The blu Experience

Menü
Menü

NIS 2 und im bestehenden ISMS umsetzen

NIS 2 und im bestehenden ISMS umsetzen

25.03.2025 | Autor Torsten Enk

Liebe Leserinnen und Leser,

Die NIS 2-Richtlinie ist eine europäische Vorgabe zur Verbesserung der Cybersicherheit, die von den Mitgliedstaaten in nationales Recht umgesetzt werden muss. In Deutschland wird dies voraussichtlich durch das NIS2-Umsetzungs-Gesetz (NIS2UmsG) geschehen. Derzeit ist das Gesetzgebungsverfahren noch nicht abgeschlossen, allerdings wurde bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, da die Frist zur Umsetzung der Richtlinie in nationales Recht bereits verstrichen ist.

Es ist daher davon auszugehen, dass die Bundesregierung das Gesetzgebungsverfahren zügig abschließen wird. Nach der Sommerpause des Bundestages wird eine kurzfristige Verabschiedung des NIS2UmsG erwartet, sodass ein Inkrafttreten noch im Jahr 2025 realistisch erscheint. Unternehmen sollten sich daher bereits jetzt auf die neuen Anforderungen vorbereiten, um Compliance-Lücken und mögliche Sanktionen zu vermeiden.

Mit der Umsetzung von NIS 2 steigen die Anforderungen an IT-Sicherheit und Compliance erheblich. Unternehmen müssen sich intensiver mit den gesetzlichen Vorgaben auseinandersetzen, um Strafen und Risiken zu vermeiden. Um Ihnen den Übergang zu erleichtern, erklären wir detailliert, was sich ändert, welche Unternehmen betroffen sind und welche Maßnahmen erforderlich sind.

Welche Unternehmen sind betroffen?


Die NIS 2-Richtlinie erweitert den Kreis der verpflichteten Unternehmen erheblich. Neben Betreibern kritischer Infrastrukturen betrifft sie nun auch eine Vielzahl weiterer Branchen, darunter:

– Energie- und Wasserversorgung (Stromnetzbetreiber, Gasversorger, Trinkwasserversorgung)
– Gesundheitswesen (Krankenhäuser, Pharmaunternehmen, Labore)
– Digitale Infrastruktur (Rechenzentren, Cloud-Dienste, DNS-Provider)
– Öffentliche Verwaltung und Kommunen
– Transport- und Logistiksektor (Flughäfen, Bahnbetreiber, Speditionen)
– Hersteller von IKT-Produkten und -Diensten
– Finanz- und Versicherungswesen
– Lebensmittelindustrie und Chemische Industrie

Kriterien für die Betroffenheit


Ein Unternehmen fällt unter die NIS 2-Richtlinie, wenn es bestimmte Kriterien erfüllt. Entscheidend sind:

– Die Unternehmensgröße (z. B. mehr als 50 Mitarbeiter oder mehr als 10 Mio. Euro Jahresumsatz)
– Die Bedeutung des Unternehmens für die öffentliche Versorgung oder Wirtschaft
– Die Abhängigkeit anderer Unternehmen oder Sektoren von dessen Dienstleistungen

Warum auch kleine Unternehmen betroffen sein können?


NIS 2 ist grundsätzlich für Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz oder einer Bilanzsumme von mehr als zehn Millionen Euro anzuwenden, jedoch mit folgenden Ausnahmen:

– Unabhängige Verpflichtung: Bestimmte Unternehmen, wie Anbieter von DNS-Diensten, TLD-Namensregistern sowie Betreiber öffentlicher elektronischer Kommunikationsnetze oder -dienste, unterliegen den Anforderungen von NIS 2 unabhängig von ihrer Größe.

– Indirekte Betroffenheit über die Lieferkette: Kleine und mittelständische Unternehmen (KMU) können indirekt betroffen sein, wenn sie Dienstleistungen oder Produkte für Unternehmen erbringen, die direkt unter die NIS 2-Richtlinie fallen. Um die Sicherheit der gesamten Lieferkette zu gewährleisten, können große Auftraggeber von ihren Zulieferern und Partnern vergleichbare Sicherheitsmaßnahmen verlangen.

Haftung der Geschäftsleitung und Durchgriff der Aufsichtsbehörden

Mit der Umsetzung der NIS 2-Richtlinie werden die Verantwortung der Geschäftsleitung und die Befugnisse der Aufsichtsbehörden erheblich ausgeweitet. Unternehmen, die den Anforderungen nicht nachkommen, riskieren nicht nur hohe Geldstrafen, sondern auch direkte aufsichtsrechtliche Maßnahmen, die den Betrieb erheblich beeinträchtigen können.

Persönliche Haftung der Geschäftsleitung

Ein wesentlicher Unterschied zu bisherigen Vorschriften ist, dass die Geschäftsleitung künftig persönlich für die Einhaltung der Cybersicherheitsanforderungen verantwortlich ist.

  • Die Geschäftsleitung muss nachweislich sicherstellen, dass das Unternehmen die notwendigen Sicherheitsmaßnahmen ergreift.
  • Die Pflicht zur Schulung und Sensibilisierung von Vorständen und Geschäftsführern im Bereich Cybersicherheit ist explizit in der NIS 2-Richtlinie verankert.
  • Bei Fahrlässigkeit oder Unterlassen wesentlicher Sicherheitsvorkehrungen drohen persönliche Haftungsansprüche gegenüber der Geschäftsführung.

Sanktionen und Bußgelder

Die NIS 2-Richtlinie legt europaweit einheitliche Sanktionsmechanismen fest, die von den nationalen Aufsichtsbehörden durchgesetzt werden.

Die Bußgelder für Verstöße können erheblich sein:

  • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für „essenzielle Einrichtungen“
  • Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für „wichtige Einrichtungen“

Die Strafe richtet sich nach der Schwere des Verstoßes, dem Ausmaß der Fahrlässigkeit und den ergriffenen Gegenmaßnahmen.

Aufsichtsmaßnahmen und Eingriffsrechte der Behörden

Die zuständigen Aufsichtsbehörden haben weitreichende Befugnisse, um die Einhaltung der Vorschriften zu überprüfen und durchzusetzen. Sie können unter anderem:

  • Untersuchungen und Sicherheitsprüfungen in Unternehmen durchführen
  • Verpflichtende Audits anordnen und Nachweise zur Sicherheitslage verlangen
  • Vorbeugende Maßnahmen zur Risikominimierung vorschreiben
  • Sofortige Maßnahmen zur Gefahrenabwehr erlassen, wenn ein akuter Sicherheitsvorfall droht
  • Bestellung eines externen Sicherheitsbeauftragten anordnen
  • Bestimmte IT-Systeme oder Dienstleistungen temporär sperren, wenn ein schwerwiegender Verstoß vorliegt
  • Direkte Anweisungen an die Geschäftsleitung erteilen, um spezifische Sicherheitslücken zu schließen

Konsequenzen bei Nichteinhaltung

Falls ein Unternehmen trotz behördlicher Aufforderung keine ausreichenden Maßnahmen zur Verbesserung der Cybersicherheit ergreift, drohen verschärfte Sanktionen:

 Veröffentlichung der Verstöße („Naming & Shaming“) auf behördlichen Webseiten
 Einschränkungen oder Entzug der Geschäftslizenz für kritische digitale Dienste
 Haftungsrisiken für Geschäftsführer und Vorstände, insbesondere bei wiederholten oder grob fahrlässigen Verstößen

Unser Ansatz: Workshop und ISMS-Umsetzung

Wir bieten einen NIS 2-Workshop an, in dem wir folgende Punkte klären:

  • Initiale Betroffenheitsanalyse
  • Ableitung des erweiterten Anwendungsbereichs des ISMS
  • Ableitung der kritischen Geschäftsprozesse
  • Überprüfung der vollständigen Identifikation der notwendigen Ressourcen (Personal, Anwendungen, Infrastruktur, Dienstleister etc.)
  • Mapping der NIS 2 Anforderungen auf die eingerichteten Kontrollen (GAP-Analyse)
  • Abfrage des Reifegrads und Umsetzungsstands des ISMS anhand der relevanten Kontrollen mit Fokus auf NIS 2
  • Bewertung der Dokumentation mit Fokus auf NIS 2-Anforderungen

Basierend auf den Ergebnissen identifizieren wir erste Lücken und planen notwendige Maßnahmen zur Umsetzung. Falls erforderlich, führen wir Detailanalysen im Nachgang durch.

Der Workshop bildet die Grundlage für ein Folgeprojekt, das auf den erarbeiteten Ergebnissen nahtlos aufsetzt.

Handlungsempfehlung: Jetzt vorbereiten und Risiken minimieren


Unternehmen sollten sich frühzeitig auf die verschärften Überwachungs- und Durchsetzungsmechanismenvorbereiten. Ein strukturiertes Informationssicherheits-Managementsystem (ISMS) und eine klare Cybersecurity-Governance sind essenziell, um sowohl Bußgelder als auch regulatorische Eingriffe zu vermeiden.

Falls Sie Unterstützung benötigen, helfen wir Ihnen gerne dabei, Ihr ISMS entsprechend anzupassen und NIS 2 erfolgreich umzusetzen.

📩 Kontaktieren Sie uns für eine individuelle Beratung!

Ihre Meinung ist uns wichtig!
Helfen Sie uns, uns stetig zu verbessern,
indem Sie Ihre Erfahrungen teilen.

Trustpilot
WordPress Cookie Hinweis von Real Cookie Banner