Die NIS-2-Richtlinie: Was IT-Beratung, ITSM und IT-Sicherheit jetzt wissen müssen

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist ein Meilenstein auf dem Weg zu einem einheitlichen und hohen Cybersicherheitsniveau in der EU. Seit dem 16. Januar 2023 in Kraft und mit nationaler Umsetzung spätestens bis Oktober 2024 soll sie kritische Infrastrukturen, wichtige Unternehmen und IT-Dienstleister durch strengere Vorgaben besser schützen. Gerade für IT-Beratung, IT Service Management (ITSM) und die IT-Sicherheit bedeutet das eine deutliche Ausweitung der Pflichten und neue Herausforderungen.

Warum NIS-2? Ziele und Hintergrund

Die EU reagiert mit NIS-2 auf die steigende Zahl und Komplexität von Cyberangriffen. Ziel ist, die Widerstandskraft („Resilienz“) von Unternehmen und Organisationen zu erhöhen, die kritischen Sektoren wie Energie, Gesundheit und digitale Infrastruktur vor Ausfällen und Angriffen besser zu schützen und grenzüberschreitend einheitliche Sicherheitsstandards sicherzustellen.

Dabei umfasst NIS-2 nicht nur die klassischen Kritischen Infrastrukturen (KRITIS), sondern auch viele IT-Dienstleister, Beratungen und produzierende Unternehmen, die sich in den sogenannten „wesentlichen“ und „wichtigen“ Einrichtungen wiederfinden.

Wer ist von NIS-2 betroffen?

Unternehmen und Organisationen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Mio. Euro. Tätigkeiten in sensiblen Sektoren, z.B. Energie, Transport, Gesundheit, Wasser, Finanzwesen, digitale Infrastruktur. Ausgedehnt auf “wichtige Einrichtungen” wie Postdienste, Chemie, Maschinenbau, IT- und Cloud-Dienstleister, Managed Service Provider (MSP). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass bundesweit rund 29.000 Unternehmen und Organisationen künftig der NIS-2 unterliegen werden – bedeutend mehr als bei der ersten NIS-Richtlinie.

Die zentralen Pflichten nach NIS-2

1. Risikomanagement:

• Einführung und Dokumentation von Risikoanalysen und Sicherheitsprozessen
• Regelmäßige Sicherheitsüberprüfungen, z.B. Penetrationstests

2. Meldepflichten:

• Schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden erst gemeldet und innerhalb von 72 Stunden mit weiteren Details an das BSI gemeldet werden.

3. Business Continuity & Notfallmanagement:

• Erstellung von Notfall- und Wiederherstellungsplänen
• Definierte Rollen und Verantwortlichkeiten für Krisenfälle

4. Lieferkettensicherheit:

• Überprüfung der IT-Sicherheit von Dienstleistern und Zulieferern
• Einbindung von Lieferantenrisiken ins eigene Risikomanagement

5. Management-Verantwortung:

• Geschäftsleitung haftet persönlich und muss regelmäßige Schulungen zur Cybersecurity absolvieren

NIS-2 und IT Service Management (ITSM)

Viele Pflichten der NIS-2 lassen sich durch etablierte ITSM-Prozesse besonders effektiv erfüllen:

• Incident Management: Schnelle Erfassung, Kategorisierung und Meldung von Sicherheitsvorfällen
• Change Management: Kontrollierte Einführung neuer Sicherheitsmaßnahmen oder Updates
• Problem Management: Analyse von Ursachen und Vermeidung wiederkehrender Sicherheitsprobleme

ITSM liefert nicht nur Strukturen zur Einhaltung der Anforderungen, sondern hilft auch dabei, die Sicherheitskultur im Unternehmen zu stärken und Verantwortlichkeiten klar zu definieren.

