Zum Inhalt springen
SIKKER GmbH

NIS-2-Anforderungen: Sind Sie betroffen?

NIS-2 gilt seit Oktober 2024. Wer betroffen ist und nicht handelt, riskiert Bußgelder bis 10 Mio. EUR und persönliche Haftung der Geschäftsleitung. Wir klären Ihre Betroffenheit und setzen die zehn Pflichtmaßnahmen nach §30 BSIG strukturiert um.

Betroffenheit prüfen lassen Maßnahmen im Überblick

Was ist die NIS-2-Richtlinie?

NIS-2 hebt das Cybersicherheitsniveau in der EU einheitlich an, erweitert den Anwendungsbereich der Vorgängerrichtlinie deutlich und verschärft die Pflichten für betroffene Unternehmen. In Deutschland setzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) die EU-Vorgaben um und novelliert das BSI-Gesetz. Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Für Unternehmen bedeutet das: Wer die Schwellenwerte überschreitet und in einem der betroffenen Sektoren tätig ist, muss die zehn Sicherheitsmaßnahmen nach §30 BSIG nachweisbar umsetzen. Ähnliche Anforderungen für den Finanzsektor regelt die DORA-Verordnung. Grundlegendes zur Informationssicherheit finden Sie auf unserer Übersichtsseite.

NIS-2 auf einen Blick

  • Deutsches Gesetz: NIS2UmsuCG (novelliert BSIG)
  • In Kraft seit: Oktober 2024
  • Betroffene: ca. 29.000 Unternehmen in Deutschland
  • Aufsicht: BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • Kernpflichten: 10 Maßnahmen nach §30 BSIG, Meldepflichten, Registrierung

Welche Unternehmen sind von NIS-2 betroffen?

NIS-2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Einstufung bestimmt den Umfang der Aufsicht und die Höhe möglicher Bußgelder. Grundsätzlich gilt: Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Mio. EUR Jahresumsatz, die in einem der erfassten Sektoren tätig sind, fallen unter die Richtlinie.

Wesentliche Einrichtungen

Strengere Aufsicht, höhere Bußgelder. Betrifft Sektoren mit hoher Kritikalität.

  • Energie (Strom, Gas, Öl, Fernwärme)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Rechenzentren)
  • IKT-Dienstleistungsmanagement (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen

Gleiche Pflichten, aber reaktive Aufsicht und niedrigere Bußgeldrahmen.

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Erzeugnisse
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
  • Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Unternehmen unter 50 Mitarbeitenden sind grundsätzlich ausgenommen. Ausnahmen gelten für Betreiber kritischer Infrastruktur (KRITIS), Vertrauensdiensteanbieter und DNS-Dienste, die unabhängig von der Unternehmensgröße unter NIS-2 fallen.

Die 10 NIS-2-Anforderungen nach §30 BSIG

Das novellierte BSI-Gesetz definiert zehn konkrete Maßnahmen, die betroffene Unternehmen umsetzen müssen. Diese bilden den Kern der NIS-2-Umsetzung und orientieren sich am Stand der Technik.

01

Risikoanalyse und Sicherheitskonzepte

Systematische Bewertung von Bedrohungen und Schwachstellen. Darauf aufbauend: dokumentierte Sicherheitskonzepte für alle kritischen Geschäftsprozesse.

02

Incident-Management

Erkennung, Analyse und Behandlung von Sicherheitsvorfällen. Pflicht zur Erstmeldung an das BSI innerhalb von 24 Stunden, Folgemeldung binnen 72 Stunden.

03

Business Continuity Management

Backup-Konzepte, Wiederherstellungspläne und Krisenmanagement. BCM stellt sicher, dass Ihr Geschäftsbetrieb auch bei Sicherheitsvorfällen weiterläuft.

04

Sicherheit der Lieferkette

Sicherheitsanforderungen an Zulieferer und Dienstleister. Vertragliche Regelungen, regelmäßige Bewertung und Überwachung der gesamten Lieferkette.

