top of page
VerooConsulting-weiss-akzent.png

Jetzt Termin vereinbaren

NIS2 Cybersecurity

  • Autorenbild: Veroo Consulting GmbH Microsoft Cloud Partner
    Veroo Consulting GmbH Microsoft Cloud Partner
  • 17. Apr. 2024
  • 4 Min. Lesezeit

Aktualisiert: 2. Sept. 2025

Was ist NIS2? 

Neue Sicherheitsvorschriften der EU



Die Neuauflage der „Network and Information Security 2“ der EU, kurz „NIS2“ steht zunächst in Verbindung mit neuen Sicherheitsanforderungen für bestimmte Unternehmen. Es bezieht sich auf ein Konzept für eine Weiterentwicklung des Internet-Protokolls (IP). Das Internetprotokoll ist das grundlegende Kommunikationsprotokoll, das verwendet wird, um Daten über das Internet zu übertragen. Die 2016 eingeführten Cybersecurity-Vorschriften der EU wurden durch dieses neue Konzept, die neuen Richtlinien, ersetzt. Ziel ist natürlich ein höheres und allgemeines Sicherheitsniveau in der gesamten Union zu erreichen.


Hände mit Schloss


Inhalt




Die Idee hinter NIS2 besteht darin, die aktuelle Internetinfrastruktur zu verbessern und den Anforderungen an Sicherheit, Effizienz und Skalierbarkeit gerecht zu werden, die durch die ständig wachsende Nutzung des Internets entstehen. Dies bedeutet, das Risiko und die Bedrohung für Unternehmen zu minimieren und Resilienz, wie auch Reaktionskapazitäten der zuständigen Behörden, als auch öffentlichen Stellen zu optimieren.


NIS 2 ist eine Weiterentwicklung des ursprünglichen NIS-Protokolls, das auch als Yellow Pages oder YP bekannt ist. Dadurch, dass produzierende Unternehmen betroffen sind, spielt dies erstmals auch eine Rolle für die Industriezweige wie Chemie, Lebensmittel, Maschinenbau, Elektro oder auch Automobil. NIS2 geht dabei weiter wie das bislang bekannte NIS oder auch die KTITIS-Verordnung. Es gibt höhere Strafen und konkretere Vorgaben. 



Was sagt die EU?


„Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.“



Bitte informiere dich für dein Unternehmen und dessen spezifischen Anforderungen. Wir bieten mit diesen Informationen lediglich einen Überblick und eine Zusammenfassung der veröffentlichten Angaben.
Schluss um Monitor


Wann tritt NIS2 in Kraft?

Cybersecurity und Compliance kommen auf unterschiedliche Industriezweige zu. Zunächst jedoch folgende Facts rund um die Verordnung:


  • NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft

  • Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen

  • Das nationale Recht muss ab 18. Oktober 2024 angewendet werden

  • NIS2 gibt Mindeststandard vor, d.h. die EU-Staaten dürfen strengere Vorschriften erlassen

  • In Deutschland wurde bisher ein Referentenentwurf für das NIS2-Umsetzungsgesetz bekannt



Wer ist von NIS2 betroffen?

Zitat Europäische Komission:„Unternehmen, die von den Mitgliedstaaten als Betreiber wesentlicher Dienste in den oben genannten Sektoren eingestuft wurden, müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“


Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Zusätzlich einige Sonderfälle unabhängig von ihrer Größe.

Es folgt eine Auflistung der Sektoren aus Anhang 1 und Anhang 2 der NIS2 und deren Teilsektoren.

Laptop mit Totenkopf


Kritische Sektoren:

Du findest die genaue Auflistung kritischer Sektoren unter den Links zu Anhang 1 und 2 (Siehe Abschnitt vorab), anbei jedoch nochmals eine kurze Zusammenfassung der übergreifenden Sektoren:

  • Energie

  • Verkehr

  • Bankwesen

  • Finanzmarktinfrastrukturen

  • Gesundheitswesen

  • Trinkwasser

  • Abwasser

  • Digitale Infrastruktur

  • Verwaltung von Informations- und Kommunikationstechnik

  • Öffentliche Verwaltung

  • Weltraum

  • Post- und Kurierdienste

  • Abfallwirtschaft

  • Produktion und Handel mit chemischen Stoffen

  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln

  • Verarbeitendes Gewerbe/Herstellung von Waren

  • Anbieter digitaler Dienste

  • Forschung



Mnesch auf Schloss


Das musst du tun, wenn NIS2 für dich gilt

Wenn NIS-2 für dich gilt, musst du dich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt. Folgende Informationen sind einzureichen:


  1. Name deiner Einrichtung

  2. Anschrift und Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern

  3. ggf. den relevanten Sektor und Teilsektor gemäß Anhang I oder II

  4. ggf. eine Liste der EU-Mitgliedstaaten, in denen du Dienste erbringst



Maßnahmen zum Risikomanagement NIS 2 (Art.21)

Du hast dich für NIS2 registriert und bist von den neuen Richtlinien betroffen. Gemäß NIS2 musst du folglich eine Reihe von Cybersecurity-Maßnahmen implementieren, um die Risiken für die Sicherheit deiner Netz- und Informationssysteme zu kontrollieren und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder zu minimieren. Dabei ist es wichtig, sowohl die IT-Systeme als auch deine physische Umgebung zu schützen – ein sogenannter „All-Gefahren-Ansatz“. Die genaue Angemessenheit dieser Maßnahmen solltest du mittels eines risikobasierten Ansatzes festlegen.


Hände mit Schloss



Welche Maßnahmen gehören zu NIS2?

  1. Policies: Entwicklung von Konzepten für Risikoanalyse und Sicherheit von Informationssystemen.

  2. Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle.

  3. Business Continuity: Management von Backups und Wiederherstellung sowie Krisenmanagement zur Aufrechterhaltung des Geschäftsbetriebs.

  4. Supply Chain: Gewährleistung der Sicherheit in der Lieferkette.

  5. Einkauf: Sicherstellung der Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen.

  6. Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.

  7. Cyberhygiene und Schulung: Durchführung von Maßnahmen zur Cyberhygiene (z.B. regelmäßige Updates) und Schulungen im Bereich Cyber Security.

  8. Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung.

  9. Personal, Zugriffe, Assets: Sicherstellung der Personalsicherheit, Zugriffskontrolle und Asset Management.

  10. Authentifizierung: Implementierung von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung.

  11. Kommunikation: Sicherstellung von sicheren Sprach-, Video- und Textkommunikationen, gegebenenfalls auch in Notfällen.


Gemäß dem deutschen NIS2-Gesetzesentwurf dürfen nur zertifizierte Informations- und Kommunikationstechnische Produkte und Dienste genutzt werde



Verantwortung der Geschäftsführung (Art. 20)

Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Auch dies betrifft natürlich vorrangig wieder die Geschäftsleitung und Verantwortlichen der Unternehmen, die für die Umsetzung die Verantwortung tragen.

Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:


Frühwarnung innerhalb von 24h ab Kenntnis: Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.


Ausführlicher Bericht innerhalb von 72h ab Kenntnis: Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.


Fortschritts-/Abschlussbericht ein Monat nach Meldung: Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Kommentare

bottom of page