1. Hintergrund: Was regelt die NIS-2-Richtlinie?
Die NIS-2-Richtlinie ist Teil der europäischen Cybersicherheitsstrategie. Sie soll Unternehmen verpflichten, technische und organisatorische Maßnahmen zu treffen, um digitale Angriffe zu erkennen, abzuwehren und zu melden. Anders als die Datenschutz-Grundverordnung ist NIS‑2 keine Verordnung, sondern eine Richtlinie – sie muss also durch nationale Gesetze umgesetzt werden. In Deutschland erfolgt dies mit dem neuen NIS‑2-Umsetzungsgesetz.
2. Der erweiterte Geltungsbereich – wer fällt unter NIS‑2?
Während die bisherige NIS‑1 lediglich rund 5.000 bis 6.000 sehr große Betreiber kritischer Infrastrukturen erfasste, weitet NIS‑2 den Anwendungsbereich massiv aus. Künftig können über 30.000 Unternehmen betroffen sein. Entscheidend sind zwei Kriterien: Unternehmensgröße und Branche.
2.1 Unternehmensgröße
Ihr Unternehmen fällt grundsätzlich in den Anwendungsbereich von NIS‑2, wenn mindestens eines der folgenden Kriterien erfüllt ist:
- mehr als 50 Mitarbeiter und/oder
- mehr als 10 Millionen € Jahresumsatz
Diese Schwelle ist bewusst niedrig angesetzt – betroffen sind also nicht nur Konzerne, sondern auch viele mittelständische Unternehmen.
2.2 Relevante Sektoren
Darüber hinaus muss Ihr Unternehmen in einem der in der Richtlinie genannten Sektoren tätig sein. Diese finden sich im Anhang I und II der NIS‑2‑Richtlinie. Beispiele für betroffene Sektoren sind:
- Energie, Wasser- und Gesundheitswesen
- Transport und Verkehr
- Informationstechnik und Telekommunikation
- Herstellendes Gewerbe, chemische Industrie, Lebensmittelverarbeitung
- Online‑Marktplätze, Plattformen, Cloud‑ und Hosting‑Anbieter
Damit können auch SaaS‑Plattformen, Online‑Portale oder Hosting‑Dienstleister unter NIS‑2 fallen – selbst dann, wenn sie keine „klassische“ kritische Infrastruktur betreiben.
3. NIS‑2 Kategorien: „Wichtige“ und „besonders wichtige“ Einrichtungen
Je nach Größe und Bedeutung unterscheidet NIS‑2 zwischen zwei Hauptkategorien:
- Wichtige Einrichtungen – ab 50 Mitarbeitern oder 10 Mio. € Umsatz
- Besonders wichtige Einrichtungen – ab 250 Mitarbeitern oder 50 Mio. € Umsatz
Je nach Einordnung unterscheiden sich die Pflichten leicht – insbesondere in Bezug auf Bußgeldrahmen und Anforderungen an das Risikomanagement.
IT-Recht für Ihr Unternehmen
Erhalten Sie fundierte Unterstützung im IT-Recht – abgestimmt auf Ihr Unternehmen und Ihre konkreten digitalen Herausforderungen.
4. Pflichten nach NIS‑2
Wenn Ihr Unternehmen in den Geltungsbereich fällt, müssen Sie ein umfassendes Sicherheits- und Risikomanagement aufbauen. Dazu zählen insbesondere:
- technische und organisatorische Sicherheitsmaßnahmen nach Stand der Technik
- regelmäßige Mitarbeiterschulungen zu IT‑Sicherheitsrisiken
- Dokumentation von Sicherheitsprozessen und Notfallplänen
- Einrichtung eines Meldeprozesses bei Sicherheitsvorfällen (u.a. innerhalb von 24 Stunden an das BSI)
- Überprüfung und Anpassung eingesetzter Hard‑ und Software
Viele Anforderungen überschneiden sich mit Vorgaben aus dem Datenschutzrecht. Wenn Sie bereits ein Datenschutzmanagementsystem etabliert haben, sind häufig schon wesentliche Grundlagen geschaffen. Ergänzend kann Ihnen eine externe Beratung helfen, den Compliance‑Status effizient zu bewerten – etwa über unseren Datenschutz Check mit kostenfreier anwaltlicher Ersteinschätzung.
5. Wann sollten Sie handeln?
Die Umsetzungsfrist der NIS‑2‑Richtlinie läuft in Kürze aus. Unternehmen, die in einem relevanten Sektor tätig sind und die genannten Schwellen überschreiten, sollten jetzt prüfen, ob sie betroffen sind. Ein strukturierter Einstieg kann z. B. durch die Bestellung eines externen Datenschutzbeauftragten oder IT‑Compliance‑Beraters erfolgen, der Erfahrung mit NIS‑2‑Anforderungen mitbringt.
6. Fazit: NIS‑2 betrifft auch den Mittelstand
Die Zeiten, in denen nur Konzerne unter die EU‑Cybersicherheitsrichtlinien fielen, sind vorbei. Schon mittelgroße und digitale Unternehmen müssen künftig umfangreiche Sicherheitsvorgaben erfüllen. Prüfen Sie daher frühzeitig, ob Ihr Unternehmen im Sinne der NIS‑2‑Richtlinie eine „wichtige Einrichtung“ ist. Ein proaktives Vorgehen spart Kosten, reduziert Risiken und stellt sicher, dass Sie Ihre Melde‑ und Sicherheits‑pflichten rechtzeitig einhalten.
Wenn Ihr Unternehmen in den Anwendungsbereich fällt, sollten Sie als Nächstes die konkreten NIS-2-Pflichten sowie die Meldepflichten bei einem Sicherheitsvorfall kennen.
