Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/Cybersicherheit/NIS2
🛡️Cybersicherheit & IT

NIS-2-Richtlinie: Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen in der EU

Analyse vom 17. April 20263 QuellenKonsolidierte Fassung vom 27.12.2022EUR-Lex Original

Fallen wir unter NIS 2 — und was kostet es, wenn wir die Cybersicherheitspflichten nicht rechtzeitig umsetzen?

Mittlere und große Einrichtungen in 18 kritischen Sektoren müssen seit 18. Oktober 2024 die NIS-2-Pflichten einhalten — bei Verstößen drohen wesentlichen Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, und die IT-Sicherheitsleitung muss zuerst handeln.

Kurzantwort

Die NIS-2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen zu einem gefahrenübergreifenden Cybersicherheits-Risikomanagement mit mindestens zehn Maßnahmenbereichen [Art. 21 Abs. 2] und einem gestuften Meldesystem bei erheblichen Sicherheitsvorfällen — Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden [Art. 23 Abs. 4]. Die Leitungsorgane müssen die Risikomanagementmaßnahmen persönlich billigen und deren Umsetzung überwachen; sie können für Verstöße haftbar gemacht werden [Art. 20 Abs. 1]. Die Richtlinie schließt ausdrücklich die Sicherheit der Lieferkette ein — Einrichtungen müssen die Cybersicherheitspraxis ihrer unmittelbaren Anbieter bewerten [Art. 21 Abs. 3].

Betroffen

Öffentliche oder private Einrichtungen in den 11 Sektoren mit hoher Kritikalität (Anhang I: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung, öffentliche Verwaltung, Weltraum) und 7 weiteren Sektoren (Anhang II: Post, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung), die als mittlere Unternehmen gelten (ab 50 Beschäftigte oder 10 Mio. EUR Jahresumsatz) oder diese Schwellen überschreiten [Art. 2 Abs. 1]. Unabhängig von der Größe erfasst: Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namenregister, Anbieter öffentlicher elektronischer Kommunikationsnetze und nach Richtlinie (EU) 2022/2557 als kritisch eingestufte Einrichtungen [Art. 2 Abs. 2–3].

Frist

Die Umsetzungsfrist für die Mitgliedstaaten lief am 17. Oktober 2024 ab; die Pflichten gelten seit dem 18. Oktober 2024 [Art. 41]. Die nächste relevante Frist: Bis 17. April 2025 müssen die Mitgliedstaaten eine Liste wesentlicher und wichtiger Einrichtungen erstellen [Art. 3 Abs. 3]. Laufende Pflicht: 24-Stunden-Frühwarnung bei jedem erheblichen Sicherheitsvorfall, permanent [Art. 23 Abs. 4 lit. a].

Risiko

Wesentliche Einrichtungen: Geldbußen bis zu 10 Mio. EUR oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist [Art. 34 Abs. 4]. Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes [Art. 34 Abs. 5]. Zusätzlich können die zuständigen Behörden Zertifizierungen oder Genehmigungen vorübergehend aussetzen und natürlichen Personen auf Leitungsebene die Wahrnehmung von Leitungsaufgaben untersagen [Art. 32 Abs. 5]. Persönliche Haftung der Geschäftsführung für Verstöße ist ausdrücklich vorgesehen [Art. 32 Abs. 6].

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-04-17
  • Konsolidierte Fassung vom 27.12.2022

Primärquellen

  • EUR-LexVolltext der NIS-2-Richtlinie
  • ENISA — PublicationsEU-Cybersicherheitsagentur
  • BSIBundesamt für Sicherheit in der Informationstechnik