Rolle der IT-Beratung

IT-Consultants spielen eine Schlüsselrolle bei der NIS-2-Umsetzung:

• Beratung zur Bestandsaufnahme und Betroffenheitsprüfung
• Entwicklung und Optimierung von Sicherheitsprozessen und ITSM-Integrationen
• Unterstützung bei der Risikoanalyse und Ausarbeitung von Notfallplänen
• Unterstützung bei der Schulung von Führungs- und Fachkräften

Mit der NIS-2 entsteht ein wachsender Beratungsmarkt, insbesondere für kleine und mittlere Unternehmen, die neu in die Regulierungen fallen.

Sanktionen und rechtliche Konsequenzen

Verstöße gegen NIS-2 werden deutlich härter sanktioniert als bisher:

• Bußgelder bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes
• Persönliche Haftung von Geschäftsführungen bei bewusster oder grob fahrlässiger Missachtung

Diese Strafandrohungen rücken das Thema Cybersicherheit endgültig in den Verband der Chefsache.

Praktische Tipps für Unternehmen

Prüfen Sie mit Hilfe der BSI-Betroffenheitsprüfung, ob Ihr Unternehmen NIS-2-pflichtig ist (BSI Betroffenheitsprüfung).

• Starten Sie frühzeitig mit der Dokumentation und Anpassung Ihrer ITSM-Prozesse.
• Schaffen Sie klare Verantwortlichkeiten für Cybersecurity und NIS-2-Themen auf Managementebene.
• Nutzen Sie die von BSI bereitgestellten Infopakete und Services unter BSI NIS-2 Portal.

Setzen Sie auf regelmäßige Schulungen und Sensibilisierung Ihrer Mitarbeitenden.

Weiterführende thematische Links

Offizielle NIS-2 Richtlinie (PDF): EUR-Lex PDF

BSI NIS-2-Informationsportal: BSI NIS-2

Referentenentwurf zur NIS-2-Umsetzung (Deutschland): BMI PDF

FAQ – Häufige Fragen zur NIS-2-Richtlinie

1. Was ist der Unterschied zwischen der NIS1 und NIS2-Richtlinie?

Die NIS2-Richtlinie erweitert den Geltungsbereich gegenüber NIS1 deutlich, verschärft die Sicherheitsanforderungen und vereinfacht die Meldepflichten. Außerdem werden Haftung und Sanktionsmechanismen auf das Management ausgeweitet.

2. Wie erkenne ich, ob mein Unternehmen betroffen ist?

NIS2 gilt ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in bestimmten Sektoren. Zudem gibt es Ausnahmen und Sonderregelungen, die eine genaue Analyse erfordern, etwa durch das BSI-Tool.

3. Wer ist für die Umsetzung der NIS2 verantwortlich?

Die Geschäftsleitung trägt die Hauptverantwortung. IT- und Sicherheitsabteilungen setzen die Maßnahmen operativ um.

4. Wie schnell müssen Sicherheitsvorfälle gemeldet werden?

Erstmeldung innerhalb von 24 Stunden nach Bekanntwerden, umfassende Details folgen spätestens nach 72 Stunden.

5. Welche Rolle spielt das ITSM bei der Umsetzung?

ITSM-Prozesse sind die effektiven Werkzeuge, um die Vorgaben, insbesondere bei Incident- und Problem-Management, Compliance-konform umzusetzen.

6. Welche Sanktionen drohen bei Nichteinhaltung?

Hohe Bußgelder bis 10 Mio. Euro oder 2% des weltweiten Umsatzes, plus mögliche persönliche Haftung der Führungskräfte. NIS-2 ist eine fundamentale Neuerung für die IT-Sicherheitslandschaft in Europa. Für IT-Berater, Service Manager und Sicherheitsexperten bedeutet dies nicht nur mehr Pflichten, sondern auch Chancen, Unternehmen sicherer und widerstandsfähiger zu machen.

Bleiben Sie informiert und starten Sie heute Ihre NIS-2-Compliance-Strategie!