Mit der NIS-2-Richtlinie verfolgt die Europäische Union ein klares Ziel: ein europaweit hohes Sicherheitsniveau für Netz- und Informationssysteme. Dadurch soll die digitale Resilienz insgesamt gestärkt werden, also die Fähigkeit von Unternehmen und Institutionen, Cyberbedrohungen standzuhalten, Angriffe zu bewältigen und den Geschäftsbetrieb auch im Krisenfall aufrechtzuerhalten.
Wer fällt unter NIS2?
Grundsätzlich richtet sich NIS2 an mittlere und große Unternehmen. Maßgeblich sind dabei Schwellenwerte wie mindestens 50 Mitarbeitende oder ein Jahresumsatz beziehungsweise eine Bilanzsumme von über zehn Millionen Euro. Für große Unternehmen gelten entsprechend höhere Grenzwerte.
Kleine Unternehmen sind zwar in der Regel ausgenommen, können jedoch dann unter die Richtlinie fallen, wenn sie in besonders kritischen Bereichen tätig sind. Dazu zählen unter anderem Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitale Infrastruktur oder öffentliche Verwaltung. Auch Unternehmen aus dem verarbeitenden Gewerbe, der Lebensmittelindustrie oder digitale Plattformanbieter können betroffen sein.
Was bedeutet NIS2 in der Praxis?
Unternehmen, die in den Anwendungsbereich fallen, müssen die national umgesetzten Vorgaben einhalten. Im Zentrum steht dabei ein strukturiertes und nachweisbares Risikomanagement für Netz- und Informationssysteme.
Gefordert sind technische, operative und organisatorische Maßnahmen, die Risiken beherrschbar machen und die Auswirkungen von Cybersicherheitsvorfällen minimieren. Dazu zählen unter anderem klar definierte Sicherheitskonzepte, Verfahren zur Risikoanalyse, wirksame Zugriffskontrollen, Verschlüsselungstechnologien, Notfall- und Krisenmanagementprozesse sowie regelmäßige Schulungen im Bereich Cyberhygiene.
Ein wesentlicher Bestandteil der Richtlinie ist zudem die Verpflichtung zur Einrichtung eines formalen Meldeprozesses für Cybersicherheitsvorfälle. Erhebliche Vorfälle müssen innerhalb von 24 Stunden gemeldet werden. Nach spätestens 72 Stunden ist eine erste Bewertung vorzulegen, innerhalb eines Monats folgt ein detaillierter Bericht. Diese engen Fristen setzen strukturierte Abläufe, klare Verantwortlichkeiten und ein funktionierendes Incident-Management voraus.
Lieferkettensicherheit im Fokus
Unabhängig von der formalen Betroffenheit stellt sich eine entscheidende Frage:
Sind Ihre Lieferanten und Partner NIS2 tauglich?
Unternehmen müssen auch berücksichtigen, wie Risiken in ihren Geschäftsbeziehungen gesteuert werden. Sicherheitsstandards von Dienstleistern und Partnern können unmittelbare Auswirkungen auf die eigene Organisation haben. Gerade in digital vernetzten Lieferketten ist das entscheidend.
Daher ist es erforderlich, Sicherheitsanforderungen auch vertraglich abzusichern, Risikobewertungen von Lieferanten vorzunehmen und sicherzustellen, dass Vorfälle entlang der Wertschöpfungskette transparent und fristgerecht gemeldet werden können.
Ein etabliertes Informationssicherheits-Managementsystem nach ISO 27001 bietet hierfür ebenso eine tragfähige Basis. Die Norm schafft einen systematischen Rahmen für Risikobewertung, Dokumentation und kontinuierliche Verbesserung. Eine ISO-27001-Zertifizierung erfüllt die Anforderungen der NIS-2-Richtlinie zwar nicht automatisch vollständig, deckt jedoch einen wesentlichen Teil der geforderten organisatorischen und technischen Maßnahmen ab und erleichtert die strukturierte Umsetzung zusätzlicher regulatorischer Anforderungen.
Zusammenfassung: Die NIS2-Richtlinie schafft einen verbindlichen Rahmen für ein hohes Sicherheitsniveau von Netz- und Informationssystemen. Gleichzeitig rückt die Sicherheit von Geschäftsbeziehungen stärker in den Fokus. Cybersicherheit endet nicht an der eigenen Unternehmensgrenze. Risiken entlang der Lieferkette sind demnach systematisch zu bewerten und vertraglich abzusichern.