Was jetzt zu tun ist

Legal / DPO

  • Prüfen Sie die Einstufung Ihrer Einrichtung als wesentlich oder wichtig anhand der Schwellenwerte und Sektorzuordnung in den Anhängen I und II sowie der Kriterien in [Art. 2 Abs. 1–3] und [Art. 3 Abs. 1–2] — die Einstufung bestimmt das Aufsichtsregime und die Bußgeldobergrenze.
  • Stellen Sie sicher, dass die Leitungsorgane die Risikomanagementmaßnahmen formal billigen und deren Umsetzung aktiv überwachen [Art. 20 Abs. 1] — die persönliche Haftung der Geschäftsführung bei Verstößen ist gesetzlich vorgesehen [Art. 32 Abs. 6].
  • Dokumentieren Sie die Registrierungspflichten gegenüber der zuständigen nationalen Behörde [Art. 3 Abs. 4] und prüfen Sie, ob Ihr Mitgliedstaat die Umsetzungsvorschriften fristgerecht erlassen hat [Art. 41 Abs. 1].

Compliance

  • Implementieren Sie ein dokumentiertes Cybersicherheits-Risikomanagementsystem, das alle zehn Mindestmaßnahmen aus [Art. 21 Abs. 2 lit. a–j] abdeckt — von Risikoanalyse über Vorfallbewältigung und Lieferkettensicherheit bis hin zu Multi-Faktor-Authentifizierung.
  • Richten Sie das gestufte Meldesystem gemäß [Art. 23 Abs. 4] ein: Frühwarnung binnen 24 Stunden (lit. a), Vorfallmeldung binnen 72 Stunden (lit. b), Abschlussbericht binnen einem Monat (lit. d) — und bestimmen Sie intern die Meldekette zum zuständigen CSIRT.
  • Bewerten Sie die Cybersicherheitspraxis Ihrer unmittelbaren Anbieter und Dienstleister systematisch [Art. 21 Abs. 3] und berücksichtigen Sie die Ergebnisse koordinierter Risikobewertungen kritischer Lieferketten [Art. 22 Abs. 1].

IT / Security

  • Setzen Sie die technischen Mindestmaßnahmen gemäß [Art. 21 Abs. 2] operativ um: Backup-Management und Disaster Recovery (lit. c), Schwachstellenmanagement (lit. e), Kryptografie und Verschlüsselung (lit. h) sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation (lit. j).
  • Etablieren Sie Konzepte für Cyberhygiene und regelmäßige Cybersicherheitsschulungen für alle Mitarbeiter [Art. 21 Abs. 2 lit. g] — die Schulungspflicht gilt ausdrücklich auch für Mitglieder der Leitungsorgane [Art. 20 Abs. 2].
  • Implementieren Sie Prozesse zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen [Art. 21 Abs. 2 lit. f] und bereiten Sie die technische Infrastruktur für die 24-Stunden-Frühwarnung an das zuständige CSIRT vor [Art. 23 Abs. 4 lit. a].

Product / Engineering

  • Prüfen Sie, ob Ihre Produkte oder Dienste in den Anwendungsbereich der NIS 2 fallen — insbesondere Cloud-Computing, Rechenzentrumsdienste, verwaltete Dienste, verwaltete Sicherheitsdienste, Online-Marktplätze und Plattformen für Dienste sozialer Netzwerke [Art. 6 Nr. 30–33, Art. 26 Abs. 1 lit. b].
  • Stellen Sie sicher, dass bei Erwerb, Entwicklung und Wartung Ihrer Netz- und Informationssysteme Sicherheitsmaßnahmen einschließlich Schwachstellenmanagement und -offenlegung integriert sind [Art. 21 Abs. 2 lit. e].
  • Berücksichtigen Sie die Anforderungen europäischer Cybersicherheitszertifizierungsschemata [Art. 24 Abs. 1] und die von der Kommission bis Oktober 2024 zu erlassenden Durchführungsrechtsakte zu technischen Anforderungen für digitale Infrastruktur [Art. 21 Abs. 5].

