NIS2UmsuCG: NIS2 Umsetzung in Deutschland – Anforderungen, betroffene Unternehmen und wie IAM-Strategien bei der Umsetzung helfen

28. Januar 2025 | 

Die NIS2-Richtlinie markiert einen entscheidenden Schritt in Richtung einer sicheren digitalen Zukunft der EU. Sie verpflichtet Unternehmen per Gesetz, ihre IT-Infrastruktur resilienter zu gestalten, um wachsenden Bedrohungen standzuhalten. Im Gesetzesentwurf zum deutschen NIS2-Umsetzungsgesetz heißt es etwa: „Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist eine zentrale Aufgabe (…) um den Wirtschaftsstandort Deutschland und den Binnenmarkt der Europäischen Union insgesamt robust und leistungs- und funktionsfähig zu halten1; S.2.“Seit 16.1.2023 ist die Richtlinie EU-weit in Kraft, muss aber erst in nationales Recht umgesetzt werden.2 Mit dem NIS2UmsuCG wird dies in den nächsten Monaten in Deutschland erfolgen, sodass Unternehmen schon bald die NIS2-Anforderungen umsetzen müssen, andernfalls drohen Bußgelder und weitere Konsequenzen.

In diesem Blogpost erfahren Sie, was NIS2 für Unternehmen in Deutschland bedeutet: Welche Vorgaben gelten und ab wann, welche Unternehmen betroffen sind und welche Maßnahmen notwendig sind, um die Anforderungen zu erfüllen.

Hintergründe zu NIS2

Cyberangriffe verursachen in Deutschland jährlich immense Schäden. Laut einer Umfrage des Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V. ) belief sich der Gesamtschaden durch Cyberkriminalität in Deutschland zwischen 2021 bis 2023 auf durchschnittlich 210,7 Milliarden Euro pro Jahr1. Auch wenn mit der vollständigen Umsetzung der NIS2-Sicherheitsstandards nicht alle Angriffe abgewehrt werden können, würde eine Schadensreduzierung um 50 % der deutschen Wirtschaft mehr als 3,6 Milliarden Euro einsparen1.

Die EU-NIS2-Richtlinie legt das Mindestmaß an Sicherheitsvorgaben fest, das jedes Mitgliedsland umsetzen muss. Nationale Gesetze wie das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) dürfen diese Vorgaben erweitern, jedoch nicht abschwächen.

Laut aktuellen Schätzungen können nur etwa 20% der betroffenen Unternehmen derzeit eine NIS2-Compliance nachweisen – der Handlungsbedarf ist entsprechend hoch. Die Umsetzung von NIS2 ist allerdings nicht zu unterschätzen: Die Anforderungen sind komplex und erfordern umfassende Sicherheitsmaßnahmen, deren Umsetzung bis zu 18 Monate dauern kann. Unternehmen, die die Vorgaben noch nicht erfüllen, müssen dringend handeln, um Bußgelder und weitere Konsequenzen zu vermeiden.

Für welche Unternehmen gilt die NIS2 Richtlinie?

Mit NIS2 steigt die Zahl der betroffenen Unternehmen in Deutschland drastisch: Während die ursprüngliche NIS-Richtlinie nur rund 1.800 Unternehmen erfasste, fallen nun etwa 30.000 Unternehmen unter die neuen Vorgaben. Auch kleine und mittlere Unternehmen (KMUs) können betroffen sein, wenn sie als kritisch eingestuft werden.

Die NIS2-Richtlinie folgt, ähnlich wie die DORA-Verordnung, dem Proportionalitätsprinzip, das Anforderungen an Größe, Branche und Risiko ausrichtet. Die NIS2-Richtlinie betrifft Unternehmen, die als „besonders wichtige“ oder „wichtige“ Einrichtungen eingestuft werden. Die Einteilung erfolgt auf Basis von Sektoren, Mitarbeiterzahl und Jahresumsatz.

