NIS 2: Wer ist betroffen?

Bisher konzentrierte sich die Regulierung (NIS1) in Deutschland vor allem auf die „Großen“ – die klassischen KRITIS-Betreiber wie Kraftwerke, große Wasserversorger oder die Deutsche Bahn. NIS2 bringt wesentliche Änderungen.

Warum die Ausweitung?

Die Vernetzung der Wirtschaft führt dazu, dass ein Angriff auf einen mittelständischen Zulieferer ganze Produktionsstraßen bei DAX-Konzernen lahmlegen kann. Die EU verfolgt daher den Ansatz der „kollektiven Resilienz“. Wenn jeder (ab einer gewissen Größe) ein Mindestmaß an Sicherheit garantiert, sinkt das Gesamtrisiko für den Wirtschaftsstandort.

Hier die Sektoren und Schwellenwerte im Detail:

Die Größenklassen nach EU-Definition

Die Einordnung erfolgt nach der Empfehlung 2003/361/EG:

• Mittlere Unternehmen: 50 bis 249 Mitarbeiter ODER ein Jahresumsatz zwischen 10 Mio. € und 50 Mio. € (bzw. Bilanzsumme bis 43 Mio. €).
• Große Unternehmen: Ab 250 Mitarbeitern ODER ab 50 Mio. € Umsatz (bzw. 43 Mio. € Bilanzsumme).

Die Sektoren-Logik: „Wesentlich“ vs. „Wichtig“

Es wird zwischen zwei Anhängen unterschieden. Diese bestimmen, wie scharf die Aufsicht durch das BSI ausfällt.

Sektor 1: Hohe Kritikalität (Wesentliche Einrichtungen)

Diese Unternehmen unterliegen einer Ex-ante-Aufsicht. Das bedeutet: Das BSI kann jederzeit proaktiv prüfen, ob die Maßnahmen umgesetzt sind.

• Energie: Strom, Fernwärme, Erdöl, Erdgas sowie Wasserstoff.
• Verkehr: Luftfahrt, Schienenverkehr, Schifffahrt und Straßenverkehr.
• Bank- und Finanzwesen: Kreditinstitute und Handelsplätze.
• Gesundheit: Krankenhäuser, Labore, Forschung und die Herstellung von Arzneimitteln.
• Trink- und Abwasser.
• Digitale Infrastruktur: DNS-Dienste, Cloud-Anbieter, Rechenzentren, Vertrauensdienste.
• Öffentliche Verwaltung & Weltraum.

Sektor 2: Sonstige kritische Sektoren (Wichtige Einrichtungen)

Hier gilt die Ex-post-Aufsicht. Das BSI wird im Regelfall erst aktiv, wenn es einen Vorfall gibt oder konkrete Anhaltspunkte für Versäumnisse vorliegen. Dennoch sind die Sicherheitsanforderungen nahezu identisch!

• Post- und Kurierdienste.
• Abfallbewirtschaftung.
• Chemie: Herstellung, Produktion und Handel mit Chemikalien.
• Lebensmittel: Produktion, Verarbeitung und Vertrieb (Großhandel).
• Verarbeitendes Gewerbe: Hier trifft es den deutschen Maschinenbau und die Automotive-Branche hart. Wer Medizinprodukte, Computer, optische Erzeugnisse, elektrische Ausrüstungen, Maschinen oder Kraftwagen herstellt, ist dabei.
• Digitale Dienste: Online-Marktplätze, Suchmaschinen und soziale Netzwerke.
• Forschung.

Ein kritischer Punkt, der oft übersehen wird, ist Artikel 21 Abs. 2 Buchst. d der NIS2-Richtlinie. Dieser verpflichtet regulierte Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten.

Das Praxisbeispiel: Ein mittelständischer Stanzbetrieb hat nur 40 Mitarbeiter und macht 8 Mio. € Umsatz. Eigentlich fällt er nicht unter NIS2. Dieser Betrieb liefert jedoch spezialisierte Bauteile an einen großen Automobilhersteller (Wesentliche Einrichtung). Der Automobilhersteller muss nun im Rahmen seines eigenen Risikomanagements sicherstellen, dass seine Zulieferer keine „Einfallstore“ für Hacker sind.

