NIS-2 - Network and Information Systems Directive 2
Richtlinie (EU) 2022/2555 & NIS-2-Umsetzungsgesetz
Überblick
Die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) wurde am 14. Dezember 2022 erlassen, am 27. Dezember 2022 im Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland wurde NIS-2 durch Änderungen des BSI-Gesetzes umgesetzt; das NIS-2-Umsetzungsgesetz gilt seit dem 06.12.2025. NIS-2 erweitert und verschärft die Anforderungen der ersten NIS-Richtlinie und zielt darauf ab, die Cybersicherheit wesentlicher und wichtiger Einrichtungen in der gesamten EU zu stärken.
Zielsetzung von NIS-2
Cybersicherheit
Erhöhung des Cybersicherheitsniveaus in der gesamten EU durch harmonisierte Anforderungen
Wesentliche und wichtige Einrichtungen
Schutz besonders wichtiger und wichtiger Einrichtungen vor Cyber-Bedrohungen – die Einordnung hängt von Sektor, Tätigkeit, Größe und nationaler Umsetzung ab
Meldepflichten
Bei erheblichen Vorfällen: Frühwarnung innerhalb von 24h, Vorfallmeldung innerhalb von 72h nach Kenntnis, Zwischenbericht auf Anfrage, Abschlussbericht spätestens einen Monat nach der 72h-Meldung
Governance
Verpflichtung zu angemessener Governance und Risikomanagement auf Management-Ebene
Kernanforderungen von NIS-2
Risikomanagement
Einführung von Risikomanagementmaßnahmen zur Bewältigung der Risiken für die Sicherheit von Netz- und Informationssystemen
Cybersicherheitsmaßnahmen
Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung der Cybersicherheit
Incident Management
Etablierung von Prozessen zur Erkennung, Meldung und Behandlung von Cybersicherheitsvorfällen
Meldepflichten
Frühwarnung (24h), Vorfallmeldung (72h nach Kenntnis), Zwischenbericht auf Anfrage der Behörde, Abschlussbericht spätestens einen Monat nach der 72h-Vorfallmeldung
Governance
Verantwortung des Managements für Cybersicherheit, einschließlich Schulungen und Bewusstseinsbildung
Lieferketten-Sicherheit
Berücksichtigung von Cybersicherheitsrisiken in der Lieferkette und bei Drittanbietern
Anwendungsbereich
NIS-2 unterscheidet zwischen wesentlichen bzw. besonders wichtigen und wichtigen Einrichtungen (essential/important entities). Die konkrete Einordnung hängt von Sektor, Tätigkeit, Größe und nationaler Umsetzung ab:
Besonders wichtige / wesentliche Einrichtungen
- Energie (Strom, Gas, Öl)
- Transport (Luft, Schiene, Wasser, Straße)
- Banken
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- IKT-Dienstmanagement
- Öffentliche Verwaltung
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Lebensmitteln
- Herstellung
- Digitale Anbieter
- Forschung
Größenkriterium: NIS-2 gilt für Einrichtungen ab einer bestimmten Größe (meist ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Mio. €), mit Ausnahmen für besonders wichtige Einrichtungen, die unabhängig von der Größe erfasst sein können.