05

Sichere Entwicklung und Wartung

Sicherheitsanforderungen bei Auswahl, Entwicklung und Wartung von IT-Systemen. Systematisches Erkennen und Beheben von Schwachstellen sowie zeitnahes Einspielen von Sicherheitsupdates.

06

Wirksamkeitsprüfung

Regelmäßige Bewertung der umgesetzten Maßnahmen durch interne Audits, Tests und Monitoring. Kontinuierliche Verbesserung auf Basis der Ergebnisse.

07

Cyber-Hygiene und Schulungen

Grundlegende Cybersicherheitspraktiken und regelmäßige Schulungen für alle Mitarbeitenden. Security Awareness als fester Bestandteil der Unternehmenskultur.

08

Kryptografie und Verschlüsselung

Schutz vertraulicher Daten durch Verschlüsselung, sowohl gespeichert als auch bei der Übertragung. Dazu klare Regeln zur sicheren Verwahrung und zum Austausch kryptografischer Schlüssel.

09

Personalsicherheit und Zugriffskontrolle

Rollenbasierte Zugriffsrechte nach dem Prinzip der minimalen Berechtigung: Jeder greift nur auf das zu, was er für seine Aufgabe benötigt. Dazu Sicherheitsüberprüfungen, Onboarding- und Offboarding-Prozesse.

10

Multi-Faktor-Authentifizierung

Einsatz von MFA und gesicherter Kommunikation. Verschlüsselte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme.

ISO 27001 und NIS-2: Synergie statt Doppelarbeit

Ein bestehendes ISMS nach ISO 27001 deckt einen Großteil der NIS-2-Anforderungen bereits ab. Die folgende Tabelle zeigt, welche ISO-27001-Kontrollen welche §30-BSIG-Maßnahmen adressieren.

NIS-2-Maßnahme (§30 BSIG) ISO 27001:2022 Kontrollen Deckungsgrad
Risikoanalyse und Sicherheitskonzepte Kap. 6.1.2, A.8.1, A.8.2 (Risikobewertung, Endgeräte, privilegierte Zugriffsrechte) Vollständig
Incident-Management A.5.24, A.5.25, A.5.26 (Planung, Bewertung, Reaktion auf Sicherheitsvorfälle) Weitgehend
Business Continuity Management A.5.29, A.5.30, A.8.13 (Notfallvorsorge, IKT-Bereitschaft, Backups) Vollständig
Sicherheit der Lieferkette A.5.19, A.5.20, A.5.21 (Lieferantenbeziehungen, Verträge, IKT-Lieferkette) Weitgehend
Sichere Entwicklung und Wartung A.8.25 bis A.8.34 (Secure Development, Test- und Freigabeprozesse) Vollständig
Kryptografie und Verschlüsselung A.8.24 (Einsatz kryptografischer Verfahren) Vollständig
Zugriffskontrolle und Personalsicherheit A.5.15, A.5.18, A.8.2 (Zugangssteuerung, Berechtigungsvergabe) Vollständig
MFA und sichere Kommunikation A.8.5, A.8.20, A.8.22 (sichere Authentifizierung, Netzwerksicherheit, Segmentierung) Weitgehend

Die Bewertung „Weitgehend" bedeutet: ISO 27001 legt die Grundlage, die spezifischen NIS-2-Anforderungen (z.B. 24-Stunden-Meldepflicht, BSI-Registrierung) erfordern zusätzliche Maßnahmen. Eine gezielte Gap-Analyse identifiziert den konkreten Anpassungsbedarf für Ihr Unternehmen.

Bußgelder und persönliche Haftung

Die NIS-2-Richtlinie verschärft den Sanktionsrahmen deutlich. Neben finanziellen Strafen führt das Gesetz eine persönliche Haftung der Geschäftsleitung ein.

