+49 (0) 30 28047033

Was ist NIS-2? – Die neue EU-Richtlinie zur Cybersicherheit erklärt

Kategorie: IT-Sicherheit, Neuigkeiten

Die NIS-2-Richtlinie ist der neue europäische Rechtsrahmen zur Cybersicherheit. Sie verpflichtet deutlich mehr Unternehmen als bisher, ihre IT-Systeme zu schützen und Risiken aktiv zu managen. Damit betrifft NIS-2 nicht mehr nur Konzerne, sondern auch viele mittelständische Betriebe – und schafft neue Anforderungen für Technik, Organisation und Compliance.

weiterlesen
Europäische Cybersicherheit: NIS-2-Richtlinie erklärt

Hintergrund: Warum NIS-2 überhaupt eingeführt wurde

Die EU hat die NIS-2-Richtlinie im Rahmen ihrer Cybersecurity-Strategie beschlossen. Der Gedanke dahinter ist klar: Angriffe auf IT-Systeme nehmen zu – sei es durch geopolitische Spannungen, organisierte Kriminalität oder gezielte Wirtschaftsspionage. Bislang galten entsprechende Sicherheitsvorgaben nur für sogenannte „kritische Infrastrukturen“ (KRITIS), also große Energieversorger oder Telekommunikationsanbieter. Doch diese enge Definition wurde der Realität einer zunehmend digitalen Wirtschaft nicht mehr gerecht.

Mit NIS-2 soll die Widerstandsfähigkeit der europäischen Wirtschaft gestärkt werden. Unternehmen sollen technische und organisatorische Maßnahmen treffen, um Cyberangriffe zu verhindern oder ihre Folgen zu minimieren.

Rechtsform: Richtlinie statt Verordnung

NIS-2 ist keine Verordnung wie die DSGVO, sondern eine EU-Richtlinie. Das bedeutet, die EU gibt den Mitgliedstaaten nur einen Rahmen vor – ein „Kochrezept“, das national umgesetzt werden muss. Deutschland hat also etwas Spielraum bei Bußgeldhöhen oder Detailregelungen, ist aber verpflichtet, die inhaltlichen Leitplanken der Richtlinie einzuhalten.

Wer ist von NIS-2 betroffen?

Besonders relevant ist die Ausweitung des Anwendungsbereichs. Während bisher nur etwa 5.000 bis 6.000 große Unternehmen in Deutschland betroffen waren, werden es künftig über 30.000 sein. Betroffen sind alle Unternehmen, die

  • mehr als 50 Mitarbeiter haben oder
  • mehr als 10 Millionen Euro Jahresumsatz erzielen

und gleichzeitig in einem der im Gesetz genannten „Sektoren“ tätig sind. Diese Sektoren reichen von Energie, Transport und Gesundheitswesen über Informationstechnik und Telekommunikation bis zu Betreibern digitaler Dienste – etwa Online-Marktplätzen, Suchmaschinen oder sozialen Netzwerken.

Damit ist klar: NIS-2 betrifft nicht nur Großkonzerne. Auch mittlere Unternehmen, die digitale Dienstleistungen anbieten, müssen künftig mit neuen Compliance-Anforderungen rechnen. Wenn Sie unsicher sind, ob Ihr Unternehmen in den Geltungsbereich fällt, bietet sich ein kostenfreier Datenschutz- und Compliance-Check an.

Kostenfreier Datenschutz Check

Finden Sie mit unserem kostenlosen Datenschutz Check heraus, wo Ihr Unternehmen steht – anwaltlich geprüft & verständlich erklärt.

Check starten

Das Ziel: Mehr Cybersicherheit und Resilienz

Im Kern verpflichtet NIS-2 die betroffenen Unternehmen dazu, ein Risikomanagement aufzubauen und regelmäßig zu überprüfen. Es geht darum,

  • technische Schutzmaßnahmen wie Firewalls und Verschlüsselung einzusetzen,
  • klare Berechtigungskonzepte zu etablieren,
  • Mitarbeitende regelmäßig zu schulen und
  • Notfall- und Reaktionspläne zu dokumentieren.

Alle Maßnahmen müssen dem „Stand der Technik“ entsprechen – also aktuellen technischen Standards und Bedrohungslagen. Das kann besonders bei Hardware oder Software teuer werden, weil ältere, „ausgediente“ Versionen nicht mehr genügen. Auch die Schulungsanforderungen steigen, insbesondere für IT-Fachkräfte, die Sicherheitsvorfälle beheben müssen.

Abgrenzung zu Datenschutz und DSGVO

Viele Unternehmen fragen sich, wie sich NIS-2 zum Datenschutzrecht verhält. Tatsächlich gibt es große Schnittmengen: Wer bereits ein gut organisiertes Datenschutzmanagementsystem etabliert hat, hat sich schon ein gutes Stück auf den Weg gemacht. Zahlreiche Anforderungen ähneln denen, die Sie zum Beispiel als externer Datenschutzbeauftragter kennen werden – etwa die Pflicht zur Dokumentation, regelmäßige Risikoanalysen und Schulungen.

Dennoch handelt es sich um zwei getrennte Rechtsbereiche. NIS-2 zielt auf Cybersicherheit insgesamt, während die DSGVO den Schutz personenbezogener Daten regelt. Im Ernstfall, etwa bei einem Hackerangriff, sind in der Praxis beide Vorschriften parallel zu beachten.

Fazit: NIS-2 betrifft viele mehr, als man denkt

Mit NIS-2 zieht die EU die Schrauben für Cybersicherheit deutlich an. Die Richtlinie soll den digitalen Binnenmarkt widerstandsfähiger machen – und verpflichtet jetzt auch mittlere Unternehmen, sich aktiv um IT-Sicherheit und Notfallmanagement zu kümmern. Wer die Anforderungen frühzeitig angeht, verschafft sich nicht nur rechtliche Sicherheit, sondern stärkt auch das Vertrauen seiner Kunden und Geschäftspartner.Wenn Sie prüfen möchten, ob Ihr Unternehmen nach NIS-2 pflichtig ist oder welche Maßnahmen konkret erforderlich sind, nutzen Sie gerne den kostenfreien anwaltlichen Datenschutz-Check – oder lassen Sie sich persönlich beraten.

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor
Dr. Jonas Jacobsenhttps://datenrecht-kompass.de/
Beitrag teilen:
Vorheriger Beitrag
Vorrang DSGVO oder Data Act – wie greifen die Regelungen ineinander?
Nächster Beitrag
NIS-2 Geltungsbereich: Gilt die Richtlinie für mein Unternehmen?