Was ist NIS2? EU-Cybersicherheitsrichtlinie erklärt

Was ist NIS2?

Was ist NIS2? NIS2 (Richtlinie (EU) 2022/2555) legt verpflichtende Cybersicherheitsanforderungen in der gesamten EU fest und verpflichtet die Mitgliedstaaten, ihre Fähigkeiten zu stärken und Risikomanagementmaßnahmen in kritischen Sektoren umzusetzen. Die NIS2-Richtlinie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie auf 18 kritische Sektoren, darunter Energie, Transport, Banken, Gesundheitswesen, digitale Infrastruktur, Fertigung und öffentliche Verwaltung.

Ihr Vorstand hat gerade gefragt, ob Sie bereit für NIS2 sind. Sie haben in den Kalender geschaut. Die Umsetzungsfrist am 17. Oktober 2024 ist bereits verstrichen. Sie sind nicht allein: 23 EU-Mitgliedstaaten sahen sich Vertragsverletzungsverfahren wegen Versäumung dieser Frist gegenüber.

Jüngste Angriffe zeigen, warum EU NIS2 relevant ist. Im Mai 2021 erlitt der irische Gesundheitsdienst einen Conti-Ransomware-Angriff, der zur Absage von 80 % der ambulanten Termine führte und über 100 Millionen Euro an Wiederherstellungskosten verursachte. Der NotPetya-Angriff 2017 störte die weltweiten Schiffsoperationen von Maersk, zerstörte 45.000 PCs und 4.000 Server und verursachte Schäden in Höhe von 300 Millionen US-Dollar. Der Ransomware-Vorfall bei Colonial Pipeline im Jahr 2021 unterbrach die Treibstoffversorgung an der US-Ostküste und führte zu einer Lösegeldzahlung von 4,4 Millionen US-Dollar. Die EU fordert als Reaktion auf solche Vorfälle eine stärkere NIS2-Cybersicherheits-Governance in der kritischen Infrastruktur.

Das BSI in Deutschland bestätigte, dass etwa 29.500 Unternehmen unter NIS2 fallen, während Frankreich über 10.000 identifizierte. Sie sind betroffen, wenn Ihr Unternehmen in einem abgedeckten Sektor tätig ist und folgende Schwellenwerte erfüllt: 50 oder mehr Beschäftigte ODER mehr als 10 Millionen Euro Jahresumsatz. Kleine und Kleinstunternehmen mit weniger als 50 Beschäftigten UND 10 Millionen Euro oder weniger Jahresumsatz sind in der Regel ausgenommen, es sei denn, sie werden nach der CER-Richtlinie als kritisch eingestuft.

NIS2 führt ein zweistufiges Klassifizierungssystem ein, das Ihre regulatorische Belastung bestimmt. Wesentliche Einrichtungen operieren in 11 hochkritischen Sektoren, darunter Energie, Transport, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management (B2B), öffentliche Verwaltung und Raumfahrt. Wichtige Einrichtungen sind in 7 weiteren kritischen Sektoren tätig, darunter Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, Fertigung, digitale Anbieter und Forschungseinrichtungen.

Artikel 20 macht Leitungsorgane persönlich verantwortlich für die Genehmigung von Cybersicherheitsmaßnahmen, die Überwachung der Umsetzung und die Durchführung von Schulungen. Sie können die Verantwortung nicht nach oben delegieren oder mangelnde technische Kenntnisse als Verteidigung anführen. Diese Anforderungen an die Verantwortlichkeit stellen eine wesentliche Abweichung von der ursprünglichen Richtlinie dar.

NIS2 vs. NIS1: Was hat sich geändert

Die ursprüngliche NIS-Richtlinie von 2016 umfasste etwa 7 Sektoren und ließ den Mitgliedstaaten erhebliche Umsetzungsspielräume. Diese Flexibilität führte zu einer fragmentierten Regulierungslandschaft, in der identische Organisationen je nach Land unterschiedlichen Anforderungen unterlagen. Die NIS2-Verordnung adressiert diese Schwächen durch grundlegende strukturelle Änderungen.