Wichtige Begriffe

Wesentliche Einrichtung
Einrichtung in einem Sektor mit hoher Kritikalität (Anhang I), die die KMU-Schwellenwerte überschreitet, oder bestimmte Einrichtungen unabhängig von der Größe wie qualifizierte Vertrauensdiensteanbieter und DNS-Diensteanbieter [Art. 3 Abs. 1].
Wichtige Einrichtung
Einrichtung in Anhang I oder II, die in den Anwendungsbereich fällt, aber nicht als wesentlich eingestuft wird — insbesondere mittlere Unternehmen in Anhang-II-Sektoren [Art. 3 Abs. 2].
Erheblicher Sicherheitsvorfall
Ein Sicherheitsvorfall, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann, oder der andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann [Art. 23 Abs. 3].
CSIRT (Computer-Notfallteam)
Von jedem Mitgliedstaat benannte oder eingerichtete Stelle zur Bewältigung von Sicherheitsvorfällen, die mindestens die Sektoren der Anhänge I und II abdeckt und für die Entgegennahme von Vorfallmeldungen zuständig ist [Art. 10 Abs. 1].
Gefahrenübergreifender Ansatz
Schutzkonzept gemäß Art. 21 Abs. 2, das Netz- und Informationssysteme sowie deren physische Umwelt vor allen Arten von Sicherheitsvorfällen schützt — nicht nur vor Cyberangriffen, sondern auch vor physischen Bedrohungen.
Risikomanagementmaßnahmen im Bereich der Cybersicherheit
Geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Beherrschung der Risiken für die Sicherheit von Netz- und Informationssystemen, die eine Einrichtung für ihren Betrieb nutzt [Art. 21 Abs. 1].
Koordinierte Offenlegung von Schwachstellen
Verfahren, bei dem ein als Koordinator benanntes CSIRT die Interaktion zwischen dem Entdecker einer Schwachstelle und dem betroffenen Hersteller oder Anbieter vermittelt und Offenlegungszeitpläne aushandelt [Art. 12 Abs. 1].
?

Häufige Fragen

Welche Einrichtungen fallen unter die NIS-2-Richtlinie?
Erfasst sind öffentliche und private Einrichtungen der in Anhang I oder II genannten Sektoren, die als mittlere Unternehmen gelten (ab 50 Beschäftigte oder 10 Mio. EUR Jahresumsatz) oder diese Schwellen überschreiten [Art. 2 Abs. 1]. Unabhängig von der Größe fallen zusätzlich Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namenregister und Anbieter öffentlicher elektronischer Kommunikationsnetze unter die Richtlinie [Art. 2 Abs. 2].
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?
Wesentliche Einrichtungen sind große Unternehmen in Anhang-I-Sektoren (über den KMU-Schwellenwerten), qualifizierte Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namenregister, mittlere Telekommunikationsanbieter und Einrichtungen der Zentralregierung [Art. 3 Abs. 1]. Alle übrigen erfassten Einrichtungen gelten als wichtig [Art. 3 Abs. 2]. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht [Art. 32], wichtige Einrichtungen nachträglicher Aufsicht [Art. 33], und die Bußgeldobergrenzen unterscheiden sich.
Welche Meldefristen gelten bei einem Sicherheitsvorfall?
Bei erheblichen Sicherheitsvorfällen gilt ein vierstufiges Meldeverfahren: (1) Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, (2) vollständige Vorfallmeldung innerhalb von 72 Stunden, (3) Zwischenberichte auf Anfrage des CSIRT, (4) Abschlussbericht innerhalb eines Monats nach der Vorfallmeldung [Art. 23 Abs. 4 lit. a–d]. Vertrauensdiensteanbieter haben für die vollständige Meldung nur 24 Stunden [Art. 23 Abs. 4 Unterabs. 2].
Welche Risikomanagementmaßnahmen sind Pflicht?
Die Richtlinie verlangt mindestens zehn Maßnahmenbereiche auf Basis eines gefahrenübergreifenden Ansatzes [Art. 21 Abs. 2]: Risikoanalyse (lit. a), Vorfallbewältigung (lit. b), Business Continuity und Krisenmanagement (lit. c), Lieferkettensicherheit (lit. d), Sicherheit bei Erwerb/Entwicklung/Wartung inkl. Schwachstellenmanagement (lit. e), Wirksamkeitsbewertung (lit. f), Cyberhygiene und Schulungen (lit. g), Kryptografie (lit. h), Personalsicherheit und Zugriffskontrolle (lit. i) sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation (lit. j).
Haften Geschäftsführer persönlich bei NIS-2-Verstößen?
Ja. Die Leitungsorgane müssen die Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen [Art. 20 Abs. 1]. Die Mitgliedstaaten stellen sicher, dass natürliche Personen auf Leitungsebene für Verstöße haftbar gemacht werden können [Art. 32 Abs. 6]. Zudem können die Behörden bei anhaltenden Verstößen wesentlicher Einrichtungen ein vorübergehendes Verbot von Leitungsaufgaben anordnen [Art. 32 Abs. 5 lit. b].
Was gilt für die Sicherheit der Lieferkette?
Einrichtungen müssen die Sicherheit der Lieferkette einschließlich der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern berücksichtigen [Art. 21 Abs. 2 lit. d]. Dabei sind die spezifischen Schwachstellen jedes Anbieters, die Gesamtqualität der Produkte und die Sicherheit der Entwicklungsprozesse zu bewerten [Art. 21 Abs. 3]. Die Kooperationsgruppe kann zudem koordinierte Risikobewertungen kritischer Lieferketten auf EU-Ebene durchführen [Art. 22 Abs. 1].
Welche Sektoren gehören zu Anhang I (hohe Kritikalität)?
Anhang I umfasst elf Sektoren: Energie (Elektrizität, Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff), Verkehr (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum.

