nis-2 betroffene unternehmen: Leitfaden zu Pflichten

Mit der NIS-2-Richtlinie wird der Kreis der betroffenen Unternehmen gewaltig erweitert.Das bedeutet: Tausende mittelständische Betriebe in Deutschland müssen sich plötzlich mit strengen Cybersicherheitsvorgaben auseinandersetzen. Im Kern sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz betroffen, sofern sie in einem der 18 als kritisch eingestuften Sektoren tätig sind.

NIS 2 betroffene Unternehmen schnell erkennen

Die wohl größte Neuerung der NIS-2-Richtlinie ist ihre schiere Reichweite. Bisher dachte man bei „kritischer Infrastruktur“ vielleicht an große Energieversorger oder Unikliniken. NIS-2 spannt dieses Schutzschild nun über ein viel größeres Ökosystem unserer Wirtschaft. Plötzlich stehen auch der mittelständische Maschinenbauer, der Lebensmittelproduzent um die Ecke und der lokale Postdienstleister im Fokus.

Warum dieser Schritt? Es ist eine direkte Antwort auf die wachsende Gefahr durch Cyberangriffe, die längst nicht mehr nur bei den „Großen“ anklopfen. Ein erfolgreicher Angriff auf einen mittelständischen Zulieferer kann heute eine ganze Lieferkette lahmlegen und damit die Versorgungssicherheit aller gefährden.

Wer fällt unter die Richtlinie?

Die EU hat zwei einfache, aber wirksame Kriterien festgelegt, um zu prüfen, ob Ihr Unternehmen von NIS-2 betroffen ist: die Größe und die Branchenzugehörigkeit. Diese beiden Faktoren bestimmen, ob eine Firma als „besonders wichtige Einrichtung“ (essential) oder als „wichtige Einrichtung“ (important) gilt.

  • Unternehmensgröße: Die Schwellenwerte sind bewusst so niedrig angesetzt, dass ein erheblicher Teil des deutschen Mittelstands erfasst wird.
  • Sektor-Zugehörigkeit: Die Liste der Branchen wurde massiv ausgebaut und umfasst jetzt auch Bereiche wie die Abfallwirtschaft, das verarbeitende Gewerbe oder digitale Dienste.

Dieser Ansatz zielt darauf ab, nicht mehr nur die offensichtlich kritischen Akteure in die Pflicht zu nehmen, sondern auch die vielen unterstützenden und vernetzten Branchen, die das Rückgrat unserer Wirtschaft bilden.

Die massive Ausweitung ist kein Zufall. Sie spiegelt die Erkenntnis wider, dass moderne Volkswirtschaften hochgradig vernetzt sind. Eine einzige Schwachstelle in einem scheinbar unbedeutenden Bereich kann heute kaskadenartige Ausfälle im gesamten System auslösen.

Der folgende Entscheidungsbaum ist eine gute erste Orientierung. Er führt Sie schnell durch die zentralen Fragen nach Sektor und Unternehmensgröße, um eine erste Einschätzung zu treffen.

Infographic about nis-2 betroffene unternehmen

Wie die Grafik zeigt, ist die Prüfung ein zweistufiger Prozess: Erst kommt die Branche, dann die Größe. Die Zugehörigkeit zum richtigen Sektor ist dabei der entscheidende erste Filter.

Ein massiver Anstieg der Verpflichteten

Die Auswirkungen dieser neuen Regelung sind enorm. Im Vergleich zur Vorgängerrichtlinie NIS-1 wächst der Kreis der betroffenen Unternehmen in Deutschland erheblich. Schätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gehen davon aus, dass nun etwa 29.000 bis 30.000 Unternehmen und öffentliche Einrichtungen die neuen Anforderungen erfüllen müssen. Das ist ein gewaltiger Sprung, wenn man bedenkt, dass unter der alten NIS-1-Regelung nur rund 8.000 Organisationen betroffen waren. Mehr zu den Hintergründen erfahren Sie zur Umsetzung des Gesetzes zur Cybersicherheit.

Schnell-Check zur NIS-2 Betroffenheit

Mit der folgenden Tabelle können Sie eine erste, schnelle Einschätzung vornehmen, ob Ihr Unternehmen unter die NIS-2-Richtlinie fallen könnte. Die Einteilung erfolgt in die Kategorien „Besonders wichtige“ und „Wichtige“ Einrichtungen.