Die Erweiterung des Geltungsbereichs ist die sichtbarste Änderung. NIS2 umfasst 18 Sektoren im Vergleich zur begrenzten Abdeckung von NIS1 und unterwirft Fertigung, Lebensmittelproduktion, Abfallwirtschaft, Postdienste und öffentliche Verwaltung verbindlichen Anforderungen. Die Richtlinie führt zudem klare Größenschwellen (50+ Beschäftigte oder 10 Mio. €+ Umsatz) ein, die die Anwendbarkeit eindeutig regeln.

Die Durchsetzung wurde vollständig überarbeitet. NIS1 fehlten harmonisierte Sanktionen, was zu uneinheitlichen Konsequenzen in den Mitgliedstaaten führte. NIS2 legt Mindestschwellen für Bußgelder fest (10 Mio. € oder 2 % Umsatz für wesentliche Einrichtungen) und gibt Aufsichtsbehörden explizite Befugnisse, Leitungsorgane bei Verstößen zu suspendieren. Die Richtlinie führt zudem persönliche Verantwortlichkeit für Leitungsorgane ein, eine Regelung, die in NIS1 völlig fehlte.

Die Meldefristen für Vorfälle wurden deutlich verschärft. NIS1 verlangte eine Benachrichtigung „ohne unangemessene Verzögerung“ ohne konkrete Frist. NIS2 schreibt eine 24-stündige Frühwarnung, eine 72-stündige Detailmeldung und einen Abschlussbericht nach einem Monat mit definierten Inhaltsanforderungen vor. Diese Zusammenfassung der NIS2-Richtlinie unterstreicht den Wandel hin zu strikterer Verantwortlichkeit und schnellerer Reaktion.

Wer muss NIS2 einhalten?

NIS2-Compliance ist verpflichtend für Organisationen, die in abgedeckten Sektoren tätig sind und bestimmte Größenschwellen erfüllen. Die Richtlinie gilt für mittlere und große Unternehmen, definiert als Einrichtungen mit 50 oder mehr Beschäftigten ODER einem Jahresumsatz von mehr als 10 Millionen Euro. Organisationen, die eine dieser Schwellen in einem abgedeckten Sektor erfüllen, unterliegen den NIS2-Anforderungen.

Kleine und Kleinstunternehmen mit weniger als 50 Beschäftigten UND einem Jahresumsatz von 10 Millionen Euro oder weniger sind in der Regel ausgenommen. Bestimmte Einrichtungen unterliegen jedoch unabhängig von ihrer Größe der Pflicht zur Einhaltung. Dazu gehören Anbieter öffentlicher elektronischer Kommunikationsnetze, Vertrauensdiensteanbieter, Register für Top-Level-Domains, DNS-Diensteanbieter und nach der CER-Richtlinie als kritisch eingestufte Einrichtungen.

Die Mitgliedstaaten behalten das Recht, auf Basis von Kritikalitätsbewertungen weitere Einrichtungen als wesentlich oder wichtig einzustufen. Ihre nationale zuständige Behörde veröffentlicht offizielle Listen, die den Geltungsbereich für Ihre Jurisdiktion verbindlich festlegen. Das BSI in Deutschland, die ANSSI in Frankreich und entsprechende Behörden in anderen Mitgliedstaaten betreiben Registrierungsportale, auf denen Sie Ihren Klassifizierungsstatus überprüfen können.

Organisationen mit mehreren Standorten in verschiedenen Ländern stehen vor zusätzlichen Herausforderungen. Wenn Sie in mehreren EU-Mitgliedstaaten tätig sind, müssen Sie NIS2 in jeder Jurisdiktion einhalten, in der Sie Dienstleistungen in abgedeckten Sektoren erbringen. Die Richtlinie sieht Kooperationsmechanismen zwischen den nationalen Behörden zur Koordination der Aufsicht über grenzüberschreitende Einrichtungen vor.