NIS-2-Umsetzungsgesetz (NIS-2-UG) in Deutschland
| Aspekt | NIS-2-Richtlinie | NIS-2-UG (Deutschland) |
|---|---|---|
| Zuständige Behörde | Nationale Behörden | BSI (Bundesamt für Sicherheit in der Informationstechnik) |
| Meldepflicht | 24h Frühwarnung; 72h Vorfallmeldung; Zwischenbericht auf Anfrage; Abschlussbericht 1 Monat nach 72h-Meldung | Gleiche Fristen; Meldung an das BSI über das Meldeportal |
| Sanktionen | Bis zu 2% des Jahresumsatzes oder 10 Mio. € | Bis zu 2% des Jahresumsatzes oder 10 Mio. € |
| Governance | Management-Verantwortung | Geschäftsleitung haftet persönlich |
| Audit | Regelmäßige Überprüfungen | BSI kann Audits durchführen |
Cybersicherheitsanforderungen im Detail
1. Risikomanagement
Einführung eines Risikomanagementsystems zur Identifikation, Analyse und Behandlung von Cybersicherheitsrisiken
2. Cybersicherheitsrichtlinien
Entwicklung und Umsetzung von Cybersicherheitsrichtlinien und -verfahren
3. Technische Maßnahmen
Umsetzung technischer Maßnahmen wie Firewalls, Verschlüsselung, Zugriffskontrollen, Patch-Management
4. Organisatorische Maßnahmen
Etablierung organisatorischer Maßnahmen wie Schulungen, Awareness, Notfallpläne, Business Continuity
5. Überwachung
Kontinuierliche Überwachung der Netz- und Informationssysteme zur Erkennung von Vorfällen
6. Lieferketten-Sicherheit
Berücksichtigung von Cybersicherheitsrisiken bei der Auswahl und dem Management von Lieferanten und Drittanbietern
Meldepflichten nach NIS-2
Nur erhebliche Cybersicherheitsvorfälle lösen die Meldepflicht aus. Die Bewertung (ob ein Vorfall erheblich ist) muss zeitnah nach Erkennung erfolgen; die Fristen beziehen sich auf die Kenntniserlangung bzw. die jeweilige Meldestufe.
Incident Reporting – Fristen und Berichtspflichten (Art. 23 NIS-2, § 32 BSIG)
| Phase | Inhalt / Anforderung | Frist |
|---|---|---|
| Bewertung | Prüfung, ob der Vorfall als „erheblich“ einzustufen ist (Auswirkungen auf Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit) | Unverzüglich nach Erkennung |
| Frühwarnung | Frühwarnung an die zuständige Behörde (in Deutschland: BSI): Hinweis, dass ein erheblicher Vorfall vermutet oder eingetreten ist, erste Eindämmungsmaßnahmen, ggf. grenzüberschreitende Auswirkungen | Unverzüglich, spätestens 24 Stunden nach Kenntniserlangung |
| Vorfallmeldung | Meldung mit aktualisierten Angaben, erster Bewertung (Schweregrad, Auswirkungen), technischen Details sowie ergriffenen und geplanten Maßnahmen | Unverzüglich, spätestens 72 Stunden nach Kenntniserlangung |
| Zwischenbericht | Aktualisierter Bericht auf Anfrage der zuständigen Stelle (CSIRT/Behörde), wenn zwischenzeitlich neue relevante Informationen vorliegen | Auf Anfrage der zuständigen Stelle |
| Abschlussbericht | Endgültiger Bericht: Grundursache, Chronologie, finale Auswirkungen, Schadensbegrenzung, Lessons Learned. Bei fortdauerndem Vorfall zunächst Fortschrittsbericht, nach Behandlung Abschlussbericht | Spätestens 1 Monat nach der 72h-Vorfallmeldung |
Alle Meldungen müssen u. a. Beschreibung, Schweregradeinschätzung und Angaben dazu enthalten, ob der Vorfall auf rechtswidrige oder böswillige Einwirkungen zurückgeht. Fristversäumnisse können als Verstöße gegen NIS-2/NIS-2-UG geahndet werden.
Erheblicher Vorfall
Ein Vorfall mit erheblichen Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit der betroffenen Netz- und Informationssysteme
Kenntniserlangung
Fristen laufen ab Kenntniserlangung des erheblichen Vorfalls (nicht ab Eintritt des Vorfalls)
Zuständige Behörde
BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland; Meldung über das BSI-Meldeportal
Governance-Anforderungen
Management-Verantwortung
Die Geschäftsleitung trägt die Verantwortung für die Cybersicherheit und kann persönlich haftbar gemacht werden
Cybersicherheitsstrategie
Entwicklung einer Cybersicherheitsstrategie auf höchster Management-Ebene
Ressourcen
Bereitstellung angemessener personeller und finanzieller Ressourcen für Cybersicherheit
Schulungen
Regelmäßige Schulungen und Bewusstseinsbildung für Mitarbeiter und Management
Sanktionen bei Nichteinhaltung
| Verstoß | Sanktion | Höchstbetrag |
|---|---|---|
| Wesentliche / besonders wichtige Einrichtung – Verstoß gegen Art. 21 oder Art. 23 | Geldbuße (national umgesetzt) | Bis mindestens 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtung – Verstoß gegen Art. 21 oder Art. 23 | Geldbuße (national umgesetzt) | Bis mindestens 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Weitere Verstöße (z. B. Auskunft, Auditbehinderung) | Geldbuße | Je nach nationalem Recht; in Deutschland u. a. im BSIG geregelt |
Hinweis: Die Bußgeldrahmen hängen von der Einstufung der Einrichtung ab (wesentlich/besonders wichtig vs. wichtig). In Deutschland können zusätzlich persönliche Haftungen der Geschäftsleitung bestehen.
