Was ist NIS2?
Die NIS2-Richtlinie einfach erklärt: Wer betroffen ist, was sie verlangt und warum Drittparteienmanagement dabei zentral ist.
NIS2 in einem Satz
Die NIS2-Richtlinie (Richtlinie EU 2022/2555) ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie verpflichtet Unternehmen in kritischen und wichtigen Sektoren, ihre Cybersicherheit — einschließlich der Sicherheit ihrer Lieferketten — systematisch zu managen.
Im Gegensatz zu DORA, die als EU-Verordnung direkt gilt, muss NIS2 von jedem Mitgliedstaat in nationales Recht umgesetzt werden. In Deutschland geschieht das durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Österreich durch das NISG 2024.
Wer ist von NIS2 betroffen?
NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie drastisch. Betroffen sind Unternehmen in 18 Sektoren, aufgeteilt in zwei Kategorien:
Sektoren mit hoher Kritikalität (Anhang I)
- Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren, CDNs)
- ICT-Service-Management (B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren (Anhang II)
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie
- Lebensmittel
- Verarbeitendes Gewerbe / Produktion
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Größenkriterium
NIS2 betrifft grundsätzlich Unternehmen ab:
- 50 Mitarbeiter oder
- 10 Millionen EUR Jahresumsatz
Bestimmte Unternehmen — wie DNS-Dienstleister oder qualifizierte Vertrauensdiensteanbieter — fallen unabhängig von der Größe unter die Richtlinie.
Die zentralen Pflichten unter NIS2
1. Risikomanagement-Maßnahmen
Betroffene Unternehmen müssen ein umfassendes Cybersicherheits-Risikomanagement implementieren. Dazu gehören:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
- Kryptografie und Verschlüsselung
- Sicherheit des Personals, Zugangskontrollen
- Multi-Faktor-Authentifizierung
2. Sicherheit der Lieferkette
Für das Thema Drittparteienmanagement besonders relevant: NIS2 verpflichtet Unternehmen ausdrücklich, die Sicherheit ihrer Lieferkette zu gewährleisten.
Das bedeutet:
- Risikobewertung der direkten Lieferanten und Dienstleister
- Berücksichtigung der Cybersicherheitspraktiken der Lieferanten
- Vertragliche Absicherung von Sicherheitsanforderungen
- Berücksichtigung der Gesamtqualität der Produkte und Dienste
Vertiefung: NIS2 und Lieferkettenmanagement.
3. Meldepflichten
Signifikante Sicherheitsvorfälle müssen gemeldet werden:
- Frühwarnung: Innerhalb von 24 Stunden
- Erstbewertung: Innerhalb von 72 Stunden
- Abschlussbericht: Innerhalb eines Monats
4. Governance und Verantwortlichkeit
Die Geschäftsführung trägt die Verantwortung für die Cybersicherheit — und kann persönlich haftbar gemacht werden.
Vertiefung: NIS2 Geschäftsführer-Haftung.
NIS2 vs. DORA: Was ist der Unterschied?
Beide Regulierungen adressieren Cybersicherheit und Drittparteienrisiken, aber mit unterschiedlichem Fokus:
| Dimension | DORA | NIS2 |
|---|---|---|
| Typ | EU-Verordnung (direkt anwendbar) | EU-Richtlinie (nationale Umsetzung) |
| Zielgruppe | Finanzsektor | 18 Sektoren (inkl. Finanz) |
| Fokus | ICT-Risiken und digitale Resilienz | Breite Cybersicherheit |
| TPRM | Sehr detailliert (Art. 28-30, RoI) | Allgemein (Lieferkettensicherheit) |
| Geltung | Seit Januar 2025 | Nationale Umsetzung läuft |
Für Finanzunternehmen gilt: DORA hat Vorrang als lex specialis (spezielleres Gesetz). Aber: NIS2 kann zusätzliche Anforderungen stellen, die über DORA hinausgehen.
Ausführlicher Vergleich: DORA vs. NIS2.
Warum NIS2 auch ohne fertiges Gesetz relevant ist
Die nationale Umsetzung in Deutschland läuft noch. Trotzdem sollten betroffene Unternehmen jetzt handeln:
- Die Anforderungen stehen fest. Die EU-Richtlinie definiert die Pflichten. Die nationale Umsetzung konkretisiert Details, aber die Grundpflichten ändern sich nicht.
- Umsetzung braucht Zeit. Cybersicherheits-Risikomanagement und Lieferkettenmanagement lassen sich nicht in wenigen Wochen aufbauen.
- Kunden und Partner fragen. Grossunternehmen, die selbst NIS2-pflichtig sind, werden Anforderungen an ihre Lieferanten weitergeben — auch an kleinere.
- Wettbewerbsvorteil. Unternehmen, die früh handeln, können NIS2-Readiness als Differenzierungsmerkmal nutzen.
Nächste Schritte
- NIS2 und Lieferkettenmanagement — was die Lieferketten-Pflichten konkret bedeuten
- NIS2 Geschäftsführer-Haftung — warum die Geschäftsführung persönlich betroffen ist
- DORA vs. NIS2 — Gemeinsamkeiten und Unterschiede beider Regulierungen
- Was ist Third-Party Risk Management? — Grundlagen des Drittparteienmanagements