NIS2-Geltungsbereich und abgedeckte Sektoren

NIS2 unterteilt die abgedeckten Sektoren in zwei Kategorien, die die Intensität der Aufsicht und das Sanktionsrisiko bestimmen. Wesentliche Einrichtungen operieren in 11 hochkritischen Sektoren, während wichtige Einrichtungen in 7 weiteren kritischen Sektoren tätig sind.

Sektoren wesentlicher Einrichtungen umfassen:

• Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme und -kühlung)
• Transport (Luft, Schiene, Wasser, Straße)
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheit (Gesundheitsdienstleister, EU-Referenzlabore, Hersteller medizinischer Geräte, Pharmazeutika)
• Trinkwasserversorgung und -verteilung
• Abwassererfassung, -entsorgung und -behandlung
• Digitale Infrastruktur (Internet-Knotenpunkte, DNS-Anbieter, TLD-Register, Cloud-Computing, Rechenzentren, CDNs, Vertrauensdienste, öffentliche elektronische Kommunikation)
• ICT-Service-Management (B2B Managed Service Provider und Managed Security Service Provider)
• Öffentliche Verwaltung (zentrale Regierungsstellen)
• Raumfahrt (Betreiber bodengestützter Infrastrukturen zur Unterstützung weltraumgestützter Dienste)

Sektoren wichtiger Einrichtungen umfassen:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemie (Herstellung, Produktion, Vertrieb)
• Lebensmittelproduktion, -verarbeitung und -vertrieb
• Fertigung (medizinische Geräte, Computer, Elektronik, Maschinen, Kraftfahrzeuge, Transportausrüstung)
• Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungseinrichtungen

Dieser sektorbasierte Ansatz stellt sicher, dass die NIS2-Cybersicherheitsanforderungen entsprechend der potenziellen gesellschaftlichen Auswirkungen skalieren und gleichzeitig regulatorische Klarheit für die Bestimmung des Geltungsbereichs bieten.

NIS2-Sanktionen und Durchsetzung

Die NIS2-Richtlinie macht Cybersicherheit von einer technischen Funktion zu einer Governance-Pflicht auf Vorstandsebene mit durchsetzbaren Konsequenzen. Wesentliche Einrichtungen drohen Verwaltungsstrafen von bis zu 10 Millionen Euro oder mindestens 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen drohen maximal 7 Millionen Euro oder mindestens 1,4 % des Umsatzes, je nachdem, welcher Betrag höher ist.

Nationale zuständige Behörden verfügen über weitreichende Durchsetzungsbefugnisse, die weit über finanzielle Sanktionen hinausgehen. Nach  Artikel 29 können Aufsichtsbehörden:

• Warnungen bei Nichteinhaltung aussprechen
• Verbindliche Anordnungen zur Einhaltung bestimmter Cybersicherheitsmaßnahmen erlassen
• Verbindliche Anweisungen zur Umsetzung von Risikomanagementmaßnahmen erteilen
•  Sicherheitsaudits auf Kosten der Einrichtungen anordnen
• Fristen für die Umsetzung von Abhilfemaßnahmen festlegen

Diese Durchsetzungsmechanismen stellen sicher, dass Organisationen die NIS2-Verpflichtungen ernst nehmen und erforderliche Kontrollen umsetzen.

Pflichten zur Vorfallmeldung nach NIS2

NIS2 legt strenge  Meldefristen für Vorfälle fest, die für viele Organisationen eine erhebliche operative Herausforderung darstellen. Die Richtlinie schreibt einen dreistufigen Meldeprozess für erhebliche Vorfälle bei betroffenen Einrichtungen vor.

Die erste Stufe verlangt eine Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls. Diese Meldung muss angeben, ob der Vorfall vermutlich durch rechtswidrige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte. Die 24-Stunden-Frist beginnt, sobald Ihre Organisation vom Vorfall Kenntnis erlangt, nicht erst nach Abschluss der Untersuchung.

