NIS2 Beratung

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfangreichste Erweiterung der EU-Cybersicherheitsgesetzgebung seit Jahren. Sie teilt betroffene Unternehmen in zwei Kategorien ein: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Wesentliche Einrichtungen unterliegen strengerer Aufsicht und höheren Bußgeldern; wichtige Einrichtungen werden nachgelagert geprüft, müssen aber dieselben technischen Anforderungen erfüllen.

Betroffen sind Unternehmen in 18 Sektoren – darunter Energie, Wasser, Gesundheit, digitale Infrastruktur, Finanzwesen, Transport, öffentliche Verwaltung und Abfallwirtschaft. Entscheidend ist nicht nur der Sektor, sondern auch die Unternehmensgröße: Mittlere Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz können direkt betroffen sein. Kleinere Unternehmen, die kritische Dienste erbringen oder Teil von Lieferketten wesentlicher Einrichtungen sind, können ebenfalls einbezogen werden.

Was viele unterschätzen: NIS2 schafft eine persönliche Haftung der Geschäftsführung. Führungskräfte können direkt für Verstöße haftbar gemacht werden – nicht nur das Unternehmen. Bußgelder für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Das macht NIS2 zu einer Chefsache, nicht zu einem IT-Thema.

Artikel 21 der NIS2-Richtlinie definiert konkrete technische und organisatorische Maßnahmen, die betroffene Einrichtungen umsetzen müssen. Dazu gehören: ein risikobasiertes Sicherheitsmanagement, Konzepte für Incident Response und Business Continuity, Sicherheit der Lieferkette, Maßnahmen zur Netzwerk- und Systemsicherheit, Kontrolle des physischen Zugangs, Kryptographie und Verschlüsselung, Multi-Faktor-Authentifizierung sowie Schulung von Mitarbeitern und Führungskräften.

Besonders hervorzuheben ist die Lieferkettensicherheit: Unternehmen müssen die Cybersicherheitsreife ihrer direkten Dienstleister und Zulieferer bewerten und vertraglich sicherstellen. Das betrifft Cloud-Anbieter, Managed Service Provider, Softwarelieferanten und IT-Dienstleister. Wer hier keine strukturierten Prozesse hat, wird bei Audits nicht bestehen – und haftet im Schadensfall für Versäumnisse.

Incident Response ist ein weiterer Schwerpunkt: Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen. Binnen 24 Stunden nach Erkennen eines Vorfalls muss eine Frühwarnung an die zuständige Behörde (in Deutschland: BSI) erfolgen. Nach 72 Stunden ist ein detaillierter Bericht fällig. Nach einem Monat muss ein Abschlussbericht vorliegen. Diese Fristen setzen voraus, dass Unternehmen Vorfälle überhaupt erkennen können – was wiederum Security Monitoring und Logging erfordert.

Die erste und wichtigste Frage ist: Fällt Ihr Unternehmen überhaupt unter NIS2? Diese Frage ist weniger trivial als sie klingt. Sektorale Zuordnung, Schwellenwerte und Ausnahmetatbestände können dazu führen, dass Unternehmen betroffen sind, ohne es zu wissen – oder umgekehrt glauben, betroffen zu sein, ohne es tatsächlich zu sein.

Wir führen eine strukturierte Betroffenheitsanalyse durch, die Ihren Sektor, Ihre Unternehmensgröße, Ihre kritischen Dienste und Ihre Rolle in Lieferketten wesentlicher Einrichtungen bewertet. Das Ergebnis ist eine rechtlich fundierte Einschätzung, ob und in welchem Umfang NIS2 für Sie gilt. Wenn Sie betroffen sind, erstellen wir auf dieser Basis einen priorisierten Maßnahmenplan.

Für viele mittelständische Unternehmen ist NIS2 der erste Kontakt mit regulatorischer Cybersicherheitspflicht. Wir nehmen diese Ausgangslage ernst: Unser Ansatz ist pragmatisch, wirtschaftlich zumutbar und darauf ausgelegt, echte Sicherheit zu erzeugen – nicht nur Compliance-Dokumente.

Die technischen Anforderungen von NIS2 sind keine abstrakten Konzepte – sie übersetzen sich in konkrete IT-Maßnahmen. Patch-Management-Prozesse müssen dokumentiert und wirksam sein. Zugriffskontrollen müssen das Prinzip der minimalen Rechtevergabe (Least Privilege) umsetzen. Netzwerke müssen segmentiert sein. Backups müssen regelmäßig getestet werden. Security Logging muss vollständig, zentral und auswertbar sein.

Viele dieser Anforderungen entsprechen dem, was eine gut geführte IT-Organisation ohnehin umsetzt. Der Unterschied zu NIS2: Es reicht nicht mehr, diese Maßnahmen zu haben – sie müssen nachweisbar dokumentiert, getestet und berichtet werden. Der Übergang von gelebter Praxis zur dokumentierten Compliance ist oft der aufwendigste Teil des Projekts.

Wir unterstützen Sie dabei, die Lücke zwischen bestehender IT-Praxis und NIS2-konformer Dokumentation zu schließen. Das umfasst die Erstellung oder Überprüfung von IT-Sicherheitsrichtlinien, die Einrichtung von Meldeprozessen, die Bewertung von Dienstleistern und die Schulung von Führungskräften – denn NIS2 fordert explizit, dass Geschäftsführungen an Schulungen teilnehmen.