Kategorie Mitarbeiterzahl Jahresumsatz Beispiele für Sektoren
Besonders wichtige Einrichtung ≥ 250 > 50 Mio. € Energie, Verkehr, Bankwesen, Gesundheit, Digitale Infrastruktur
Wichtige Einrichtung ≥ 50 > 10 Mio. € Postdienste, Lebensmittelherstellung, Verarbeitendes Gewerbe

Aber Achtung: Es gibt Ausnahmen von der Regel. So können auch kleinere Unternehmen betroffen sein, wenn sie beispielsweise der alleinige Anbieter einer kritischen Dienstleistung in einer Region sind. Eine genaue, individuelle Prüfung ist daher unumgänglich, um auf der sicheren Seite zu sein.

Wer ist von NIS-2 betroffen? Die neuen Kriterien für Sektoren und Schwellenwerte

Gebäude verschiedener Industrien in einer Reihe

Mit der NIS-2-Richtlinie ändert sich die Spielregel, wer als systemrelevant gilt. Statt nur die üblichen Verdächtigen im Bereich der kritischen Infrastrukturen im Blick zu haben, wirft die EU jetzt ein deutlich weiteres Netz aus. Um nis-2 betroffene Unternehmen zu identifizieren, gibt es im Grunde zwei einfache, aber entscheidende Kriterien: die Größe Ihres Unternehmens und die Zugehörigkeit zu einem von 18 Sektoren.

Stellen Sie es sich wie ein zweistufiges Prüfverfahren vor. Erstens: Gehört Ihr Unternehmen zu einer der genannten Branchen? Wenn ja, folgt der zweite Check: Erfüllen Sie die Schwellenwerte bei Mitarbeiterzahl und Umsatz? Diese Logik sorgt dafür, dass nicht nur die ganz großen Player, sondern auch viele mittelständische Unternehmen in die Pflicht genommen werden. Denn auch ihr Ausfall kann empfindliche Dominoeffekte auslösen.

Besonders wichtig vs. wichtig: Ein feiner, aber entscheidender Unterschied

Ein Kernstück von NIS-2 ist die neue Einteilung in zwei Kategorien: „besonders wichtige Einrichtungen“ (Essential Entities) und „wichtige Einrichtungen“ (Important Entities). Das ist mehr als nur eine Namensgebung – die Einstufung hat direkte Folgen für die Intensität der behördlichen Aufsicht und die Höhe der Bußgelder.

  • Besonders wichtige Einrichtungen werden proaktiv überwacht. Das heißt, die Behörden können jederzeit und ohne konkreten Anlass nach dem Rechten sehen. Hierzu zählen Branchen, bei denen man sofort an kritische Versorgung denkt, etwa Energie, Verkehr oder digitale Infrastruktur.

  • Wichtige Einrichtungen stehen unter reaktiver Aufsicht. Hier werden die Behörden erst dann aktiv, wenn etwas passiert ist – also nach einem gravierenden Sicherheitsvorfall. In diese Kategorie fallen zum Beispiel Postdienste, die Lebensmittelproduktion oder das verarbeitende Gewerbe.

Der entscheidende Punkt ist aber: Die zehn grundlegenden Sicherheitsanforderungen sind für beide Gruppen identisch. Der Unterschied liegt also nicht darin, was Sie tun müssen, sondern darin, wie streng man Ihnen auf die Finger schaut.

Die Schwellenwerte im Detail

Die Richtlinie nennt klare Zahlen, die direkt auf den deutschen Mittelstand zielen. Die Grenzen werden anhand der Mitarbeiterzahl und bestimmter Finanzkennzahlen gezogen.

Besonders wichtige Einrichtungen (Essential Entities)
Ihr Unternehmen gilt als „besonders wichtig“, wenn es:

  • mehr als 250 Mitarbeiter beschäftigt ODER
  • einen Jahresumsatz von über 50 Millionen Euro erzielt UND eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufweist.

Wichtige Einrichtungen (Important Entities)
Als „wichtig“ eingestuft wird Ihr Unternehmen, wenn es:

  • 50 bis 249 Mitarbeiter beschäftigt ODER
  • einen Jahresumsatz zwischen 10 und 50 Millionen Euro erzielt.

