Bereits 2020 trat in Europa eine Regulierung in Kraft, die Ende 2025 – gerade noch rechtzeitig vor dem Jahreswechsel – auch für Deutschland in geltendes Recht umgesetzt wurde: Im November hat der Bundesrat dem „NIS2 Umsetzungs- und Cyberresilienzstärkungs-Gesetz“, kurz NIS2UmsuCG, zugestimmt. Das Abkürzungsungetüm bringt zwar keine Überraschungen, doch bindende, neue Vorgaben vor allem für Firmen der kritischen Infrastruktur KRITIS.
Die Netz- und Informationssystemrichtlinie 2 (NIS2) aktualisiert die Rechtsvorschriften der Europäischen Union für die Cybersicherheit kritischer Infrastrukturen und Dienste in ganz Europa. Die EU will mit ihrem Inkrafttreten (das eigentlich seit Dezember 2020 ansteht) Cyberbedrohungen besser bekämpfen und so die allgemeine Sicherheit digitaler Netzwerke verbessern.
Betroffenheitstest vom BSI
NIS2 erweitert den Geltungsbereich der vorherigen NIS-Richtlinie NIS1. Die sogenannten Sektoren der „Kritischen Infrastruktur“ (KRITIS) wie Energie, Verkehr, Banken, Gesundheit und digitale Infrastruktur werden deutlich mehr, NIS2 trifft nun unter anderem auch Anbieter „wesentlicher“ Dienste wie der Abfallwirtschaft, der öffentlichen Verwaltung und der Forschung. Die Richtlinie umfasst sowohl öffentliche als auch private Einrichtungen. Wer sich nicht sicher ist, ob er betroffen ist, dem hilft das BSI mit einer eigenen Webseite: Einfach den Fragebogen ausfüllen, schon sehen Sie, ob und wie Ihr Unternehmen auf NIS2 reagieren muss.
Strenge und nachvollziehbare Regeln, …
Unternehmen und Organisationen müssen strengere Cybersicherheitsmaßnahmen implementieren, um Cybervorfälle zu verhindern und ihre Risiken zu verringern. Dabei gelten klar definierte und äußerst strenge Anforderungen: Unternehmen müssen jetzt die zuständigen Behörden innerhalb von 24 Stunden nach Bekanntwerden eines Cybersicherheitsvorfalls benachrichtigen, wenn dieser „erhebliche Auswirkungen auf die Kontinuität ihrer Dienste“ hat.
… mit hohen, auch persönlichen Strafen
Zudem erfordert NIS2 bessere Governance-Strukturen für die Cybersicherheit innerhalb von Organisationen mit klaren Rollen und Verantwortlichkeiten, gerade auch auf Vorstandsebene. Nationale Behörden erhalten mehr Befugnisse zur Überwachung der Cybersicherheit kritischer Dienste und können bei Nichteinhaltung strengere Strafen verhängen. Die neuen Vorschriften legen dabei auch einen Fokus auf das Problem der Lieferketten – und schließen Drittanbieter und Auftragnehmer ein, für die fortan ebenfalls strenge Cybersicherheitspraktiken gelten. Damit nicht genug: Unternehmen müssen die mit ihrer Lieferkette verbundenen Risiken bewerten und managen, was auch (An-)Forderungen an Lieferanten einschließen kann.
Wer sich nicht daran hält und erwischt wird, dem stehen strenge Strafen bevor. Die können individualisiert für die verantwortlichen Vorstände sein, unter anderem sind aber auch Geldbußen auf der Grundlage des Jahresumsatzes möglich.
NIS2 soll europäische Cyber-Kooperation fördern
NIS2 hat aber auch eine starke europäische Komponente und will die Kooperation fördern: Den EU-Mitgliedstaaten soll es ermöglicht werden, Informationen zur Cybersicherheit auszutauschen, die Erkennung von Bedrohungen zu verbessern und Frühwarnungen zu geben. Speziell geschaffene europäische Kooperationsgruppen für Cybersicherheit sollen den grenzüberschreitenden Austausch verbessern. NIS2 steht dabei im Einklang mit anderen EU-Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und dem EU-Cybersicherheitsgesetz (CRA).
Die EU-Mitgliedstaaten hatten eigentlich bis Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen, was bedeutet, dass jedes Land eigene Vorschriften zur Durchsetzung der Richtlinie erlassen muss. In einigen Ländern dauerte es eben etwas länger, sowohl Deutschland als auch Österreich brachten NIS2 erst jüngst, im November 2025, durch die Parlamente. Eine gute Übersicht bieten auf Digitalrecht spezialisierte Webseiten, etwa https://nis2-umsetzung.com/nis2umsucg-umsetzung/. Gerne steht Ihnen die IT Works AG individuell zum Thema Cybersecurity zur Verfügung.