10 Mio. EUR

oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen

7 Mio. EUR

oder 1,4 % des weltweiten Jahresumsatzes bei wichtigen Einrichtungen

Persönliche Haftung

Geschäftsleitung haftet mit Privatvermögen, vorübergehendes Berufsverbot in Leitungsfunktionen möglich

Betroffene Unternehmen müssen Sicherheitsvorfälle dem BSI melden: Erstmeldung binnen 24 Stunden, qualifizierte Folgemeldung innerhalb von 72 Stunden. Das BSI kann bei schwerwiegenden Verstößen Anordnungen erlassen und Leitungspersonen vorübergehend untersagen, ihre Funktion auszuüben. Ein strukturiertes Compliance-Management hilft, diese Risiken zu minimieren.

NIS-2-Umsetzung: Ihr strukturierter Fahrplan

Die NIS-2-Umsetzung lässt sich in fünf aufeinander aufbauende Schritte gliedern. Dieser Fahrplan eignet sich besonders für mittelständische Unternehmen, die die Anforderungen effizient und ressourcenschonend erfüllen wollen.

  1. 1

    Betroffenheitsprüfung

    Im ersten Schritt prüfen wir, ob und in welchem Umfang NIS-2 für Ihr Unternehmen gilt. Dazu analysieren wir Sektor, Unternehmensgröße, Umsatzschwellen und mögliche Ausnahmen. Das Ergebnis: eine klare Einordnung als wesentliche oder wichtige Einrichtung.

  2. 2

    Ist-Analyse und Gap-Assessment

    Wir gleichen Ihre bestehenden Sicherheitsmaßnahmen mit den zehn Pflichtmaßnahmen nach §30 BSIG ab. Unternehmen mit einem bestehenden ISMS nach ISO 27001 profitieren hier besonders, da viele Anforderungen bereits abgedeckt sind.

  3. 3

    Maßnahmenplanung und Priorisierung

    Auf Basis der Gap-Analyse erstellen wir einen risikobasierten Umsetzungsplan. Maßnahmen werden nach Kritikalität priorisiert, Ressourcen und Zeitrahmen definiert. So vermeiden Sie Überlastung und schaffen schrittweise Konformität.

  4. 4

    Implementierung und Dokumentation

    Richtlinien, Prozesse und technische Maßnahmen werden umgesetzt und revisionssicher dokumentiert. Dazu gehören die Einrichtung von Meldeprozessen, die BSI-Registrierung und die Schulung der Mitarbeitenden.

  5. 5

    Monitoring und kontinuierliche Verbesserung

    NIS-2 ist keine einmalige Pflicht. Regelmäßige Wirksamkeitsprüfungen, interne Audits und die Auswertung von Sicherheitsvorfällen stellen sicher, dass Ihr Sicherheitsniveau dauerhaft den Anforderungen entspricht.

Häufig gestellte Fragen

Bin ich als Unternehmen von NIS-2 betroffen?

Sie sind betroffen, wenn Ihr Unternehmen mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von mehr als 10 Mio. EUR erzielt und in einem der rund 18 NIS-2-Sektoren tätig ist. Dazu zählen unter anderem Energie, Gesundheitswesen, Verkehr, Bankwesen, digitale Infrastruktur und Lebensmittelproduktion. Kleinere Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie betreiben kritische Infrastruktur.

Wir sind Zulieferer eines NIS-2-pflichtigen Unternehmens. Sind wir indirekt mit betroffen?

Ja, zumindest vertraglich. NIS-2 verpflichtet betroffene Unternehmen ausdrücklich zur Absicherung ihrer Lieferkette (§30 Abs. 2 Nr. 4 BSIG). Das bedeutet: Ihre Kunden werden Sicherheitsnachweise, Auditrechte und vertragliche Zusicherungen von Ihnen einfordern, auch wenn Sie selbst nicht direkt unter NIS-2 fallen. Wer hier nicht liefern kann, verliert Aufträge.