Das Ergebnis: Der Zulieferer bekommt neue Vertragsbedingungen diktiert, die NIS2-Konformität fordern. Ohne Zertifizierung oder Nachweis der Cybersicherheit droht der Verlust des Großkunden. NIS2 wirkt somit wie ein Staubsauger, der auch Kleinstunternehmen einzieht.

Betroffene Unternehmen müssen „geeignete, verhältnismäßige und wirksame technische, operative und organisatorische Maßnahmen“ ergreifen. Das Gesetz nennt einen Mindestkatalog:

1. Konzepte für Risikoanalyse und Sicherheit: Dokumentierte Prozesse, wie Risiken bewertet werden.
2. Bewältigung von Vorfällen: Ein Incident-Response-Plan (Was tun, wenn es brennt?).
3. Business Continuity Management (BCM): Backup-Management, Disaster Recovery und Aufrechterhaltung des Betriebs.
4. Sicherheit der Lieferkette: Überprüfung der Sicherheitsstandards bei Partnern.
5. Sicherheit bei Erwerb, Entwicklung und Instandhaltung: Cybersecurity im gesamten Lebenszyklus von IT-Systemen.
6. Kryptografie und Verschlüsselung: Schutz von Daten im Ruhestand und bei der Übertragung.
7. Personalsicherheit und Zugriffskontrolle: Wer darf was? Schulungen für Mitarbeiter.
8. Multi-Faktor-Authentifizierung (MFA): Ein Passwort reicht nicht mehr aus.

Die Reaktionszeit bei Cyberangriffen wird drastisch verkürzt. Bei einem „erheblichen Sicherheitsvorfall“ greift ein mehrstufiges Meldesystem an das BSI:

• Innerhalb von 24 Stunden: Eine erste „Frühwarnung“.
• Innerhalb von 72 Stunden: Eine Aktualisierung der Meldung inklusive einer ersten Bewertung des Vorfalls.
• Nach einem Monat: Ein abschließender Bericht über die Ursachen und getroffenen Abhilfemaßnahmen.

Dies ist der Hebel, der NIS2 von einer bloßen IT-Richtlinie zu einem Vorstands Thema macht.

Billigung und Überwachung:

Die Geschäftsführung darf die Umsetzung nicht einfach an den IT-Leiter delegieren und „vergessen“. Sie muss die Maßnahmen billigen und deren Umsetzung überwachen.

Persönliche Haftung:

Das deutsche Umsetzungsgesetz sieht vor, dass die Geschäftsleitung für Versäumnisse haftet. Bei grober Fahrlässigkeit können Manager mit ihrem Privatvermögen in Regress genommen werden. Zudem können Behörden die zeitweise Untersagung der Geschäftsführungstätigkeit anordnen, wenn Mängel nicht behoben werden.

Schulungspflicht:

Geschäftsführer und Vorstände sind gesetzlich verpflichtet, regelmäßig an Schulungen teilzunehmen, um die Risiken der Cybersicherheit beurteilen zu können. „Ich wusste nicht, dass das gefährlich ist“ gilt künftig nicht mehr als Entschuldigung.

Die Bußgelder orientieren sich an der DSGVO, sind aber teilweise noch schärfer:

• Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist).
• Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

• Klarheit über den eigenen Status: Zuerst einmal geht es darum, ob ein Betrieb als „wesentlich“ oder „wichtig“ eingestuft wird, da dies den Grad der staatlichen Überwachung bestimmt.
• Abgleich mit Standards: Bestehende Sicherheitsvorkehrungen werden meist an festen Frameworks wie der ISO 27001 gemessen, um Schwachstellen im System zu finden.
• Ressourcen und Budget: Cybersicherheit wird zum festen Budgetposten, da moderne Tools für die Authentifizierung (MFA) und Bedrohungserkennung Geld und Fachpersonal kosten.
• Systematisches Risikomanagement: Es wird ein strukturierter Prozess erwartet, um Gefahren frühzeitig zu erkennen und nicht nur passiv auf Angriffe zu reagieren.
• Faktor Mensch: Da Technik allein nicht reicht, rücken Schulungen in den Fokus, um die Belegschaft für Gefahren wie Phishing zu sensibilisieren.
• Vorbereitung auf den Ernstfall: Unternehmen brauchen einen klaren Plan für den IT-Notfall, damit jeder weiß, was bei einem Ransomware-Angriff zu tun ist.
• Sicherheit in der Lieferkette: Die Verantwortung endet nicht am eigenen Werkstor; auch die Sicherheitsstandards von Dienstleistern und Partnern müssen geprüft werden.
• Kommunikation mit Behörden: Es gibt feste Wege und extrem kurze Fristen für die Meldung von Vorfällen an das BSI, die im Ernstfall sitzen müssen.
• Technisches Fundament: Moderne Schutzmaßnahmen wie Multi-Faktor-Authentifizierung und eine durchdachte Backup-Strategie (3-2-1-Regel) werden zum Standard vorausgesetzt.
• Dokumentationspflicht: Für Behörden ist die IT-Sicherheit nur dann vorhanden, wenn sie lückenlos schriftlich dokumentiert und nachweisbar ist.

