NIS2-Maßnahmen zu identifizieren.
  • Zusammenarbeit zwischen BCM-, GRC- und Cybersicherheitsteams etablieren.
  • Aufsicht über Anbieter und Lieferkette stärken, um externe Störungen zu verhindern.
  • Governance- und Eskalationsprotokolle für zeitnahe, konforme Entscheidungen definieren.
  • Resilienz in die Geschäftsplanung integrieren, mit regelmäßigen Tests und Kontinuitätsaudits.

Organisationen, die diese Schritte jetzt unternehmen, sind besser positioniert, um Meldeverzögerungen und Dienstausfälle zu vermeiden. Je früher Sie beginnen, desto mehr Zeit haben Sie, Lücken zu schließen, und desto unwahrscheinlicher ist es, dass Sie unvorbereitet getroffen werden, wenn Aufsichtsbehörden Nachweise verlangen.

Wie Risikomanagement-Software die NIS2-Compliance vereinfacht

Wenn Teams nach einem Vorfall nach Beweisen suchen, automatisiert Software Ihre gesamte Nachweiskette. Ihre Organisation kann Software nutzen, um gängige NIS2-Lücken zu schließen, indem sie:

  • Eine Gap-Analyse durchführen, um Schwachstellen im Hinblick auf die 10 NIS2-Maßnahmen zu identifizieren.
  • Daten zentralisieren: Ihre Organisation verfügt über eine auditfähige einzige Quelle der Wahrheit, ohne verstreute Tabellen oder widersprüchliche Berichte.
  • Berichterstattung automatisieren: Sie können den 24/72-Stunden-Melde-Workflow mit zeitgestempelten Nachweisen, automatischen Eskalationen und Genehmigungs-Routing automatisieren.
  • Verknüpfung der Rechenschaftspflicht der Führungsebene mit Ergebnissen: Machen Sie die Verantwortung der Führungsebene sichtbar mit Dashboards und Aktionsprotokollen, die Risiken den Verantwortlichen und Entscheidungen zuordnen.
  • Compliance in Echtzeit verfolgen: Stellen Sie auf Anfrage auditfähige Executive-Snapshots bereit, damit der Vorstand die aktuelle Lage und ausstehende Abhilfemaßnahmen einsehen kann.
  • Strukturierte Dokumentation bereitstellen: Erfassen Sie manipulationssichere Nachweise, einschließlich Zeitstempeln, Versionshistorien und Anhängen, damit Audits kein Chaos verursachen.

Automatisierte Workflows können Ihnen helfen, den Aufsichtsbehörden ein zeitnahes, strukturiertes Beweispaket zu übergeben. Besonders während einer stressigen Krise können Sie eine ruhige Compliance aufrechterhalten, anstatt Dokumente in Eile zusammenzustellen und Fristen zu versäumen.

NIS2 setzt höhere Maßstäbe für die Resilienz mit neuen Durchsetzungsmechanismen, wie strengen Fristen, Mindestmaßnahmen und persönlichen Strafen. Da NIS2 bereits in Kraft ist, ist es an der Zeit sicherzustellen, dass Ihre Organisation Verantwortlichkeiten zugewiesen, die Meldung von Vorfällen automatisiert und eine kontinuierliche Überwachung implementiert hat.

Mit effektiver Software können Sie rechtzeitig zu Ihrer nächsten Vorstandssitzung einen auditfähigen Überblick über Ihre NIS2-Position vorlegen. Insgesamt ist die Fähigkeit Ihrer Organisation, den Aufsichtsbehörden auf Anfrage Nachweise vorzulegen – und Ihre persönliche Rechenschaftspflicht als Führungskraft – das, was den Erfolg unter NIS2 ausmacht.

Weitere Informationen zur Resilienz finden Sie in unserem E-Book, Ihr Leitfaden zur Cyber-Resilienz, und um mehr über die Stärkung Ihres Cyber-Resilienz-Programms zu erfahren, sehen Sie sich Riskonnects Business Continuity Management und GRC-Software an.