Vergleich: NIS-2 vs. DORA
| Aspekt | NIS-2 | DORA |
|---|---|---|
| Anwendungsbereich | Besonders wichtige und wichtige Einrichtungen (breit, sektorübergreifend) | Finanzsektor (spezifisch) |
| Meldepflicht | 24h Frühwarnung; 72h Vorfallmeldung; Zwischenbericht auf Anfrage; Abschlussbericht 1 Monat nach 72h-Meldung | Erstmeldung max. 4h nach Klassifizierung und max. 24h nach Kenntnis; Zwischenbericht 72h nach Erstmeldung; Abschlussbericht 1 Monat nach Zwischenbericht |
| Fokus | Cybersicherheit allgemein | Digitale operationelle Resilienz |
| Testing | Empfohlen, nicht explizit vorgeschrieben | Verpflichtend (Penetrationstests, TLPT) |
| IKT-Drittanbieter | Berücksichtigung in Lieferkette | Strenge Anforderungen an kritische IKT-Drittanbieter |
| Governance | Management-Verantwortung | IT-Risikomanagement-Framework |
Umsetzungshinweise
Selbstbewertung
Regelmäßige Selbstbewertung der Cybersicherheitsmaßnahmen und Identifikation von Verbesserungspotenzialen
Dokumentation
Umfassende Dokumentation aller Cybersicherheitsmaßnahmen, Prozesse und Vorfälle
Kontinuierliche Verbesserung
Regelmäßige Überprüfung und Anpassung der Cybersicherheitsmaßnahmen basierend auf neuen Bedrohungen
Zusammenhang mit anderen ISMS-Komponenten
- ISMS: NIS-2 verlangt angemessene technische, operative und organisatorische Maßnahmen zum Management von Cyberrisiken. Ein ISMS (z. B. nach ISO/IEC 27001 oder BSI IT-Grundschutz) kann diese Anforderungen strukturiert unterstützen
- Risikomanagement: NIS-2 verlangt umfassendes Risikomanagement zur Identifikation und Behandlung von Cybersicherheitsrisiken
- Assetmanagement: NIS-2 erfordert Kenntnis und Schutz aller relevanten Netz- und Informationssysteme
- Incident Management: NIS-2 definiert spezifische Anforderungen an Incident-Erkennung und -Meldung (24h-Frist)
- BCM: NIS-2 erfordert Business Continuity Pläne für kritische Systeme
- Testmanagement: NIS-2 empfiehlt regelmäßige Tests der Cybersicherheitsmaßnahmen
- DORA: Für DORA-erfasste Finanzunternehmen gilt DORA als sektorspezifischer Rechtsakt für IKT-Risikomanagement, Vorfallmanagement und Meldungen. NIS-2 bleibt relevant, wo DORA nicht deckungsgleich greift; eine doppelte Erfüllung identischer Pflichten ist nicht das Ziel
- Governance: NIS-2 verlangt explizite Management-Verantwortung und persönliche Haftung
NIS-2-Umsetzungsgesetz: Besonderheiten in Deutschland
BSI als zuständige Behörde
Das BSI ist die zentrale Anlaufstelle für Meldungen und Überwachung nach NIS-2-UG
Meldepflichten
Meldung erheblicher Cybersicherheitsvorfälle innerhalb von 24 Stunden an das BSI über das Meldeportal
Audit-Befugnisse
Das BSI kann Audits durchführen und bei Verstößen Sanktionen verhängen
Zusammenarbeit
Koordination mit anderen Behörden (z.B. BaFin für Finanzsektor) zur Vermeidung von Doppelmeldungen
Beratung
Das BSI bietet Beratung und Unterstützung bei der Umsetzung der NIS-2-Anforderungen