NIS2 ist eine Herausforderung, aber auch eine Chance. Unternehmen, die jetzt ihre Hausaufgaben machen, schützen sich nicht nur vor Bußgeldern und Haftung, sondern stärken ihr Vertrauen bei Kunden und Partnern. In einer digitalen Welt ist Resilienz ein Wettbewerbsvorteil.

Ab wann muss mein Unternehmen die NIS2-Vorgaben erfüllen?

Die EU-Richtlinie ist bereits in Kraft. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht gegossen. Obwohl sich der parlamentarische Prozess verzögert hat, wird mit einer finalen Verabschiedung im Jahr 2024/2025 gerechnet. Wichtig: Es gibt keine langen Übergangsfristen nach Verkündung des Gesetzes. Da technische Umstellungen oft Monate dauern, ist „jetzt“ der richtige Zeitpunkt für die Vorbereitung.

Was passiert, wenn ich mein Unternehmen nicht beim BSI registriere?

Die Registrierungspflicht ist eine der zentralen administrativen Neuerungen. Wer sich nicht rechtzeitig registriert, begeht eine Ordnungswidrigkeit. Das BSI kann in diesem Fall bereits Bußgelder verhängen, noch bevor überhaupt ein IT-Sicherheitsvorfall eingetreten ist.

Muss ich mich nach ISO 27001 zertifizieren lassen?

NIS2 schreibt keine spezifische Zertifizierung wie die ISO 27001 zwingend vor, fordert aber Maßnahmen, die dem „Stand der Technik“ entsprechen. Eine Zertifizierung nach ISO 27001 oder TISAX (für die Automobilindustrie) ist jedoch der sicherste Weg, um die Einhaltung der Anforderungen gegenüber Behörden und Kunden nachzuweisen.

Gilt die Mitarbeiterzahl pro Standort oder für die ganze Gruppe?

Hier gilt das Konzern Prinzip. Wenn Ihr lokaler Standort nur 30 Mitarbeiter hat, aber zu einer Unternehmensgruppe gehört, die insgesamt die Schwellenwerte (über 50 Mitarbeiter oder entsprechenden Umsatz) überschreitet, ist auch Ihr Standort voll berichtspflichtig.

Sind Kommunalverwaltungen und Eigenbetriebe auch betroffen?

Ja, die öffentliche Verwaltung wurde unter NIS2 deutlich stärker in die Pflicht genommen. Das betrifft nicht nur Ministerien, sondern oft auch kommunale Eigenbetriebe (z. B. Stadtwerke oder Entsorger), sofern sie die entsprechenden Schwellenwerte erreichen oder kritische Dienstleistungen erbringen.

Kann ich die Haftung auf meinen IT-Dienstleister übertragen?

Nein. Zwar kann die operative Umsetzung (z. B. das Einspielen von Patches) an einen Dienstleister delegiert werden, die Verantwortung für die Einhaltung der Richtlinie bleibt jedoch immer bei der Geschäftsführung des betroffenen Unternehmens. NIS2 schließt eine vollständige Haftungsübertragung durch Outsourcing explizit aus.

Wir sind ein reiner B2B-Dienstleister – warum betrifft uns das?

Gerade im B2B-Bereich greift die Lieferkettensicherheit. Große Konzerne müssen ihre Lieferanten auditieren. Wenn Sie als Dienstleister keinen Nachweis über Ihre IT-Sicherheit erbringen können, werden Sie bei künftigen Ausschreibungen oder Vertragsverlängerungen sehr wahrscheinlich aussortiert.