Rechtec Logo

NIS-2-Richtlinie


Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Stärkung der Cybersicherheit innerhalb der Europäischen Union. Sie wurde im Januar 2023 verabschiedet und muss von den Mitgliedstaaten in nationales Recht umgesetzt werden. Ziel der Richtlinie ist es, die digitale Resilienz in Europa zu erhöhen und ein einheitliches, hohes Schutzniveau für Netz- und Informationssysteme sicherzustellen.

Im Vergleich zur Vorgängerrichtlinie NIS-1 wurde der Anwendungsbereich deutlich ausgeweitet. Neben klassischen Betreibern kritischer Infrastrukturen – etwa aus den Bereichen Energie, Verkehr oder Gesundheit – sind nun auch weitere Branchen einbezogen. Dazu zählen unter anderem Anbieter digitaler Dienste, die öffentliche Verwaltung, die Trinkwasserversorgung, das Abfallmanagement sowie Hersteller sicherheitsrelevanter Produkte. Maßgeblich ist dabei vor allem die Größe eines Unternehmens – in der Regel sind Organisationen mit mehr als 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz betroffen.

Die NIS-2-Richtlinie verpflichtet die erfassten Einrichtungen dazu, umfassende technische und organisatorische Maßnahmen zur Gewährleistung der IT-Sicherheit umzusetzen. Dazu gehören ein wirksames Risikomanagement, die Prävention und Abwehr von Cyberangriffen, Protokolle zur Vorfallserkennung und -reaktion sowie regelmäßige Sicherheitsüberprüfungen und Audits. Besonders kritisch: Bei erheblichen Sicherheitsvorfällen gilt eine strenge Meldepflicht – die erste Meldung muss bereits innerhalb von 24 Stunden erfolgen.

Neben den organisatorischen Pflichten sieht NIS-2 auch einen deutlich verschärften Aufsichtsrahmen vor. Nationale Behörden erhalten umfangreiche Kontrollbefugnisse, und bei Verstößen drohen hohe Sanktionen. Die Bußgelder können – je nach Schwere und Unternehmensgröße – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen.

Mit der NIS-2-Richtlinie wird ein europaweit einheitlicher Standard für Cybersicherheit geschaffen. Dies stärkt nicht nur die Sicherheit digitaler Dienstleistungen, sondern fördert auch das Vertrauen in die digitale Infrastruktur innerhalb der EU. Unternehmen und Organisationen sind gut beraten, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen und geeignete Maßnahmen zur Umsetzung zu ergreifen.