Admijalo
ISO 27001 ZERTIFIZIERT
[BLOG] Titelbild NIS2-Richtlinie

NIS2-Richtlinie: Warum Geschäftsführer jetzt handeln müssen

Hannah u. René 25. März 2025

Die NIS2-Richtlinie der Europäischen Union (EU) stellt einen bedeutenden Schritt zur Stärkung der europäischen Cybersicherheit dar. Mit dem Ziel, die wachsenden Bedrohungen im digitalen Raum effizienter zu bekämpfen, ersetzt NIS2 die NIS1-Richtlinie, um Unternehmen besser vor Cyberangriffen zu schützen.

Als Geschäftsführer in Deutschland ist es essenziell, die Auswirkungen der NIS2-Richtlinie zu verstehen und entsprechende Maßnahmen zu ergreifen.

{frontmatter.image.alt}

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive) ist eine EU-weite Gesetzgebung, die darauf abzielt, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Union sicherzustellen. Sie löst die 2016 eingeführte NIS1-Richtlinie ab und verschärft Sicherheitsanforderungen für kritische und wichtige Einrichtungen deutlich.

Warum wurde NIS2 eingeführt und nicht NIS1 beibehalten?

Die Einführung von NIS2 war notwendig, um auf die sich ständig weiterentwickelnde Bedrohungslandschaft im Cyberraum zu reagieren. Während NIS1 einen wichtigen ersten Schritt darstellte, weitet NIS2 den Anwendungsbereich aus: mehr Sektoren, strengere Berichtspflichten und stärkere Kontrolle.

Erstmals haften auch Geschäftsführer und Vorstände persönlich für Verstöße. Zudem wird die Zusammenarbeit zwischen den Mitgliedsstaaten verbessert.

Welche Unternehmen sind von NIS2 betroffen?

Die NIS2-Richtlinie gilt für Unternehmen ab 50 Mitarbeitenden oder mehr als 10 Mio. Euro Jahresumsatz in folgenden Sektoren:

  • Energie (Elektrizität, Öl, Gas)
  • Transport (Luftfahrt, Schiene, Straße, Wasser)
  • Banken und Finanzmärkte
  • Gesundheitswesen (Krankenhäuser, Labore)
  • Trinkwasser- und Abwasserwirtschaft
  • Digitale Infrastruktur (DNS-Dienste, Rechenzentren)
  • Öffentliche Verwaltung
  • Raumfahrt
  • Lebensmittelproduktion
  • Post- und Kurierdienste
  • Herstellung kritischer Produkte (z.B. Chemikalien, Arzneimittel)

NIS2 und DORA: Doppelregulierung für Finanzunternehmen

Der Finanzsektor unterliegt sowohl der NIS2-Richtlinie als auch der Digital Operational Resilience Act (DORA). Während DORA sich auf die digitale Resilienz und konkrete Tests sowie Ausfallpläne konzentriert, legt NIS2 den Fokus auf umfassende Cybersicherheitsrichtlinien, Meldewege und Managementverantwortung. Beide gelten parallel.

Es ist wichtig zu beachten, dass die Erfüllung der DORA-Anforderungen nicht automatisch die Einhaltung von NIS2 garantiert, da beide Regelwerke unterschiedliche Schwerpunkte setzen. Daher sollten Sie als Geschäftsführer sicherstellen, dass Ihr Unternehmen sowohl die Vorgaben von DORA als auch von NIS2 erfüllt.

>>> Mehr zu Unterschieden und Gemeinsamkeiten von DORA und NIS2 finden Sie hier.

ISO 27001-Zertifizierung und NIS2-Compliance

Eine ISO 27001-Zertifizierung zeigt, dass Ihr Unternehmen ein Informationssicherheits-Managementsystem (ISMS) implementiert hat. Obwohl dies eine solide Grundlage für die Cybersicherheit bildet, deckt ISO 27001 nicht alle spezifischen Anforderungen von NIS2 ab.

Daher ist es notwendig, zusätzliche Maßnahmen zu ergreifen, um vollständig NIS2-konform zu sein, darunter:

  • Gremieninterne Berichtspflichten

  • Vorfallmanagement innerhalb von 72 Stunden

  • Detaillierte Dokumentation zur Umsetzung von Maßnahmen

7 NIS2-To-Dos für Geschäftsführer – das müssen Chefs jetzt tun

Als Geschäftsführer tragen Sie die Verantwortung für die NIS2-Umsetzung in Ihrem Unternehmen. Unabhängig davon, ob Ihr Unternehmen bereits unter NIS1 fiel oder nun neu unter NIS2 fällt, sollten Sie folgende Schritte einleiten:

  1. Governance und Verantwortlichkeiten klären:
    Definieren Sie feste Rollen und Verantwortlichkeiten für die Umsetzung der NIS2-Anforderungen. Bringen Sie hierzu alle potenziell beteiligten Personen in Ihrem Unternehmen an einen Tisch, darunter die IT-Leitung, das Compliance-Management, den Datenschutzbeauftragten, Ihren CISO (falls vorhanden) sowie externe Dienstleister wie Ihren IT-Security-Berater. Die Aufsicht über die NIS2-Umsetzung obliegt dabei der Geschäftsführung bzw. dem Vorstand – denn nur Sie können am Ende auch haftbar gemacht werden.