Betroffen sind Unternehmen in kritischen Sektoren, wie Energie (IT und auch Operational Technology , OT) wird berücksichtigt, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur oder Weltraum. Für „wichtige Einrichtungen“ erweitert sich der Fokus auf zusätzliche Sektoren, darunter Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Lebensmittelherstellung, das verarbeitende Gewerbe (z.B. Medizinprodukten oder Kraftfahrzeuge), Anbieter digitaler Dienste sowie Forschung.

Darstellung der wesentlichen und wichtigen Sektoren, die unter die NIS2-Richtlinie fallen. Zu den wesentlichen Sektoren gehören unter anderem Bankenwesen, Gesundheitssektor und Energie. Zusätzliche Sektoren wie Telekommunikation, Abfallentsorgung und Forschung werden ebenfalls aufgelistet. Farbige Symbole visualisieren die einzelnen Sektoren.

Sind Unternehmen in diesen Sektoren tätig und erfüllen zusätzlich folgende Anforderungen, fallen sie unter NIS2:

  • Besonders wichtige Einrichtungen: Unternehmen in kritischen Sektoren mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von über 50 Millionen Euro. Dazu zählen auch Betreiber kritischer Anlagen oder Anbieter digitaler Infrastruktur. Telekommunikationsanbieter sind bereits ab 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro betroffen.
  • Wichtige Einrichtungen: Unternehmen in kritischen Sektoren mit mindestens 50 Mitarbeitenden oder einem Umsatz von über 10 Millionen Euro, sowie alle Telekommunikationsanbieter die nicht bereits als besonders wichtige Einrichtung eingestuft sind.

Gehört Ihr Unternehmen dazu? Dann müssen Sie mit Inkrafttreten des NIS2UmsuCG die Vorgaben der NIS2-Richtlinie erfüllen!

Sind internationale Unternehmen von NIS2 betroffen?

Auch Unternehmen aus Nicht-EU-Ländern können indirekt von NIS2 betroffen sein. Wenn ein Unternehmen umfangreiche Geschäftsaktivitäten oder enge Anknüpfungspunkte in einem EU-Land hat, muss es mit hoher Wahrscheinlichkeit ebenfalls NIS2-konform sein. Besonders bei Unternehmen in der Schweiz oder dem Vereinigten Königreich hängt die Anwendung der NIS2-Anforderungen stark von der Marktpräsenz und den Verbindungen in die EU ab. Da die genauen Auswirkungen auf Unternehmen außerhalb der EU von nationalen Gesetzen abhängen, ist es entscheidend, rechtlichen Rat einzuholen, um individuelle Fälle zu prüfen und potenzielle Risiken zu minimieren.

Ab wann gilt NIS2?

Deutschland, wie viele weitere EU-Mitgliedstaaten, hat die Frist vom 17. Oktober 2024 zur Umsetzung der NIS2-Richtlinie nicht eingehalten, was bedeutet, dass die Richtlinie aktuell noch nicht in deutsches Recht umgesetzt wurde. Der Gesetzesentwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde im Dezember 2024 vom Bundestag beschlossen und soll im Februar 2025 im Bundesrat final abgestimmt werden. Wenn alles wie geplant verläuft, könnte das Gesetz ab März 2025 in Kraft treten – ein genaues Datum gibt es noch nicht. Den aktuellen Umsetzungsstand können Sie jederzeit hier abrufen.

Gibt es eine Übergangsfrist?

Offiziell gibt es keine Übergangsfrist für die Einhaltung der NIS2-Vorgaben. In Ländern, die die Richtlinie fristgerecht umgesetzt haben, ist das nationale Gesetz direkt am 18. Oktober 2024 in Kraft getreten. Für Deutschland bleibt die Situation jedoch eine rechtliche Grauzone: Theoretisch ist EU-Recht direkt bindend, wenn es klar und präzise formuliert ist. Praktisch wird NIS2 für deutsche Unternehmen verbindlich, sobald das NIS2UmsuCG in Kraft tritt.