Reicht unsere bestehende ISO-27001-Zertifizierung für NIS-2 aus?

Ein ISMS nach ISO 27001 deckt den Großteil der zehn §30-BSIG-Maßnahmen bereits ab. Spezifisch für NIS-2 bleiben: die Registrierung beim BSI, die 24-Stunden-Meldepflicht bei Sicherheitsvorfällen und ergänzende Nachweise zur Lieferkettensicherheit. Eine gezielte Gap-Analyse zeigt, welche Lücken konkret zu schließen sind. Meist ist der Aufwand überschaubar.

Was passiert, wenn wir einen Sicherheitsvorfall nicht rechtzeitig ans BSI melden?

Die Meldefristen sind gesetzlich fixiert: Erstmeldung binnen 24 Stunden, qualifizierte Folgemeldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Verstöße können mit Bußgeldern geahndet werden und ziehen verstärkte Aufsicht durch das BSI nach sich. Eingespielte Meldeprozesse, klare Verantwortlichkeiten und vorbereitete Templates sind daher Pflicht, nicht Kür.

Wann muss die NIS-2-Umsetzung abgeschlossen sein?

Die EU-Frist war der 17. Oktober 2024. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist in Kraft, das BSI ist als Aufsichtsbehörde aktiv. Es gibt keine Übergangsfrist mehr. Unternehmen, die jetzt noch nicht mit der Umsetzung begonnen haben, sollten das zeitnah strukturiert angehen.

Welche Strafen drohen bei Nichteinhaltung der NIS-2-Anforderungen?

Wesentliche Einrichtungen riskieren Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt der Rahmen bei 7 Mio. EUR oder 1,4 %. Zusätzlich haftet die Geschäftsleitung persönlich für nachgewiesene Pflichtverletzungen und kann bei schwerwiegenden Verstößen vorübergehend von Leitungsfunktionen ausgeschlossen werden.

Verwandte Leistungen

NIS-2 steht nicht isoliert. Diese Leistungen ergänzen die NIS-2-Umsetzung sinnvoll.

ISMS & ISO 27001

Ein ISMS nach ISO 27001 ist der effizienteste Weg zur NIS-2-Konformität und stärkt gleichzeitig Ihr gesamtes Sicherheitsniveau.

Mehr erfahren

Business Continuity Management

BCM ist eine Kernpflicht nach §30 BSIG. Wir entwickeln Notfallpläne und Wiederanlaufstrategien, die NIS-2-konform dokumentiert sind.

Mehr erfahren

KRITIS & BSIG

Betreiber kritischer Infrastruktur unterliegen zusätzlichen Pflichten nach dem BSIG. Wir prüfen Überschneidungen und Synergien mit NIS-2.

Mehr erfahren

Ihr Partner für NIS-2-Beratung

Die SIKKER GmbH mit Sitz in Leipzig begleitet Unternehmen bundesweit bei der NIS-2-Umsetzung. Unser Schwerpunkt liegt auf ISMS-Projekten nach ISO 27001, Business Continuity Management und Compliance nach BSIG. Dadurch setzen wir NIS-2 nicht isoliert um, sondern integrieren die Anforderungen in ein tragfähiges Sicherheitssystem, auf dem Sie aufbauen können.

Von der Betroffenheitsprüfung über die Gap-Analyse bis zur laufenden Betreuung arbeiten Sie mit einem festen Ansprechpartner aus unserem Team. Mehr über unser Team erfahren.

SIKKER GmbH

Informationssicherheit, Datenschutz & Compliance

ISO 27001 DSGVO NIS-2 BCM KI-Compliance

NIS-2-Betroffenheit prüfen lassen

Wir analysieren, ob und in welchem Umfang die NIS-2-Richtlinie für Ihr Unternehmen gilt, und entwickeln einen praxistauglichen Umsetzungsfahrplan.

Jetzt Erstberatung anfragen