Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates, vom 14. Dezember 2022, über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, abgekürzt NIS-2-Richtlinie, ist eine EU-Richtlinie, die das Niveau der Cyberresilienz in der Union stärken soll. Sie hob die Richtlinie (EU) 2016/1148 zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) zum 18. Oktober 2024 auf, die bereits ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union gewährleisten sollte. Die Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) und die Richtlinie (EU) 2018/1972 (EECC-Richtlinie) wurden geändert.
Viele Firmen und Einrichtungen, wie Krankenhäuser, Energieversorger oder Banken, sind für unser tägliches Leben sehr wichtig. Wenn diese durch Hacker oder technische Probleme ausfallen, hat das große Auswirkungen auf alle. Die NIS-2-Richtlinie sorgt dafür, daß solche Einrichtungen hohe Sicherheitsstandards einhalten und gut vorbereitet sind, um Angriffe abzuwehren.
Vor dem Hintergrund einer steigenden Abhängigkeit von digitalen Technologien zeigte die COVID-19-Pandemie auf, wie sensibel digitalisierte Gesellschaften auf unerwartete Risiken reagieren können. Im Zuge dessen prüfte die Europäische Kommission die bestehende NIS-Richtlinie und stellte folgende Kritikpunkte fest:
Die Richtlinie verpflichtet die Mitgliedstaaten der Europäischen Union zur Verabschiedung einer nationalen Cybersicherheitsstrategie. Ferner sind nationale Computer Security Incident Response Teams (CSIRTs) zu benennen, die für den Umgang mit Risiken und Störungen zuständig sind. Ein sogenannter Single Point of Contact (SPoC) dient dazu, grenzüberschreitende Zusammenarbeit der Behörden der Mitgliedstaaten sicherzustellen.
Die NIS2-Richtlinie stellt strengere Anforderungen als die bisherige NIS-Richtlinie an nationale Behörden und vereinheitlicht die Sanktionsmöglichkeiten in den Mitgliedstaaten. Mit der Richtlinie werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.
Der schnellste Weg eine erste Orientierung zu erhalten, ob man von der neuen gesetzlichen Regelung betroffen ist, ist die NIS-2-Betroffenheitsprüfung des BSI, welche schon nach wenigen Schritten konkrete Ergebnisse liefert: NIS-2-Betroffenheitsprüfung
Die NIS-2-Richtlinie betrifft somit vor allem wichtige Unternehmen aus Bereichen wie Energie, Verkehr, Gesundheit, Wasser, digitale Infrastruktur und mehr. Aber auch Behörden und Anbieter wichtiger digitaler Dienste im gesamten europäischen Wirtschaftsraum (EWR) müssen sich daran halten.
Die Richtlinie hätte bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden müssen. Dazu hat im Juli 2023 das Bundesministerium des Innern und für Heimat einen Referentenentwurf vorgelegt. Nach einem Werkstattgespräch und einem weiteren Referentenentwurf wurde am 7. Mai 2024 der endgültige Referentenentwurf vorgelegt. Am 24. Juli 2024 wurde der Regierungsentwurf veröffentlicht. Hochrechnungen zufolge werden mindestens ca. 30.000 deutsche Institutionen und Unternehmen davon betroffen sein. Das sind deutlich mehr als nach bisherigem Recht (DSGVO).
Deutschland hatte die Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten. Durch die Neuwahlen des Bundestags, die am 23. Februar 2025 stattfand, müssen alle Gesetzentwürfe und andere Vorlagen, die vom alten Bundestag noch nicht beschlossen wurden, neu eingebracht und verhandelt werden, so daß mit der Umsetzung von NIS-2 in Deutschland frühestens im zweiten Quartal 2025 zu rechnen war. Das NIS-2-Umsetzungsgesetz ist am 05.12.2025 im Bundesgesetzblatt verkündet worden und damit in Kraft getreten (OpenKritis). Offiziell gemeldet und nachzulesen auch in der Pressemeldung vom BSI mit gleichem Datum: Pressemeldung BSI.
Für den Einzelnen bedeutet die NIS-2-Richtlinie, daß die wichtigen genutzten Dienste besser geschützt sind. So sollen Ausfälle und Datenverlust verhindert werden, damit personenbezogene Informationen sicher bleiben und man sich auch auf diese Dienste verlassen kann.
Für Unternehmen bringt die NIS-2-Richtlinie einige wichtige Anforderungen mit sich, um die IT-Sicherheit zu stärken und Risiken zu minimieren. Das bedeutet mehr Verantwortung und neue Regeln im Umgang mit Cyber-Sicherheit.
Auch wenn die Anforderungen zunächst herausfordernd klingen, profitieren Unternehmen langfristig durch weniger Ausfallzeiten, verbesserten Schutz vor Angriffen und ein höheres Vertrauen von Kunden und Partnern.
Unternehmen sollten frühzeitig prüfen, welche Maßnahmen schon bestehen und wo Nachholbedarf besteht. Die Einbindung von IT-Sicherheits-Experten und Schulungen der Mitarbeiter helfen dabei, die NIS2-Anforderungen umzusetzen.
Die Einhaltung der NIS-2-Richtlinie ist ein wichtiger Schritt, um in der digitalen Welt sicher und wettbewerbsfähig zu bleiben.
Die Erklärungen orientieren sich an den Richtlinien des Europäischen Parlamets und am Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Behörde für IT-Sicherheit in Deutschland.
Nachfolgend finden Sie hier einige Quellenverweise, auch zum Nachlesen und Vertiefen: