Das NIS2-Umsetzungsgesetz ist da
Am 17. Oktober 2024 trat Deutschland in eine neue Ära der Cybersicherheit ein. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — die deutsche Umsetzung der EU-NIS2-Richtlinie — ist nun Realität. Für betroffene Organisationen bedeutet dies neue Verpflichtungen, strengere Anforderungen und potenziell empfindliche Sanktionen.
Aber es geht nicht nur darum, Bußgelder zu vermeiden. Richtig umgesetzt wird das NIS2UmsuCG zu einem Katalysator für die echte Stärkung der digitalen Widerstandsfähigkeit der Organisation.
Wichtig zu verstehen: Das NIS2UmsuCG ist kein einmaliges Projekt. Es ist ein kontinuierlicher Prozess, der erfordert, dass Sicherheit zu einem integrierten Bestandteil des Unternehmens wird — vom Vorstandszimmer bis zum Serverraum.
Die fünf wichtigsten Änderungen
Hier sind die fünf Bereiche, die die meisten Organisationen am stärksten betreffen werden:
Die Anzahl der betroffenen Sektoren hat sich mehr als verdoppelt — von 7 auf 18. Fertigung, Lebensmittel, Abfallwirtschaft und Forschungsorganisationen sind nur einige der neuen Sektoren. Wenn Sie bisher der Regulierung entgangen sind, könnte das jetzt anders sein.
Cybersicherheit ist nicht mehr nur Sache der IT-Abteilung. Vorstand und Geschäftsleitung müssen Sicherheitsrichtlinien genehmigen, Ressourcen sicherstellen und Schulungen absolvieren. Die Verantwortung kann nicht delegiert werden.
Bei erheblichen Sicherheitsvorfällen muss eine Frühwarnung innerhalb von 24 Stunden gesendet werden — nicht 72 wie bisher. Das erfordert vorbereitete Prozesse und Incident-Response-Pläne, die auch um drei Uhr nachts funktionieren.
Die Höchstbußgelder wurden dramatisch angehoben. Wesentliche Einrichtungen riskieren bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes. Das sind Größenordnungen, die bisher nur die GDPR erreichen konnte.
5. Die gesamte Lieferkette wird geprüft
NIS2 stellt explizite Anforderungen an die Sicherheit in der Lieferkette. Das bedeutet, dass Organisationen:
- Sicherheitsrisiken bei Lieferanten bewerten müssen
- Sicherheitsanforderungen in Verträgen stellen müssen
- Die Einhaltung verfolgen und verifizieren müssen
- Bereitschaft für Incidents bei Sublieferanten haben müssen
Konsequenz: Auch wenn Sie nicht direkt vom NIS2UmsuCG betroffen sind, können Sie indirekt durch Anforderungen Ihrer Kunden betroffen sein.
Wer ist betroffen?
Größenkriterien
Generell sind Organisationen betroffen, die mindestens eines der folgenden Kriterien erfüllen:
- Mindestens 50 Beschäftigte
- Mindestens 10 Millionen Euro Jahresumsatz
Wesentliche Einrichtungen (strengste Anforderungen)
- Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff)
- Verkehr (Luft-, Schienen-, Straßen-, Seeverkehr)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, Rechenzentren, Cloud)
- ICT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltung (Bundesebene)
- Weltraum (bodengestützte Infrastruktur)
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemikalien
- Lebensmittel
- Fertigung (Medizintechnik, Elektronik, Fahrzeuge, Maschinen)
- Digitale Dienste (Marktplätze, Suchmaschinen, soziale Plattformen)
- Forschung
Unsicher, ob Sie betroffen sind? Testen Sie unser NIS2-Klassifizierungstool, um in wenigen Minuten eine Antwort zu erhalten.
Was bedeuten die neuen Anforderungen in der Praxis?
- Risikomanagement Implementierung eines systematischen Risikomanagements für Netz- und Informationssysteme. Das umfasst Risikobewertungen, Sicherheitsrichtlinien und technische Maßnahmen, die an die Risiken angepasst sind.
- Incident-Management Etablierung von Prozessen zur Erkennung, Behandlung und Meldung von Sicherheitsvorfällen. Klare Rollen, Kontaktwege und Eskalationsverfahren müssen dokumentiert und eingeübt sein.
- Business Continuity Sicherstellung, dass der Betrieb bei Störungen fortgesetzt werden kann. Das umfasst Backup, Disaster Recovery und Notfallpläne, die regelmäßig getestet werden.
- Lieferantensicherheit Bewertung und Management von Sicherheitsrisiken in der Lieferkette. Anforderungen an Lieferanten stellen und die Einhaltung der Anforderungen verfolgen.
- Schulung und Bewusstseinsbildung Sicherstellen, dass das Personal über das erforderliche Wissen verfügt. Das gilt insbesondere für die Geschäftsleitung, die spezifische Cybersicherheitsschulungen absolvieren muss.
Zeitplan: Was gilt jetzt?
| Datum | Ereignis |
|---|---|
| 17. Okt 2024 | NIS2UmsuCG tritt in Kraft |
| Jan 2025 | Deadline für Registrierung bei Aufsichtsbehörden |
| Laufend | Aufsicht und Kontrollen beginnen |
| Bei Incident | 24 Stunden für Frühwarnung |
Häufige Fehler, die Sie vermeiden sollten
Das Gesetz ist bereits in Kraft. Abwarten bedeutet, sowohl Sanktionen als auch Sicherheitsvorfälle zu riskieren. Beginnen Sie jetzt — auch kleine Schritte in die richtige Richtung sind wertvoll.
Cybersicherheit ist eine Unternehmensfrage, keine Technikfrage. Ohne das Engagement der Geschäftsleitung und die Beteiligung der gesamten Organisation bleibt es halbherzig.
Es gibt keine Abkürzungen. Tools helfen, aber sie ersetzen keine Prozesse, Kultur und Kompetenz. Wählen Sie Tools, die Ihre Arbeitsweise unterstützen.
Ihre Sicherheit ist nicht stärker als das schwächste Glied in der Kette. Kartieren Sie Ihre kritischen Lieferanten und beginnen Sie den Dialog über Sicherheitsanforderungen.
Für eine tiefere Durchdringung der Struktur der NIS2-Richtlinie und aller Anforderungsbereiche siehe unsere vollständige NIS2-Framework-Übersicht.
So kann Securapilot helfen
Securapilot ist darauf ausgelegt, Organisationen durch die gesamte NIS2/NIS2UmsuCG-Journey zu unterstützen:
- GAP-Analyse — Kartierung Ihres aktuellen Stands gegenüber den Anforderungen
- Risikomanagement — ISO 27005-basierte Risikobewertung und -behandlung
- Incident-Management — Dokumentation und Berichtsgenerierung innerhalb der Zeitanforderungen
- Lieferantenmanagement — Bewertung und Verfolgung von Lieferanten
- Management-Dashboard — Überblick für Vorstand und Geschäftsleitung
Buchen Sie eine Demo und sehen Sie, wie wir Ihrer Organisation helfen können.
Häufig gestellte Fragen
Wann ist das NIS2-Umsetzungsgesetz in Kraft getreten?
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist am 17. Oktober 2024 in Kraft getreten. Betroffene Organisationen sollten bereits mit der Umsetzung der Compliance-Anforderungen begonnen haben.
Was ist der Unterschied zwischen NIS2 und dem deutschen Umsetzungsgesetz?
NIS2 ist die EU-Richtlinie, die die Mindestanforderungen festlegt. Das NIS2UmsuCG ist die deutsche Umsetzung der Richtlinie. In der Praxis sind die Anforderungen sehr ähnlich, aber das deutsche Gesetz passt bestimmte Aspekte an die deutschen Verhältnisse an.
Welche Behörden überwachen das NIS2-Umsetzungsgesetz?
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat eine zentrale Rolle, aber mehrere Sektoraufsichtsbehörden haben Aufsichtsverantwortung in ihren jeweiligen Bereichen, beispielsweise die BaFin für den Finanzsektor.
Können Vorstandsmitglieder persönlich haftbar gemacht werden?
Ja, NIS2 und das deutsche Umsetzungsgesetz stellen explizite Anforderungen an die Verantwortung der Geschäftsleitung. Bei schwerwiegenden Verstößen können Führungskräfte persönlich zur Verantwortung gezogen und in extremen Fällen mit Führungsverboten belegt werden.