Diese Zahlen sprechen eine klare Sprache: Die Zeiten, in denen Cybersicherheit nur ein Thema für Großkonzerne war, sind definitiv vorbei.

Die 18 Sektoren im Überblick

Die wohl größte Neuerung ist die massive Erweiterung der betroffenen Branchen. NIS-2 listet nun insgesamt 18 Sektoren auf, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden.

Sektoren mit hoher Kritikalität (besonders wichtig):

  1. Energie (Strom, Öl, Gas)
  2. Verkehr (Luft, Schiene, Wasser, Straße)
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen
  6. Trinkwasser und Abwasser
  7. Digitale Infrastruktur (z. B. Rechenzentren, Cloud-Anbieter)
  8. Verwaltung von IKT-Diensten (Managed Services im B2B-Bereich)
  9. Öffentliche Verwaltung
  10. Raumfahrt

Sonstige kritische Sektoren (wichtig):
11. Post- und Kurierdienste
12. Abfallbewirtschaftung
13. Herstellung, Produktion und Handel mit chemischen Stoffen
14. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
15. Verarbeitendes Gewerbe/Herstellung von Waren (z. B. Medizintechnik, Maschinenbau)
16. Anbieter digitaler Dienste (z. B. Online-Marktplätze, Suchmaschinen)
17. Forschung

Diese breite Liste bedeutet, dass auch ein mittelständischer Lebensmittelhersteller, ein lokaler Maschinenbauer oder ein IT-Dienstleister für Geschäftskunden plötzlich zu den nis-2 betroffenen Unternehmen gehört. Das Verständnis davon, was kritische Infrastruktur ist, wird mit NIS-2 also fundamental neu definiert.

Sonderfälle: Wenn die Größe keine Rolle spielt

Ganz wichtig: Es gibt Ausnahmen von den Schwellenwerten. Die sogenannte „Size-Cap-Rule“ besagt, dass bestimmte Organisationen unabhängig von ihrer Größe immer unter NIS-2 fallen. Das ist der Fall, wenn ihr Ausfall ein erhebliches Risiko für die öffentliche Sicherheit oder Ordnung bedeuten würde.

Darunter fallen zum Beispiel:

  • Alleinige Anbieter: Ein Unternehmen, das in einem Mitgliedsstaat der einzige Anbieter einer kritischen Dienstleistung ist.
  • Vertrauensdiensteanbieter: Anbieter von qualifizierten elektronischen Signaturen.
  • Betreiber öffentlicher Kommunikationsnetze.

Ein kleines Stadtwerk mit nur 40 Mitarbeitern kann also durchaus betroffen sein, wenn es die einzige Wasserversorgung für eine Gemeinde sicherstellt. Eine sorgfältige Einzelfallprüfung ist daher absolut unerlässlich, um sicherzugehen, ob man an Bord ist oder nicht.

Warum der Mittelstand seine Betroffenheit oft unterschätzt

Eines der größten Hindernisse bei der Umsetzung von NIS-2 ist kein technisches Problem, sondern eine hartnäckige Fehleinschätzung. Gerade im deutschen Mittelstand, dem Motor unserer Wirtschaft, ist oft der Satz zu hören: „Das betrifft uns doch gar nicht.“ Eine Haltung, die nicht nur falsch, sondern brandgefährlich ist.

Viele Unternehmen, die längst unter die NIS-2-Richtlinie fallen, haben das schlichtweg noch nicht auf dem Schirm. Der Grund dafür ist meist ein überholtes Bild von „kritischer Infrastruktur“. Man denkt an große Energieversorger oder Telekommunikationsriesen, aber doch nicht an den eigenen Maschinenbau- oder Lebensmittelbetrieb.

Aber genau hier hat sich die Welt verändert. In unseren modernen, engmaschigen Lieferketten kann der Ausfall eines einzigen mittelständischen Zulieferers eine ganze Branche zum Stillstand bringen. Und genau diese Abhängigkeiten nimmt NIS-2 ins Visier.

Das Trugbild der reinen Produktion

Nehmen wir ein klassisches mittelständisches Maschinenbauunternehmen. Auf den ersten Blick stellt es einfach nur Maschinen her. Doch die Maschinen von heute sind smart: Sie hängen im Netz, funken Diagnosedaten in die Cloud und werden aus der Ferne gewartet. Damit ist der Hersteller plötzlich auch ein Anbieter digitaler Dienste.

Gleichzeitig ist das Unternehmen tief in die Lieferketten seiner Kunden verwurzelt. Fällt seine Produktion aus, stehen bei einem großen Automobilhersteller oder Lebensmittelkonzern die Bänder still. Diese Verflechtung macht den Maschinenbauer zu einem entscheidenden Glied in der Kette – und damit zu einem NIS-2-relevanten Unternehmen.

Diese indirekte Betroffenheit wird schnell übersehen. Viele werfen nur einen flüchtigen Blick auf die Sektorenliste, finden sich dort nicht direkt wieder und legen das Thema zu den Akten. Dabei übersehen sie, dass ihre Produkte oder Dienstleistungen für einen direkt genannten Sektor absolut unverzichtbar sind.

Die entscheidende Frage lautet nicht mehr nur: „Was stellen wir her?“, sondern vielmehr: „Wessen Betrieb hängt von uns ab?“. Erst dieser Perspektivwechsel ermöglicht eine realistische Einschätzung der eigenen Betroffenheit.

Zahlen untermauern diese verzerrte Wahrnehmung eindrucksvoll. Eine Analyse des VDMA (Verband Deutscher Maschinen- und Anlagenbau) zeigt, wie stark die Betroffenheit in dieser Branche unterschätzt wird. Während rund 24 Prozent der Unternehmen fälschlicherweise glauben, nicht betroffen zu sein, liegt die tatsächliche Quote bei fast 90 Prozent. Mehr zu den Hintergründen können Sie in unserem Beitrag „Wie viele Unternehmen von NIS-2 betroffen sind“ nachlesen.

Die Konsequenzen der Fehleinschätzung

Die Annahme, man sei nicht betroffen, ist alles andere als ein Kavaliersdelikt. Wer seine Rolle im Wirtschaftsgefüge falsch einschätzt und die neuen Pflichten ignoriert, geht enorme Risiken ein, die weit über die Gefahr eines Cyberangriffs hinausgehen.

  • Empfindliche Bußgelder: Die Strafen orientieren sich an der DSGVO. Für „wichtige Einrichtungen“ können sie bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes betragen.
  • Persönliche Haftung der Geschäftsführung: NIS-2 nimmt die Leitungsebene direkt in die Verantwortung. Geschäftsführer haften persönlich, wenn sie ihre Sorgfaltspflichten verletzen.
  • Nachhaltige Reputationsschäden: Ein schwerer Sicherheitsvorfall kann das Vertrauen von Kunden und Geschäftspartnern dauerhaft beschädigen und zu empfindlichen Auftragsverlusten führen.

Diese möglichen Folgen zeigen klar: Eine proaktive und ehrliche Auseinandersetzung mit der eigenen Situation ist unumgänglich. Abwarten und hoffen ist keine Option mehr. Jedes Unternehmen, das die Schwellenwerte bei Mitarbeiterzahl oder Umsatz erfüllt und in einem der relevanten Sektoren tätig ist – oder eng mit diesen verknüpft ist –, muss seine Situation genau prüfen. Die Zeit, den Kopf in den Sand zu stecken, ist endgültig vorbei.

Was genau müssen Unternehmen jetzt tun? Die NIS-2-Pflichten im Klartext

Sobald klar ist, dass Ihr Unternehmen unter die NIS-2-Richtlinie fällt, stellt sich die entscheidende Frage: Was bedeutet das jetzt konkret für uns? Die Richtlinie mag auf den ersten Blick abstrakt wirken, aber ihre Anforderungen lassen sich in ganz handfeste Aufgaben übersetzen. Im Grunde geht es darum, ein solides Sicherheitskonzept zu schmieden, das auf drei Säulen steht: Vorbeugen, Erkennen und Reagieren.

Stellen Sie sich Ihr Unternehmen wie ein Haus vor. Früher hat es vielleicht gereicht, die Haustür abzuschließen. NIS-2 fordert jetzt deutlich mehr. Sie müssen auch die Fenster sichern, eine Alarmanlage installieren und einen genauen Plan haben, was zu tun ist, wenn doch jemand einbricht. Es ist ein ganzheitlicher Ansatz, der weit über die klassische IT-Abteilung hinausgeht und das ganze Unternehmen betrifft.