Die zweite Stufe verlangt eine detaillierte Meldung innerhalb von 72 Stunden. Dieser Bericht muss eine erste Bewertung der Auswirkungen, Indicators of Compromise und alle ergriffenen oder geplanten Reaktionsmaßnahmen enthalten. Sie müssen diese Meldung aktualisieren, sobald im Verlauf der laufenden Untersuchung neue Informationen verfügbar werden.

Die dritte Stufe verlangt einen Abschlussbericht innerhalb eines Monats nach der Vorfallmeldung. Dieses umfassende Dokument muss eine detaillierte Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen, Art der Bedrohung oder Ursache, ergriffene und laufende Abhilfemaßnahmen sowie eine Bewertung der grenzüberschreitenden Auswirkungen enthalten.

Ein Vorfall gilt als erheblich, wenn er zu einer schwerwiegenden Betriebsunterbrechung von Diensten oder zu finanziellen Verlusten für Ihre Einrichtung geführt hat oder führen kann ODER wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen kann. Dieser zweistufige Test bedeutet, dass auch kundenbezogene Vorfälle mit begrenzten internen Auswirkungen meldepflichtig sein können, wenn sie externen Schaden verursachen.

NIS2-Governance und Aufsicht

Die NIS2-Verordnung funktioniert durch EU-weite Koordination (ENISA), nationale zuständige Behörden (wie das BSI in Deutschland, die ANSSI in Frankreich) und die Umsetzung auf Einzelebene. Wesentliche Einrichtungen unterliegen einer kontinuierlichen Aufsicht gemäß  Artikel 32, einschließlich regelmäßiger Vor-Ort-Inspektionen, Offsite-Audits, verpflichtender Sicherheitsaudits und Penetrationstests. Wichtige Einrichtungen unterliegen einer nachträglichen Aufsicht gemäß  Artikel 33, die ausgelöst wird, wenn Behörden Hinweise auf Nichteinhaltung erhalten.

Ein Vorfall gilt als erheblich, wenn er zu einer schwerwiegenden Betriebsunterbrechung von Diensten oder zu finanziellen Verlusten für die Einrichtung geführt hat oder führen kann ODER wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen kann.

NIS2 und verwandte EU-Regelungen

Diese EU-NIS2-Verordnung steht nicht isoliert. NIS2 überschneidet sich mit mehreren anderen EU-Regelungen, und das Verständnis dieser Zusammenhänge verhindert Compliance-Lücken und doppelte Aufwände.

• Der Digital Operational Resilience Act (DORA) gilt speziell für Unternehmen des Finanzsektors, darunter Banken, Versicherungen und Investmentfirmen. DORA legt Anforderungen an das ICT-Risikomanagement fest, die sich mit NIS2 überschneiden, aber sektorspezifische Vorgaben für Third-Party Risk Management und Resilienztests enthalten. Finanzunternehmen, die DORA unterliegen, erfüllen die Risikomanagementanforderungen von NIS2 durch DORA-Compliance nach dem Lex-specialis-Prinzip, d. h. die speziellere Regelung hat Vorrang.
• Die Critical Entities Resilience (CER)-Richtlinie adressiert die physische Sicherheit kritischer Infrastrukturen und ergänzt den Cybersicherheitsfokus von NIS2. Organisationen, die nach CER als kritische Einrichtungen eingestuft sind, unterliegen sowohl physischen Resilienzanforderungen als auch den Cybersicherheitsverpflichtungen von NIS2.
• Der Cyber Resilience Act (CRA) richtet sich an Produkte mit digitalen Elementen und verpflichtet Hersteller, Sicherheit über den gesamten Produktlebenszyklus hinweg zu implementieren. Während NIS2 organisatorische Cybersicherheitspraktiken regelt, stellt CRA sicher, dass die von Organisationen beschafften Produkte grundlegende Sicherheitsstandards erfüllen.

