Was Unternehmen über NIS-2 wissen müssen
Die europäische NIS-2-Richtlinie (Network and Information Security Directive) hat die Cybersicherheitsanforderungen in der EU deutlich verschärft. Für viele Unternehmen bedeutet dies neue Pflichten – darunter auch die Registrierungspflicht bei den zuständigen nationalen Behörden.
Die NIS-2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie von 2016. Sie zielt darauf ab, die Cybersicherheit kritischer Infrastrukturen und digitaler Dienste in der EU zu stärken. Kernpunkte sind strengere Sicherheitsanforderungen für Unternehmen und Behörden, die Einführung klarer Haftungsregelungen sowie ein erweiterter Geltungsbereich auf zusätzliche Sektoren, z. B. Energie, Verkehr und öffentliche Verwaltung.
Wer ist von NIS-2 betroffen?
In Deutschland sind schätzungsweise 30.000 Organisationen betroffen. Die Registrierungspflicht gilt jedoch nicht für jedes Unternehmen. Sie betrifft insbesondere Betreiber wesentlicher Einrichtungen („Essential Entities“) wie Banken oder Krankenhäuser sowie wichtige Einrichtungen („Important Entities“), beispielsweise Cloud-Anbieter.
Was bedeutet die Registrierungspflicht?
Die Registrierungspflicht verlangt von betroffenen Unternehmen:
- Eintragung bei der zuständigen nationalen Behörde
- Bereitstellung von Informationen wie Unternehmensdaten, Kontaktdaten des Sicherheitsbeauftragten sowie eine Beschreibung der kritischen Dienste
- Regelmäßige Aktualisierung der Angaben
Ziel ist es, den Behörden eine transparente Übersicht über die Betreiber kritischer Dienste zu geben, um im Ernstfall schneller reagieren zu können.
Schritte zur Umsetzung von NIS-2-Richtlinien
Unternehmen sollten folgende Schritte einplanen:
- Prüfen, ob die Registrierungspflicht greift – anhand der Sektorenliste und der Unternehmensgröße
- Kontakt zur zuständigen nationalen Behörde aufnehmen – in Deutschland z. B. zum Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Relevante Unternehmensinformationen zusammenstellen – Ansprechpartner, kritische Systeme, Sicherheitsvorkehrungen
- Registrierung einreichen und bestätigen lassen
- Interne Prozesse anpassen
insbesondere zur regelmäßigen Aktualisierung der Daten und zur Meldung von Sicherheitsvorfällen.
Konsequenzen bei Nicht-Registrierung von NIS-2
Unternehmen, die sich nicht registrieren, riskieren Bußgelder, Sanktionen, Reputationsschäden und Haftungsrisiken im Falle von Sicherheitsvorfällen. Die Höhe der Strafen variiert je nach Land, kann jedoch im sechs- bis siebenstelligen Bereich liegen.
Unsere Empfehlung zu NIS-2
Wir empfehlen Unternehmen, frühzeitig zu prüfen, ob sie unter das Netz- und Informationssystemsicherheitsgesetz (als Umsetzung der NIS-2-Richtlinie) fallen, und vor der Registrierung eine strukturierte Analyse ihrer IT-Sicherheits- und Meldeprozesse durchzuführen.
Bei Rückfragen steht das ALLinONE Team zur Verfügung. Kontakt