Insgesamt schreibt die Richtlinie zehn zentrale Sicherheitsmaßnahmen vor. Diese bilden das Fundament, das jedes betroffene Unternehmen legen muss.

Die drei Säulen der NIS-2-Pflichten

Um die zehn Maßnahmen besser zu verstehen und strukturiert anzugehen, kann man sie in drei logische Bereiche einteilen. Das schafft eine klare Roadmap und verhindert, dass man den Überblick verliert.

  1. Prävention (Vorbereitung): In diesem Bereich geht es darum, Angriffe von vornherein abzuwehren oder zumindest so schwierig wie möglich zu machen. Das sind alle proaktiven Schritte, die Sie unternehmen, um Ihre digitale Festung zu stärken.
  2. Detektion (Erkennung): Weil es keinen hundertprozentigen Schutz gibt, ist der nächste Schritt entscheidend: Sie müssen in der Lage sein, einen laufenden Angriff oder eine Sicherheitslücke so schnell wie möglich aufzuspüren.
  3. Reaktion (Bewältigung): Sobald ein Vorfall entdeckt ist, zählt jede Sekunde. Hier brauchen Sie glasklare Prozesse, um den Schaden zu begrenzen, den Betrieb wiederherzustellen und natürlich die gesetzlichen Meldepflichten zu erfüllen.

Diese Dreiteilung hilft enorm dabei, Prioritäten zu setzen und die Umsetzung systematisch zu planen.

Die zehn zentralen Sicherheitsmaßnahmen im Detail

Jede der zehn Kernpflichten zielt auf einen bestimmten Aspekt Ihrer Cybersicherheit ab. Zusammen ergeben sie ein umfassendes System zum Management Ihrer Risiken.

  • Risikoanalyse und Sicherheit für Informationssysteme: Sehen Sie das als regelmäßigen Gesundheitscheck für Ihre IT. Sie müssen systematisch bewerten, wo Ihre Schwachstellen lauern und welche Bedrohungen für Ihr Geschäftsmodell am gefährlichsten sind.
  • Bewältigung von Sicherheitsvorfällen: Ein Notfallplan ist absolut unerlässlich. Wer wird wann informiert? Welche Schritte werden sofort eingeleitet? Wer hat welche Entscheidungsbefugnisse? Diese Fragen müssen vor dem Ernstfall geklärt sein.
  • Business Continuity Management: Was passiert, wenn Ihre zentralen Systeme ausfallen? Hier geht es um Notfallpläne, Backup-Strategien und ein funktionierendes Krisenmanagement, damit der Betrieb so schnell wie möglich weiterlaufen kann.
  • Sicherheit der Lieferkette: Ein ganz entscheidender Punkt. Sie müssen nicht nur Ihre eigene Haustür sichern, sondern auch dafür sorgen, dass Ihre Dienstleister und Zulieferer keine Sicherheitsrisiken darstellen. Ein unsicherer Partner wird schnell zu Ihrem eigenen Problem.
  • Sicherheit bei Entwicklung und Wartung: Wenn Sie Software entwickeln oder Systeme beschaffen, muss Sicherheit von Anfang an ein fester Bestandteil sein (Stichwort: Security by Design).
  • Wirksamkeitsprüfung der Maßnahmen: Es genügt nicht, Sicherheitsmaßnahmen nur einzuführen. Sie müssen auch regelmäßig prüfen, ob sie wirklich funktionieren – zum Beispiel durch Audits oder simulierte Hackerangriffe (Penetrationstests).
  • Cyber-Hygiene und Schulungen: Der Mensch ist oft das schwächste Glied in der Sicherheitskette. Regelmäßige Schulungen der Mitarbeiter zu Themen wie Phishing, sicheren Passwörtern und dem Umgang mit Daten sind daher Pflicht.
  • Einsatz von Kryptografie: Die Verschlüsselung von sensiblen Daten – sowohl bei der Übertragung als auch bei der Speicherung – ist ein technischer Grundpfeiler moderner Sicherheit.
  • Sicherheit des Personals und Zugriffskontrolle: Nicht jeder Mitarbeiter braucht Zugriff auf alles. Klare Zugriffskonzepte nach dem „Need-to-Know“-Prinzip sind ebenso gefordert wie Hintergrundprüfungen für Personal in besonders sensiblen Bereichen.
  • Multi-Faktor-Authentifizierung (MFA): Wo immer es technisch machbar ist, sollten Anmeldungen durch einen zweiten Faktor abgesichert werden, zum Beispiel durch eine App auf dem Diensthandy.

Unternehmen müssen diese Maßnahmen nach Inkrafttreten des nationalen Umsetzungsgesetzes implementieren. Eine solide Absicherung ist übrigens oft auch eine Grundvoraussetzung für eine gute Cyber-Versicherung für Unternehmen, die im Schadensfall zumindest den finanziellen Druck nehmen kann.

Die Kernbotschaft von NIS-2 ist klar: Risikomanagement ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Unternehmen müssen beweisen, dass sie ihre Cybersicherheitsrisiken kennen, bewerten und aktiv steuern.

Die verschärften Meldepflichten: Jetzt tickt die Uhr

Eine der spürbarsten Änderungen betrifft die Meldepflichten bei Sicherheitsvorfällen. Wenn etwas passiert, tickt die Uhr gnadenlos. Die Fristen sind bewusst extrem kurz gehalten, damit die Behörden sich schnell ein umfassendes Lagebild verschaffen können.

  • Innerhalb von 24 Stunden: Eine erste Frühwarnung muss beim Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem zuständigen CSIRT eingehen. Hier muss bereits angegeben werden, ob der Vorfall vermutlich auf kriminelle Handlungen zurückzuführen ist.
  • Innerhalb von 72 Stunden: Eine detailliertere Meldung folgt. Sie muss eine erste Einschätzung des Vorfalls, seiner Schwere und der möglichen Auswirkungen enthalten.
  • Innerhalb eines Monats: Ein finaler Abschlussbericht muss vorgelegt werden, der den Vorfall umfassend aufarbeitet.

Diese straffen Fristen sind ohne exzellent vorbereitete interne Abläufe kaum zu schaffen. Ohne einen praxiserprobten Notfallplan, der genau festlegt, wer wann was zu tun hat, ist das Scheitern vorprogrammiert. Um die Logik hinter solchen Anforderungen zu verstehen, lohnt sich ein Blick auf die allgemeine regulatorische Herausforderungen in der EU, denn NIS-2 ist Teil eines größeren Trends zu mehr digitaler Verantwortung.

Warum Cybersicherheit jetzt Chefsache ist

Geschäftsführer am Schreibtisch mit Blick auf digitale Sicherheitselemente

Mit der NIS-2-Richtlinie ist es offiziell: Cybersicherheit ist kein reines IT-Thema mehr. Früher landete das Thema oft ausschließlich bei der Technik-Abteilung. Heute rückt es direkt auf den Tisch der Geschäftsführung und wird damit zu einer strategischen Kernaufgabe des Managements.

Dieser Wandel kommt nicht von ungefähr. Die Richtlinie macht deutlich, dass die Entscheidungen an der Unternehmensspitze den entscheidenden Hebel für die Cyber-Resilienz darstellen. Es genügt einfach nicht mehr, nur Budgets freizugeben und das Beste zu hoffen. Stattdessen sind aktive Auseinandersetzung, fundierte Entscheidungen und echte Kontrolle durch Vorstände und Geschäftsführer gefordert.

Die neue Verantwortung der Geschäftsleitung

Im Kern der neuen Pflichten steht etwas, das man als Billigungs- und Überwachungspflicht bezeichnen kann. Das klingt erstmal nach Beamtendeutsch, bedeutet aber in der Praxis zwei ganz konkrete Dinge:

  • Billigung: Die Geschäftsleitung muss die Konzepte zum Risikomanagement nicht nur zur Kenntnis nehmen, sondern sie ganz offiziell genehmigen. Sie muss verstehen, welche Risiken lauern und welche Strategie das Unternehmen verfolgt, um damit umzugehen.
  • Überwachung: Es reicht nicht, ein Konzept einmal abzunicken. Die Leitungsebene muss sich regelmäßig vergewissern, dass die beschlossenen Sicherheitsmaßnahmen auch wirklich greifen und wirksam sind.

Stellen Sie sich das mal vor: Der Geschäftsführer eines mittelständischen Produktionsbetriebs bekommt einen Bericht über veraltete Steuerungssysteme in der Fertigung – ein offensichtliches Sicherheitsrisiko. Früher hätte er das Thema vielleicht an die IT-Abteilung weitergereicht. Nach NIS-2 muss er die vorgeschlagenen Gegenmaßnahmen selbst prüfen, ihre Umsetzung anordnen und später nachhaken, ob die Sicherheitslücke auch wirklich geschlossen wurde.

NIS-2 verankert die Verantwortung für Cybersicherheit unmissverständlich in der Führungsetage. Geschäftsführer sind nicht länger nur Sponsoren, sondern aktive Gestalter und Kontrolleure der Sicherheitsstrategie.

Persönliche Haftung als entscheidender Faktor

Der wohl gravierendste Punkt ist die persönliche Haftung der Geschäftsleitung. Bei groben Verstößen gegen die Sorgfaltspflicht können Geschäftsführer jetzt direkt zur Verantwortung gezogen werden. Das gilt vor allem dann, wenn bekannte Risiken wissentlich ignoriert wurden und genau das zu einem schweren Sicherheitsvorfall führt.

Ein realistisches Szenario zeigt die ganze Tragweite:

Ein Logistikunternehmen, das als „wichtige Einrichtung“ eingestuft ist, stellt bei einer Risikoanalyse massive Mängel in der Absicherung seiner Tourenplanungs-Software fest. Die IT-Leitung beantragt Budget für eine zeitgemäße Multi-Faktor-Authentifizierung und die Verschlüsselung der Datenbank. Der Geschäftsführer lehnt die Investition aus Kostengründen ab, obwohl er über das hohe Risiko im Bilde war.

Einige Monate später gelingt es Angreifern, genau diese Software zu kompromittieren. Das Ergebnis: Ein tagelanger Ausfall der gesamten Lieferkette. Stellt die Aufsichtsbehörde bei der Untersuchung fest, dass der Geschäftsführer seine Pflicht zur Umsetzung angemessener Risikomaßnahmen verletzt hat, kann er für den entstandenen Schaden persönlich haftbar gemacht werden.

Diese neue Realität erzwingt ein komplettes Umdenken. Die aktive Auseinandersetzung mit Cyberrisiken ist keine freiwillige Übung mehr, sondern eine rechtliche Notwendigkeit, die durch ein solides Compliance-Management-System abgesichert werden muss. Hinzu kommt: Schulungen für Leitungsorgane sind nun ebenfalls Pflicht, damit wichtige Entscheidungen auf einer informierten und soliden Grundlage getroffen werden können.

Häufig gestellte Fragen zu NIS-2

Eine Person tippt auf einer Laptop-Tastatur, auf der ein Fragezeichen-Symbol leuchtet

Die neue NIS-2-Richtlinie wirft viele Fragen auf. Das ist völlig normal, gerade wenn man sich zum ersten Mal mit so weitreichenden Vorgaben zur Cybersicherheit auseinandersetzen muss. Um Ihnen den Einstieg zu erleichtern, haben wir hier die Antworten auf die brennendsten Fragen kurz und verständlich zusammengefasst.

Was passiert, wenn ich NIS-2 einfach ignoriere?

Ganz ehrlich? Das ist eine sehr riskante Strategie. Die Konsequenzen bei Nichteinhaltung sind empfindlich und sollen ein klares Zeichen setzen. Die Behörden meinen es ernst.

Für „besonders wichtige Einrichtungen“ können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Bei „wichtigen Einrichtungen“ sind es immerhin noch bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Dabei wird immer der höhere Betrag angesetzt.

Aber es geht nicht nur ums Geld. Die Aufsichtsbehörden können auch Sicherheitsüberprüfungen anordnen, verbindliche Anweisungen erteilen und – im schlimmsten Fall – verantwortlichen Führungskräften vorübergehend ihre Funktion entziehen.

