5 wichtige Änderungen von NIS1 zu NIS2

Seit dem 16. Januar 2023 ist die NIS2-Richtlinie in Kraft und verpflichtet die EU-Mitgliedstaaten, diese bis zum 17. Oktober 2024 in nationales Recht umzusetzen.

Bis Mitte 2025 meldete die Europäische Kommission, dass bisher nur wenige Länder, darunter Belgien, Kroatien, Ungarn, Italien, Lettland und Litauen, die Richtlinie vollständig in nationales Recht umgesetzt haben. In wichtigen Mitgliedstaaten wie Frankreich, Deutschland, den Niederlanden und Schweden wurde das entsprechende Gesetzgebungsverfahren noch nicht abgeschlossen.

Dadurch entsteht eine fragmentierte Umsetzungslandschaft innerhalb der EU mit unterschiedlichen Vorbereitungs- und Konformitätsständen.

Laut der offiziellen Leitlinien der Kommission entfalten EU-Richtlinien keine direkte Wirkung, sondern müssen durch ein nationales Gesetz in jedem Mitgliedstaat umgesetzt werden. In Ländern ohne Umsetzung gibt es daher keine verbindliche rechtliche Grundlage, um Unternehmen zur Einhaltung der wichtigsten NIS2-Vorgaben, etwa im Bereich Cybersicherheit oder Meldepflichten, zu verpflichten.

Trotz der uneinheitlichen Umsetzung ruft die Kommission Organisationen dazu auf, frühzeitig aktiv zu werden. Denn sobald das nationale Gesetz steht, wird auch die Durchsetzung beginnen und verspätete Vorbereitung kann zu Compliance-Risiken führen.

Was Organisationen jetzt tun sollten

Diese zusätzliche Zeit gibt Unternehmen und Institutionen die Möglichkeit, sich gezielt vorzubereiten:

1. Die Unterschiede zwischen NIS1 und NIS2 zu verstehen, z. B. erweiterte Sektoren, strengere Anforderungen und höhere Bußgelder
2. Den eigenen Cybersicherheitsstatus systematisch zu analysieren
3. Lücken in technischen und organisatorischen Maßnahmen zu identifizieren
4. Sich auf neue Meldepflichten, z. B. die 24-Stunden-Frist bei schwerwiegenden Sicherheitsvorfällen, vorzubereiten

Mit dem baldigen Abschluss der Umsetzungsverfahren in den verbleibenden Mitgliedstaaten sollten Organisationen und Unternehmen gesetzliche Entwicklungen auf nationaler Ebene eng verfolgen und sich auch ohne formale Verpflichtung jetzt schon an den Richtlinienzielen orientieren.

1. Erweiterter Anwendungsbereich

Der Übergang von NIS1 zu NIS2 bringt einen deutlich erweiterten Anwendungsbereich mit sich. Während sich NIS1 primär auf Betreiber:innen wesentlicher Dienste (z. B. aus den Bereichen Energie, Gesundheit, Verkehr, digitale Infrastruktur) konzentrierte, bezieht NIS2 nun auch zahlreiche weitere Sektoren ein, etwa Post- und Kurierdienste, Lebensmittelproduktion, Wasserversorgung, Abfallwirtschaft sowie raumfahrtbezogene Dienste.

Die vollständige Übersicht der betroffenen Sektoren und Teilsektoren ist in Anhang I und II der Richtlinie abrufbar.

Außerdem erfolgt eine neue Einteilung in zwei Kategorien:

• Wesentliche Einrichtungen: z. B. Energieversorger:innen oder Krankenhäuser.
• Wichtige Einrichtungen: z. B. Unternehmen aus dem Lebensmittelsektor oder der chemischen Industrie.

Zudem wird die Größenschwelle gesenkt: Auch kleine und mittlere Unternehmen (KMU), die eine kritische Rolle in diesen Bereichen spielen, fallen nun unter die Richtlinie. Ziel ist ein widerstandsfähigeres und einheitlicheres Cybersicherheitsniveau in der EU, ohne Ausnahmen für besonders verwundbare Bereiche.

2. Risikomanagement und Cybersicherheitsanforderungen

Im Vergleich zu NIS1 verschärft NIS2 die Anforderungen an das Risikomanagement deutlich. Laut Artikel 21 der Richtlinie müssen betroffene Organisationen künftig u. a.:

• Verschlüsselung auf dem aktuellen Stand der Technik einsetzen, sowohl bei der Datenübertragung als auch bei der Datenspeicherung.
• Notfallpläne und Wiederanlaufstrategien (Business Continuity) erarbeiten und regelmäßig testen.
• Cybersicherheitsaudits und Risikobewertungen durchführen, sowohl intern als auch bei Dienstleister:innen.
• Mitarbeiter:innen schulen, etwa zur Erkennung von Phishing, zur Passwortsicherheit oder zur Meldung verdächtiger Vorfälle.

Der Fokus liegt dabei insbesondere auf Risiken durch die Lieferkette und Dritte. NIS2 betont, dass Cybersicherheit nicht nur intern, sondern auch über Partner:innen hinweg gedacht werden muss.

3. Meldepflichten bei Sicherheitsvorfällen

Auch bei der Meldung von Sicherheitsvorfällen gibt es unter NIS2 erhebliche Änderungen. Gemäß Artikel 23 gilt nun:

• Erste Meldung innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls.
• Folgebericht spätestens nach 72 Stunden.
• Abschlussbericht innerhalb von einem Monat mit Ursachenanalyse, Auswirkungen und ergriffenen Maßnahmen.

Die Berichte müssen über ein zentrales EU-Meldesystem eingereicht werden. Einheitliche Protokolle sollen die Zusammenarbeit mit den nationalen CERTs/CSIRTs erleichtern und die schnelle Reaktion auf Bedrohungen fördern.

4. Harmonisierung in der EU

Ein großer Vorteil von NIS2 gegenüber NIS1 ist die einheitlichere Umsetzung in den Mitgliedstaaten. Während NIS1 den Ländern mehr Spielraum bei der Einstufung der Unternehmen ließ, führt NIS2 einheitliche Kriterien ein, um regulatorische Unterschiede zu minimieren.

Darüber hinaus fördert NIS2 die grenzüberschreitende Zusammenarbeit, z. B. durch:

• Gemeinsame Lagebilder und Bedrohungsaustausch über ENISA,
• Koordinierte Reaktionen bei großen Vorfällen,
• Eine zentrale EU-Datenbank für Schwachstellen.

5. Durchsetzung und Sanktionen

Die neuen Regelungen sehen bei Verstößen deutlich härtere Sanktionen vor. Gemäß Artikel 34 drohen Unternehmen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Zudem werden Geschäftsführer:innen und Vorstandsmitglieder explizit in die Verantwortung genommen. Sie müssen:

• die Einhaltung der Cybersicherheitsanforderungen aktiv überwachen,
• Strategien zum Risikomanagement genehmigen,
• und dafür sorgen, dass Meldepflichten eingehalten werden.

Damit geht NIS2 deutlich über die IT-Abteilung hinaus und verlangt Verantwortung auf Führungsebene, inklusive möglicher persönlicher Haftung im Schadensfall.

Die Nichteinhaltung der NIS2-Richtlinie kann für Organisationen schwerwiegende Folgen haben. Neben hohen finanziellen Strafen kann dies den Ruf des Unternehmens schädigen, das Vertrauen der Kund:innen mindern und rechtliche Konsequenzen nach sich ziehen.

Die wichtigsten Risiken sind:

1. Verwaltungsstrafen: Organisationen können mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, belegt werden (NIS2-Richtlinie, Artikel 34).
2. Durchsetzungsmaßnahmen: Aufsichtsbehörden können Unternehmen, die nicht compliant sind, untersuchen und prüfen. Solche Prüfungen können weitere Sicherheitsmängel aufdecken, was zu verpflichtenden Systemupgrades oder Betriebsausfällen führen kann.
3. Reputationsschäden: Unternehmen können verpflichtet werden, ihre Nicht-Einhaltung öffentlich bekanntzugeben, was dem Ansehen und dem Vertrauen der Kund:innen ernsthaft schadet.
4. Betriebsstörungen: Schwache Cybersicherheitsmaßnahmen erhöhen das Risiko von Datenpannen, die zu Dienstunterbrechungen und Umsatzverlusten führen können.
5. Persönliche Sanktionen: Bei grober Fahrlässigkeit können Führungskräfte persönlich haftbar gemacht werden. Dies kann zeitweise Berufsverbote und andere Sanktionen nach sich ziehen.

Organisationen sollten die Einhaltung der NIS2-Richtlinie prioritär behandeln, um diese Risiken zu vermeiden und ihren Betrieb sowie ihre Reputation zu schützen.

Der Übergang von NIS1 zu NIS2 ist ein notwendiger Schritt zur Stärkung der Cybersicherheit in der Europäischen Union (NIS2-Richtlinie). Der erweiterte Anwendungsbereich und die strengeren Anforderungen der Richtlinie spiegeln die sich wandelnde Bedrohungslage wider und verdeutlichen die Notwendigkeit eines proaktiven Vorgehens zum Schutz kritischer Infrastrukturen und essenzieller Dienste.

Obwohl viele EU-Mitgliedstaaten die Umsetzung von NIS2 in nationales Recht verzögert haben, müssen Organisationen jetzt handeln, um ihre aktuellen Cybersicherheitsmaßnahmen zu prüfen, Lücken zu identifizieren und Strategien zur Einhaltung der Richtlinie zu implementieren.

Ein Versäumnis kann ernsthafte Konsequenzen nach sich ziehen, einschließlich finanzieller Sanktionen und Reputationsschäden (Europäische Kommission zu Durchsetzung).

Zur Vorbereitung auf die NIS2-Konformität sollten Organisationen die Anforderungen der Richtlinie sorgfältig prüfen und bei Bedarf fachkundige Beratung in Anspruch nehmen.

F: Was ist der Hauptunterschied zwischen NIS1 und NIS2?
A: NIS2 erweitert den Anwendungsbereich auf mehr Sektoren und kleinere Organisationen und führt strengere Anforderungen sowie schnellere Meldepflichten ein.

F: Was passiert, wenn eine Organisation NIS2 nicht einhält?
A: Organisationen können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes, Reputationsverluste, Prüfungen und rechtliche Konsequenzen erwarten.

F: Bis wann müssen die EU-Mitgliedstaaten NIS2 in nationales Recht umsetzen?
A: Die EU-Mitgliedstaaten müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.