Die DSGVO regelt weiterhin den Schutz personenbezogener Daten unabhängig von den Cybersicherheitsanforderungen von NIS2. Ein einzelner Vorfall kann Meldepflichten nach beiden Regelungen mit unterschiedlichen Fristen, Empfängern und Inhaltsanforderungen auslösen.

Wesentliche Vorteile der NIS2-Umsetzung

Trotz der regulatorischen Komplexität bietet NIS2 greifbare Vorteile für Organisationen, die Compliance erreichen.

1. Harmonisierte Anforderungen in 27 Mitgliedstaaten. Die Richtlinie schafft gleiche Wettbewerbsbedingungen im NIS2-Cybersicherheitsumfeld. Organisationen, die in mehreren Mitgliedstaaten tätig sind, profitieren von harmonisierten Basisanforderungen, anstatt sich mit 27 unterschiedlichen nationalen  Cybersicherheits-Frameworks auseinandersetzen zu müssen.
2. Verantwortlichkeit auf Vorstandsebene fördert Investitionen. Die Richtlinie etabliert explizite persönliche Verantwortlichkeit für Leitungsorgane bei der  Cybersicherheits-Compliance. Wenn Ihr CEO und Ihre Vorstandsmitglieder durch dokumentierte Schulungen und formale Genehmigungen direkt für Cybersicherheitsentscheidungen verantwortlich sind, verschieben sich Budgetgespräche hin zu proaktiven Investitionen.
3. Kaskadierende Resilienz in der Lieferkette. Lieferkettensicherheitsanforderungen schaffen kaskadierende Resilienz in kritischen Sektoren. Wenn Sie Schwachstellen spezifisch für jeden direkten Lieferanten bewerten müssen, geraten Ihre Anbieter unter Druck, ihre eigene Cybersicherheitslage zu verbessern. Dies führt zu Verbesserungen im gesamten Ökosystem über einzelne Organisationen hinaus.
4. Kollektive Verteidigung durch schnellen Informationsaustausch. Die 24-Stunden-Meldepflicht für Vorfälle ermöglicht schnellen Informationsaustausch bei aktiven Bedrohungen. Dieser dreistufige Meldeprozess stellt sicher, dass zuständige Behörden und nationale CSIRTs schnell Einblick in neue Bedrohungen erhalten und eine schnellere Analyse sowie grenzüberschreitende Koordination ermöglichen.

Herausforderungen bei der Umsetzung von NIS2

Diese Vorteile gehen mit erheblichen Umsetzungsherausforderungen einher.

1. Management-Engagement bleibt schwierig. Die Umfrage der European Cyber Security Organisation ergab, dass nur  66 % der Organisationen von Managementbeteiligung berichten, obwohl eine verpflichtende Verantwortlichkeit der Leitung gefordert ist. Über die Hälfte (53 %) haben Schwierigkeiten, ausreichendes Management-Engagement zu sichern, selbst nach Ablauf der Umsetzungsfrist.
2. Komplexität der Lieferkette schafft kaskadierende Risiken. Lieferketten-Schwachstellen stellen das kritischste systemische Hindernis für Organisationen bei der NIS2-Umsetzung dar.  Peer-Review-Forschung in MDPI nutzte die DEMATEL-Methode zur Identifikation kausaler Zusammenhänge und zeigte, dass Organisationen oft keine Kontrolle über Drittparteirisiken haben, was zu kaskadierenden Ausfällen in anderen Compliance-Bereichen führt.
3. 24-Stunden-Meldung erfordert ständige Einsatzbereitschaft. Die 24-Stunden-Frühwarnfrist stellt operative Herausforderungen für Organisationen ohne 24/7-SOC-Betrieb oder Echtzeit-Bedrohungserkennung dar. Die Einhaltung dieser Anforderung erfordert vorab etablierte Workflows und autonome Reaktionsfähigkeiten.
4. Dokumentationspflichten belasten knappe Teams. Dokumentationsanforderungen schaffen Audit-Vorbereitungsaufwand für ohnehin ausgelastete Teams. Sie müssen dokumentierte Cybersicherheitsrichtlinien, Risikobewertungen, Nachweise zur Umsetzung von Sicherheitskontrollen und NIS2-Checklisten für jede der 10 verpflichtenden Maßnahmen nach Artikel 21 vorhalten.
5. Ressourcenknappheit erzwingt schwierige Priorisierungen. Finanzielle Ressourcenknappheit verschärft die Umsetzungsprobleme. Organisationen müssen gleichzeitig neue Sicherheitskontrollen, Compliance-Dokumentationssysteme, Mitarbeiterschulungen, Lieferantenbewertungen und ggf. externe Sicherheitsaudits finanzieren.