Unternehmen müssen nachweisen, dass sie die NIS2-Vorgaben erfüllen, sobald dann eine Registrierung als „besonders wichtige“ oder „wichtige“ Einrichtung erfolgt ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) plant dafür eine digitalisierte Online-Portallösung. Sobald die Registrierung möglich ist, kann das BSI „besonders wichtige“ und „wichtige“ Unternehmen auch selbst registrieren.

Warum jetzt handeln?

Das BSI wird in Zukunft unangekündigte Tests und Überprüfungen durchführen, um sicherzustellen, dass Unternehmen die NIS2-Richtlinie einhalten. Ein Abwarten könnte erhebliche Risiken mit sich bringen:

  • Zeitdruck und Versäumnisse: Unternehmen, die zu spät mit der Umsetzung begonnen haben, werden kaum noch die Möglichkeit haben, ihre IAM-Strategien umfassend zu entwickeln und rechtzeitig die Vorgaben zu erfüllen. Dadurch setzen sie sich dem Risiko hoher Strafen, Reputationsverlusten und weiterer Konsequenzen aus.
  • Unterschätzte Einstufung: Auch kleinere Unternehmen können als „besonders wichtig“ oder „wichtig“ eingestuft werden. Diese Unternehmen verfügen oft nicht über ausreichende Ressourcen oder finanzielle Mittel für die notwendigen Maßnahmen. Gleichzeitig gibt es kaum Spielraum: Das BSI kann theoretisch intervenieren und Maßnahmen erzwingen, was den Handlungsspielraum der Unternehmen stark einschränkt.
  • Zunehmende Cybergefahr: Die Bedrohung durch Cyberangriffe war nie größer als heute. Unternehmen, die nicht NIS2-konform sind, riskieren nicht nur Strafen, sondern setzen sich auch einem erheblich höheren Sicherheitsrisiko aus, da sie möglicherweise nicht ausreichend geschützt sind.

Strafen bei Nicht-Compliance

Die Folgen einer Nicht-Compliance mit der NIS2-Richtlinie können gravierend sein. Neben hohen Geldbußen drohen zusätzliche Strafen, insbesondere bei Datenschutzverletzungen, die die Gesamtkosten weiter in die Höhe treiben. In einigen Fällen ist auch eine persönliche Haftung des Managements möglich, insbesondere wenn nachweislich nicht ausreichend in eine Strategie investiert wurde.

Die Geldbußen beginnen bei 100.000 Euro für kleinere Verstöße und können je nach Schwere zwischen 1 und 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes liegen, falls die Vorgaben nicht korrekt oder vollständig erfüllt werden. Zudem können zivilrechtliche Konsequenzen drohen. Unternehmen sollten sich der Risiken bewusst sein und frühzeitig Maßnahmen ergreifen, um diese zu minimieren.

Welche Anforderungen müssen für NIS2-Compliance erfüllt sein?

Eine durchdachte Identity and Access Management Strategie bietet einen effektiven Ansatz, um die Anforderungen von NIS2 zu erfüllen. Der Großteil der Anforderungen wird durch eine IAM-Lösung abgedeckt, beispielsweise zentrale Bereiche wie Risikomanagement, Incident Response und Compliance. Gleichzeitig stärkt IAM die gesamte Sicherheitsarchitektur eines Unternehmens. Hier ein Überblick, was Sie für die NIS2-Compliance beachten müssen:

Grafik zur Evaluierung von IAM-Lösungen im Kontext von NIS2. Aufgelistet sind kritische Sicherheitsbereiche wie Cybersecurity Risk Management, Incident Response, Business Continuity, und Compliance. Es wird unterschieden zwischen Bereichen, die durch eine IAM-Strategie vollständig oder teilweise abgedeckt werden können. Empfehlungen zur Umsetzung und Verbesserung der Sicherheitsstrategien sind ebenfalls enthalten.
  • Cybersecurity Risk Management: Überprüfen Sie Ihre Risikomanagement-Prozesse und Frameworks, und passen Sie diese an, um Bedrohungen frühzeitig zu erkennen und abzuwehren.
  • Incident Response, Reporting und Recovery: Entwickeln Sie eine effektive Strategie zur Bedrohungserkennung und -bewältigung, einschließlich der Integration von Identity Threat Detection and Response (ITDR) und Security Information and Event Management (SIEM) Systemen.
  • Business Continuity und Krisenmanagement: Stellen Sie sicher, dass Ihre Krisenmanagement-Strategie robust ist und es Ihnen ermöglicht, bei Sicherheitsvorfällen handlungsfähig zu bleiben und schnell und gezielt zu reagieren.
  • Supply Chain Security: Überprüfen Sie, ob Ihre Lieferanten NIS2- und ISO27001-konform arbeiten, und definieren Sie klare Service Level Agreements (SLAs).
  • Security in Network and Information Systems: Evaluieren Sie regelmäßig die Sicherheit Ihrer kritischen IT-Systeme und schließen Sie potenzielle Schwachstellen.
  • Access Controls, Policies and Procedures: Implementieren Sie Multi-Faktor-Authentifizierung (MFA) und setzen Sie Zero-Trust um, um unbefugten Zugriff zu verhindern.
  • Advanced Monitoring und Reporting: Richten Sie ein System zur Echtzeitüberwachung ein und nutzen Sie automatisiertes Reporting, um Sicherheitsvorfälle schnell zu erkennen.
  • Compliance und Audits: Führen Sie regelmäßige Audits durch, dokumentieren Sie Ihre Sicherheitsmaßnahmen und stellen Sie sicher, dass Sie alle regulatorischen Anforderungen erfüllen.
  • Cyber Hygiene: Schulen Sie Ihre Mitarbeitenden zu Cybersicherheit und Best Practices im Umgang mit IT-Systemen, um menschliche Fehler zu minimieren.

Welche zusätzlichen Anforderungen bringt NIS2?

Eine zentrale Rolle bei der NIS2-Compliance spielen die Bereiche Reporting und Auditing. Diese Anforderungen sind entscheidend, um den regulatorischen Vorgaben gerecht zu werden.

Reporting

Reporting ist eine der zentralen Neuerungen der NIS2-Richtlinie und bringt klare Meldepflichten für Unternehmen mit sich. Sicherheitsvorfälle – unabhängig davon, ob ein Angriff erfolgreich war oder nicht – müssen unverzüglich gemeldet werden. Dabei gelten strenge Fristen:

  • Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls ist eine Frühwarnung abzugeben.
  • Innerhalb von 72 Stunden muss ein detaillierter Bericht vorgelegt werden, der die Schwere, den Umfang und die Kompromittierung beschreibt.
  • Innerhalb eines Monats ist ein Abschlussbericht zu erstellen, der den Vorfall, dessen Ursachen, die ergriffenen Maßnahmen und mögliche grenzüberschreitende Auswirkungen darlegt.
Zeitstrahl zur Berichterstattung eines Sicherheitsvorfalls gemäß NIS2. Markiert wichtige Zeitfenster: Meldung des Vorfalls innerhalb von 24 Stunden an zuständige Behörden, Analyse des Vorfalls und Weiterleitung an das BSI innerhalb von 72 Stunden, sowie die Erstellung eines detaillierten Berichts innerhalb eines Monats. Am unteren Rand wird eine Best Practice hervorgehoben: Maßnahmen umsetzen, um zukünftige Vorfälle zu verhindern.