  2. Externe Experten hinzuziehen:
    Führen Sie im Vorfeld ein internes Audit, eine GAP-Analyse oder einen Cyber Security Check durch – mit ihrem internen Compliance-Team oder einem externen Dienstleister –, um fehlende oder unzureichende NIS2-Maßnahmen zu identifizieren. Auf Basis dieser Ergebnisse erstellen Sie anschließend einen NIS2-Umsetzungsplan und wissen konkret, für welche Aufgaben Sie externe Unterstützung benötigen und welche NIS2-Doings Sie intern umsetzen können.

  3. Meldesysteme einrichten:
    Implementieren Sie Prozesse zur schnellen Erkennung und Meldung von Sicherheitsvorfällen innerhalb von 72 Stunden an die zuständigen Behörden. Aktualisieren Sie bestehende Prozesse und gehen Sie hier in den Austausch mit Ihrer IT-Leitung oder Ihrem IT-Systemhaus.

  4. Mitarbeiter sensibilisieren:
    Schulen Sie Ihre Mitarbeiter regelmäßig im sicheren Umgang mit IT-Systemen und klären Sie über aktuelle Cyber-Bedrohungen und Wirtschaftskriminalitätsfälle auf. Führen Sie regelmäßig E-Mail- und Voice-Phishing-Simulationen sowie Physical Assesments durch, um die erworbenen Kenntnisse in der Praxis zu testen.

  5. Technische Schutzmaßnahmen implementieren:
    Nutzen Sie aktuelle Sicherheitslösungen wie Firewalls, Intrusion-Detection-Systeme und regelmäßige Sicherheitsupdates. Führen Sie eine Zero-Trust-Architektur ein und nutzen Sie E-Mail-Authentifizierungen mit DMARC/SPF/DKIM.

  6. Risikomanagement auf NIS2-Niveau bringen:
    Führen Sie regelmäßige Risikobewertungen durch, um potenzielle Bedrohungen zu identifizieren und geeignete Sicherheitsmaßnahmen zu implementieren. Sollten Sie dies bereits tun, richten Sie Ihre Risikoanalysen spezifisch auf die NIS2-Anforderungen aus.

  7. Optional: ISMS erweitern:
    Sollte in Ihrem Unternehmen ein ISMS im Sinne der ISO 27001 implementiert sein, erweitern Sie dieses und versehen Sie es mit zusätzlichen Berichts- und Dokumentationspflichten im Bezug auf die NIS2.

Haftung und rechtliche Folgen – FAQ für Geschäftsführer

Kann ich persönlich haftbar gemacht werden?

Ja. NIS2 führt eine ausdrückliche Managementverantwortung ein. Bei grober Fahrlässigkeit oder Untätigkeit drohen Bußgelder oder Regressforderungen.

Wie lang ist die Frist für Meldungen?

72 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls.

Was gilt als „geeignete Maßnahme“?

Technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen und die konkrete Bedrohungslage berücksichtigen.

Bin ich mit ISO 27001-Zertifizierung auch NIS2-konform?

Nein. ISO 27001 ist hilfreich, aber NIS2 fordert darüberhinausgehende Kontroll-, Melde- und Dokumentationspflichten.

Fazit: NIS2 ist Chef-Sache

Mit der NIS2-Richtlinie wird Cybersicherheit zur Chef-Sache. Wer bereits NIS1-konform war, kann nicht davon ausgehen, dass die bisherigen Maßnahmen ausreichen. Es gilt, die neuen Anforderungen systematisch zu prüfen und entsprechende Schritte einzuleiten. Nur wer proaktiv handelt, schützt sein Unternehmen nachhaltig vor Cyberkriminalität und ist rechtlich abgesichert.

Sie sehen bei allen NIS2-Anforderungen den Wald vor lauter Bäumen nicht?

Wir bringen Licht ins Dunkle. Lassen Sie uns ins Gespräch kommen. Admijalo analysiert nicht nur Ihren IST-Zustand, sondern geht auch in die Umsetzung, damit Sie dauerhaft NIS2-konform sind. Jetzt Kontakt aufnehmen.

[VERWANDTE ARTIKEL]

Das könnte Sie auch interessieren

Partnerschaft

Standortsicherheit bei 7 von 10 Unternehmen mangelhaft

Lesen →
Zulieferer als attraktives Angriffsziel von Hackern

Zulieferer als attraktives Angriffsziel von Hackern

Lesen →
Deutsche Firmen im Fadenkreuz ausländischer Hacker

Deutsche Firmen im Fadenkreuz ausländischer Hacker

Lesen →