NIS2-Checkliste und Best Practices

Um diese Fallstricke zu vermeiden, ist ein strukturierter Ansatz erforderlich. Nutzen Sie diese NIS2-Checkliste zur Orientierung bei der Umsetzung:

1. Beginnen Sie mit ENISA-Leitlinien. Verwenden Sie die  ENISA Technical Implementation Guidance als maßgebliche technische Grundlage. Dieses 170-seitige, unverbindliche Dokument bietet praktische Umsetzungshinweise, Nachweisbeispiele und Zuordnungen zu ISO 27001, NIST und IEC 62443.
2. Sichern Sie frühzeitig die Unterstützung der Geschäftsleitung. Sichern Sie sich die Unterstützung auf Führungsebene, bevor die technische Umsetzung beginnt.  Artikel 29 Absatz 6 macht Mitglieder von Leitungsorganen persönlich für die Einhaltung von NIS2 verantwortlich. Dokumentieren Sie Management-Genehmigungen, absolvierte Schulungen und Überwachungsaktivitäten als Compliance-Nachweis.
3. Bauen Sie auf bestehenden Frameworks auf. Wenn Sie eine ISO 27001-Zertifizierung haben, führen Sie eine Gap-Analyse gegenüber den 10 verpflichtenden Maßnahmen durch. Die ENISA Technical Implementation Guidance bietet eine explizite Zuordnung, welche bestehenden Kontrollen NIS2-Anforderungen erfüllen und wo zusätzliche Maßnahmen erforderlich sind.
4. Implementieren Sie autonome Reaktionsfähigkeiten. Setzen Sie zentrale Sichtbarkeit und autonome Reaktionsfähigkeiten ein, die eine 24-Stunden-Vorfallmeldung ermöglichen. Sie benötigen  Log-Management gemäß Aufbewahrungspflichten, verhaltensbasierte KI zur Erkennung neuer Bedrohungen, Response-Automatisierung zur Reduzierung der Reaktionszeit und 24/7-Überwachungsabdeckung.
5. Individualisieren Sie Lieferantenbewertungen. Priorisieren Sie die Lieferkettensicherheit mit individuellen Bewertungen, die Schwachstellen spezifisch für jeden direkten Lieferanten und Dienstleister erfassen. Nehmen Sie Sicherheitsklauseln in alle Lieferantenverträge auf, die Pflichten, Audit-Rechte, Meldepflichten und Verfahren zur Compliance-Überprüfung festlegen.
6. Zentralisieren Sie Dokumentation und Workflows. Etablieren Sie digitale Dokumentationssysteme mit Echtzeit-Nachweiserfassung, Versionskontrolle und Freigabeketten sowie definierten KPIs zur Wirksamkeit von Sicherheitskontrollen. Erstellen Sie vorkonfigurierte Meldeworkflows, die bei Vorfallklassifizierung und Eskalationskriterien automatisch aktiviert werden.

Organisationen, die diesem strukturierten Ansatz folgen, positionieren sich nicht nur für die NIS2-Compliance, sondern verbessern auch ihre gesamte Sicherheitslage. Die für die Compliance erforderlichen Investitionen bringen operative Vorteile, die weit über die regulatorischen Anforderungen hinausgehen.