Zusätzlich hat das BSI die Befugnis, auch ohne vorliegende Sicherheitsvorfälle stichprobenartige Prüfungen durchzuführen. In bestimmten Fällen können Unternehmen vom BSI angewiesen werden, Sicherheitsvorfälle direkt an ihre Kunden zu melden. Diese Transparenzpflicht birgt erhebliche Risiken für das Unternehmensimage, da Schadensfälle so öffentlich bekannt werden können.

Auditing

Die NIS2-Richtlinie sieht regelmäßige Audits vor, um die Einhaltung der Anforderungen sicherzustellen:

  • Betreiber kritischer Systeme sind verpflichtet, ihre NIS2-Konformität alle drei Jahre durch ein verpflichtendes Audit nachzuweisen und die Ergebnisse an das BSI zu melden.
  • Für „wichtige“ und „sehr wichtige“ Unternehmen gibt es keine Meldepflicht an das BSI. Stattdessen führt das BSI stichprobenartige Tests und Überprüfungen durch, um sicherzustellen, dass die Vorgaben eingehalten werden.

Unabhängig davon, ob ein Audit verpflichtend oder stichprobenartig ist, gilt für alle betroffenen Unternehmen: Sie müssen ihre NIS2-Maßnahmen umfassend dokumentieren. Diese Dokumentation dient als Grundlage für Audits und Prüfungen und ermöglicht es, im Falle von Kontrollen schnell und transparent nachzuweisen, dass die Anforderungen erfüllt werden.

Mit iC Consult zur NIS2-Compliance

Eine durchdachte Identity & Access Management (IAM) Strategie ist der Schlüssel, um die anspruchsvollen Anforderungen des NIS2-Umsetzungsgesetzes erfolgreich zu erfüllen. Sie schützt nicht nur kritische Systeme und Daten, sondern verbessert auch die gesamte Sicherheitsarchitektur eines Unternehmens. Jetzt ist der perfekte Zeitpunkt, um Ihre Sicherheitsstrategien zu überdenken und in nachhaltige Lösungen zu investieren.

iC Consult steht Ihnen dabei zur Seite: Unsere Experten verfolgen die Gesetzesänderungen und Anforderungen rund um NIS2 und DORA genau und beraten Sie umfassend, wie Ihr Unternehmen diese erfolgreich umsetzen kann.

Wir bieten ein speziell entwickeltes 3-Tage-Workshop-Paket, das Ihnen hilft, die gesetzlichen Anforderungen von NIS2 und DORA zu evaluieren. Eine kombinierte Lösung aus Privileged Access Management (PAM) und Identity Governance and Administration (IGA) deckt dabei den Großteil der NIS2-Anforderungen ab. Mit einer integrierten Strategie schaffen Sie die Basis für eine effektive und nachhaltige Compliance.

Der Workshop umfasst:

  • Analyse der gesetzlichen Anforderungen und ihrer Auswirkungen auf Ihre IAM-Landschaft.
  • Ermittlung von Sicherheitslücken durch eine detaillierte Analyse des aktuellen Stands Ihrer PAM und IGA-Systeme.
  • Maßgeschneiderte Empfehlungen zur Einhaltung von NIS2 (und DORA), einschließlich Lösungen zur Lückenbehebung.
  • Beantwortung spezifischer Fragen und Verfeinerung der Analyseergebnisse in Zusammenarbeit mit Ihrem Team.

Am Ende des Workshops erhalten Sie einen klaren Mitigations-Plan und eine Compliance-Roadmap, die Sie gezielt zur NIS2-Compliance führt. Handeln Sie jetzt und sichern Sie Ihr Unternehmen gegen künftige Herausforderungen ab! Kontaktieren Sie uns – gemeinsam setzen wir NIS2 erfolgreich um!

1 Bundesministerium des Innern und für Heimat. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, 2024. https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html

2 Bundesamt für Sicherheit in der Informationstechnik. Fragen und Antworten zu NIS-2. https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-FAQ/FAQ-zu-NIS-2_node.html