Werkzeuge & Vorlagen

KI-generierte Compliance-Hilfen

Vorschau
12
Gap-Checks
2
SOPs
3
Vorlagen
Entscheidungen

1. Gap-Analyse Checkliste

!

Hat die Geschäftsführung die Risikomanagementmaßnahmen im Bereich der Cybersicherheit formell genehmigt und überwacht deren Umsetzung?

Art. 20 Abs. 1|Governance
~

Haben die Mitglieder der Leitungsorgane an spezifischen Schulungen zum Thema Cybersicherheit teilgenommen?

Art. 20 Abs. 2|Governance
!

Wurden geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zur Beherrschung von Cybersicherheitsrisiken implementiert?

Art. 21 Abs. 1|Risikomanagement

2. SOP-Vorlagen

SOP: Meldung eines erheblichen SicherheitsvorfallsArt. 23

Zweck: Diese SOP stellt die frist- und formgerechte Meldung von erheblichen Sicherheitsvorfällen an die zuständigen nationalen Behörden (CSIRT/zuständige Behörde) gemäß den Anforderungen der NIS-2-Richtlinie sicher.

Geltungsbereich: Diese SOP gilt für alle Mitarbeiter, insbesondere für das Incident Response Team, die IT-Abteilung, die Rechtsabteilung und die Geschäftsführung.

Schritte:
  1. 1

    Ein Mitarbeiter oder ein System entdeckt einen potenziellen Sicherheitsvorfall. Unverzügliche Meldung an das Incident Response Team (IRT) über definierte Kanäle.

    Verantwortlich: Alle Mitarbeiter / IT-Systeme | Output: Interne Meldung des potenziellen Vorfalls.

  2. 2

    Das IRT führt eine Erstbewertung durch, um die Existenz und das Ausmaß des Vorfalls zu bestätigen. Klassifizierung des Vorfalls, insbesondere Prüfung, ob es sich um einen 'erheblichen Sicherheitsvorfall' gemäß Art. 23 Abs. 3 handelt.

    Verantwortlich: Incident Response Team (IRT) | Output: Klassifizierungsentscheidung (erheblich/nicht erheblich).

  3. 3

    Bei Klassifizierung als 'erheblich': Erstellung und Übermittlung einer Frühwarnung an das zuständige nationale CSIRT/die Behörde. Die Meldung muss angeben, ob ein Verdacht auf rechtswidrige/böswillige Handlungen besteht und ob grenzüberschreitende Auswirkungen möglich sind.

    Verantwortlich: Leiter IRT / CISO | Output: Nachweis der Übermittlung der Frühwarnung. Frist: Innerhalb von 24 Stunden nach Kenntnisnahme.