NIS2-Compliance-Zeitplan und Fristen

Die NIS2-Verordnung folgt einem klaren Zeitplan, der durch die Annahme der Richtlinie und die Umsetzungsanforderungen der Mitgliedstaaten festgelegt ist. Das Verständnis dieser Fristen hilft Organisationen, Umsetzungsaktivitäten zu priorisieren und Ressourcen angemessen zuzuweisen.

Die Richtlinie trat am 16. Januar 2023 in Kraft und gab den Mitgliedstaaten 21 Monate Zeit, die Anforderungen in nationales Recht umzusetzen. Die Umsetzungsfrist war der 17. Oktober 2024. Ab diesem Datum unterliegen alle betroffenen Einrichtungen den NIS2-Anforderungen gemäß den jeweiligen nationalen Umsetzungen.

Der Umsetzungsfortschritt variierte jedoch erheblich zwischen den Mitgliedstaaten. Bis zur Frist im Oktober 2024 sahen sich  23 EU-Mitgliedstaaten Vertragsverletzungsverfahren wegen unvollständiger Umsetzung gegenüber. Dies führte zu einer fragmentierten Compliance-Landschaft, in der Organisationen mit grenzüberschreitender Tätigkeit je nach Jurisdiktion unterschiedlichen Umsetzungsständen begegneten.

Die Mitgliedstaaten müssen bis zum 17. April 2025 Listen der wesentlichen und wichtigen Einrichtungen erstellen. Diese Registrierungsfrist verpflichtet betroffene Organisationen, den nationalen zuständigen Behörden die erforderlichen Informationen zur Klassifizierung bereitzustellen. Wenn Sie sich noch nicht bei Ihrer nationalen Behörde registriert haben, priorisieren Sie diese Maßnahme, um eine korrekte Klassifizierung und Zuweisung der Aufsicht sicherzustellen.

Die Europäische Kommission wird die Funktionsweise von NIS2 bis zum 17. Oktober 2027 und danach alle 36 Monate überprüfen. Diese Überprüfungen können zu Änderungen der Richtlinie führen, die Auswirkungen auf die Compliance-Anforderungen haben. Organisationen sollten regulatorische Entwicklungen beobachten und ihre Compliance-Programme flexibel halten, um auf mögliche Änderungen reagieren zu können.

Für Organisationen, die noch an ihren Compliance-Programmen arbeiten, bedeutet das Verstreichen der Umsetzungsfrist, dass sofortiges Handeln erforderlich ist. Priorisieren Sie Risikobewertungen, die Einrichtung von Incident-Response-Workflows und die Bewertung der Lieferkettensicherheit. Dokumentieren Sie alle Compliance-Aktivitäten, um Aufsichtsbehörden eine gutgläubige Umsetzung nachzuweisen.

NIS2-Richtlinie: Zusammenfassung und wichtigste Erkenntnisse

EU NIS2 legt verpflichtende Anforderungen für 18 kritische Sektoren fest, führt die Verantwortlichkeit der Leitungsorgane ein und sieht Sanktionen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen vor. Die Richtlinie verlangt die Umsetzung von 10 spezifischen Risikomanagement-Maßnahmen, eine dreistufige Vorfallmeldung beginnend mit einer 24-Stunden-Frühwarnfrist sowie Lieferkettensicherheitsbewertungen für jeden direkten Lieferanten und Dienstleister.

Der Umsetzungserfolg erfordert die Unterstützung auf Vorstandsebene von Beginn des Projekts an, eine strukturierte Gap-Analyse anhand des 13-Themen-Bereich-Rahmens von ENISA und autonome Sicherheitsfähigkeiten, die trotz Ressourcenknappheit die strengen Meldefristen einhalten können. Organisationen sollten Lieferantenbewertungen und Incident-Response-Workflows priorisieren, da diese die größten Compliance-Lücken für Einrichtungen darstellen, die von der ursprünglichen NIS-Richtlinie auf NIS2 umstellen.