Was viele nicht auf dem Schirm haben: NIS-2 führt eine persönliche Haftung der Geschäftsführung ein. Werden die Sorgfaltspflichten nachweislich missachtet, können Manager persönlich zur Verantwortung gezogen werden. Es steht also nicht nur ein Bußgeld im Raum, sondern potenziell die eigene berufliche und finanzielle Zukunft.

Muss ich jetzt auch meine Lieferanten prüfen?

Ja, unbedingt. Das ist sogar einer der Kernpunkte von NIS-2. Die Zeiten, in denen es reichte, nur das eigene Unternehmen abzusichern, sind definitiv vorbei. Die Richtlinie verpflichtet Sie ausdrücklich, die Cybersicherheitsrisiken Ihrer gesamten Lieferkette im Blick zu haben.

Das bedeutet einen echten Paradigmenwechsel. Sie müssen aktiv werden und die Sicherheitsvorkehrungen Ihrer Partner und Dienstleister bewerten. Ein Angriff, der über einen schlecht gesicherten Zulieferer erfolgt, fällt am Ende auf Sie zurück – vor allem dann, wenn Sie bei der Auswahl und Überprüfung nachlässig waren.

Für nis-2 betroffene unternehmen heißt das konkret:

  • Lieferanten unter die Lupe nehmen: Analysieren Sie die Cybersicherheit Ihrer wichtigsten Partner. Haben diese ihre Hausaufgaben gemacht?
  • Verträge wasserdicht machen: Nehmen Sie klare Sicherheitsanforderungen und Meldepflichten in Ihre Verträge auf.
  • Dranbleiben: Etablieren Sie einen Prozess, um die Sicherheit Ihrer Lieferkette regelmäßig zu überprüfen.

Die Logik dahinter ist simpel: Eine Kette ist nur so stark wie ihr schwächstes Glied. Angreifer suchen sich immer den Weg des geringsten Widerstands, und das ist oft ein weniger gut geschützter Partner.

Wie stelle ich schnell fest, ob ich betroffen bin?

Einen einfachen Test zum Ankreuzen gibt es leider nicht, aber mit einer systematischen Selbstprüfung in drei Schritten kommen Sie sehr schnell zu einer verlässlichen Einschätzung.

Schritt 1: Die Größe zählt
Die erste Hürde ist die Unternehmensgröße. Trifft einer dieser Punkte zu: mehr als 50 Mitarbeiter ODER ein Jahresumsatz von über 10 Millionen Euro? Wenn Sie hier nicken, geht es direkt weiter zu Schritt 2.

Schritt 2: In welchem Sektor bin ich tätig?
Schauen Sie sich die Liste der 18 kritischen Sektoren an. Ist Ihre Branche dabei? Denken Sie daran, dass es hier nicht nur um die üblichen Verdächtigen wie Energie oder Gesundheit geht. Auch das verarbeitende Gewerbe, die Lebensmittelproduktion oder digitale Dienste sind betroffen. Wenn Ihr Sektor genannt wird, können Sie fast sicher davon ausgehen, dass NIS-2 für Sie relevant ist.

Schritt 3: Gibt es Sonderfälle?
Jetzt wird es etwas knifflig. Selbst wenn Sie die Größenschwellen nicht erreichen, könnten Sie trotzdem unter die Richtlinie fallen. Das ist zum Beispiel der Fall, wenn Sie der alleinige Anbieter einer kritischen Dienstleistung in einem Mitgliedsstaat sind, ein öffentliches Kommunikationsnetz betreiben oder als Vertrauensdiensteanbieter agieren.

Wenn Sie nach diesen drei Schritten immer noch unsicher sind, holen Sie sich unbedingt professionellen Rat. Eine Fehleinschätzung kann teuer werden. Hier ist es besser, einmal zu viel als einmal zu wenig nachzufragen.

Sind Sie unsicher, ob Ihr Unternehmen von NIS-2 betroffen ist oder wie Sie die Anforderungen umsetzen sollen? Deeken.Technology GmbH ist Ihr ISO 27001 zertifizierter Partner für NIS-2 Compliance. Wir analysieren Ihre Situation und entwickeln eine maßgeschneiderte Strategie, damit Sie sicher für die Zukunft aufgestellt sind. Kontaktieren Sie uns für eine unverbindliche Erstberatung unter https://deeken-group.com.

Share the Post:

Related Posts