  4. 4

    Erstellung und Übermittlung einer detaillierteren Meldung des Sicherheitsvorfalls. Diese aktualisiert die Frühwarnung und enthält eine erste Bewertung von Schweregrad, Auswirkungen und ggf. Kompromittierungsindikatoren (IoCs).

    Verantwortlich: Leiter IRT / CISO | Output: Nachweis der Übermittlung der Meldung. Frist: Innerhalb von 72 Stunden nach Kenntnisnahme.

  5. 5

    Erstellung und Übermittlung eines Abschlussberichts mit detaillierter Beschreibung, Ursachenanalyse, ergriffenen Abhilfemaßnahmen und ggf. grenzüberschreitenden Auswirkungen.

    Verantwortlich: Leiter IRT / CISO | Output: Abschlussbericht. Frist: Spätestens einen Monat nach der 72-Stunden-Meldung.

  6. 6

    Prüfung, ob Empfänger der Dienste über den Vorfall oder über Abhilfemaßnahmen informiert werden müssen (Art. 23 Abs. 1 & 2). Durchführung der Kommunikation.

    Verantwortlich: Geschäftsführung / Rechtsabteilung / PR | Output: Dokumentierte Kunden-/Nutzerkommunikation.

Prüffrequenz: Jährlich oder nach einem erheblichen Sicherheitsvorfall

3. Textbausteine

Vertragsklausel zur Cybersicherheit in LieferantenverträgenArt. 21 Abs. 3

Anwendungsfall: Zur Aufnahme in Verträge mit direkten Anbietern und Dienstleistern, um die Anforderungen der NIS-2-Richtlinie an die Lieferkettensicherheit zu erfüllen.

CYBERSICHERHEIT (NIS-2) 1. Der Lieferant ([LIEFERANT]) verpflichtet sich, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen gemäß Art. 21 der Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) zu treffen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die er zur Erbringung seiner vertraglichen Leistungen für den Auftraggeber ([AUFTRAGGEBER]) nutzt. Diese Maßnahmen müssen dem Stand der Technik und anwendbaren Normen wie [ANWENDBARE STANDARDS, z.B. ISO/IEC 27001] entsprechen. 2. Der Lieferant hat dem Auftraggeber auf Anfrage Nachweise über die Implementierung dieser Maßnahmen zu erbringen (z.B. durch Zertifikate, Auditberichte). 3. Der Lieferant ist verpflichtet, den Auftraggeber unverzüglich, spätestens jedoch innerhalb von [MELDEFRIST FÜR VORFÄLLE, z.B. 24 Stunden], über jeden Sicherheitsvorfall zu informieren, der die für den Auftraggeber erbrachten Leistungen beeinträchtigen könnte. Die Meldung muss alle relevanten Informationen enthalten, um dem Auftraggeber eine Bewertung des Vorfalls und das Ergreifen von Gegenmaßnahmen zu ermöglichen. 4. Der Auftraggeber oder ein von ihm beauftragter Dritter ist berechtigt, die Einhaltung der in dieser Klausel genannten Verpflichtungen durch den Lieferanten in angemessenem Umfang und nach Vorankündigung zu überprüfen (Auditrecht).

Platzhalter: [LIEFERANT], [AUFTRAGGEBER], [ANWENDBARE STANDARDS, z.B. ISO/IEC 27001], [MELDEFRIST FÜR VORFÄLLe, z.B. 24 Stunden]

+9 Gap-Checks, 1 SOPs, 2 Vorlagen warten auf Sie

7 Tage kostenlos testen

KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.

3

Prüfungsfaktoren & Checkliste

Premium
7 Tage kostenlos testen
4

Fragen für Ihren Anwalt

Premium
7 Tage kostenlos testen
5

Fazit & Zusammenfassung

Premium
7 Tage kostenlos testen

Detaillierte Analyse mit Quellenlinks.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

7 Tage kostenlos testen

Keine Kreditkarte heute. Kündigung jederzeit.