NIS 2 – Stichtag 5. März 2025: Sind Sie bereit?

Autor: Carsten Gellert (Senior Consultant #FORTSCHRITT)
- 03.03.2025 -

Ab dem 5. März 2025 gilt die neue NIS-2-Richtlinie (Network and Information Security Directive 2) der EU – inklusive neuer und verschärfter Cybersicherheitsanforderungen für Unternehmen und Organisationen in kritischen und wichtigen Sektoren.

Aber was genau steckt dahinter? Wer ist betroffen, welche Pflichten kommen auf Unternehmen zu, und warum ist das Ganze so wichtig? Wie verhält sich NIS 2 zur ursprünglichen NIS vorgaben und wie passt NIS 2 eigentlich zu weiteren deutschen und europäischen Richtlinien? In diesem Blogbeitrag nehmen wir die wichtigsten Punkte unter die Lupe.

 

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf und setzt neue Maßstäbe für Cybersicherheit in der EU. Sie erweitert den Geltungsbereich, verschärft die Sicherheitsanforderungen und sorgt mit strengeren Durchsetzungsmechanismen dafür, dass die Regeln eingehalten werden.

Die zentralen Ziele der Richtlinie sind:

  • Mehr Cyber-Resilienz für Unternehmen und Organisationen schaffen,
  • Bessere Zusammenarbeit zwischen den EU-Mitgliedstaaten fördern,
  • Eine einheitlichere Sicherheitsstrategie innerhalb der EU schaffen,
  • Strengere Meldepflichten und härtere Sanktionen bei Verstößen durchsetzen.

 

»Der Status der IT-Sicherheit lässt sich gut mit dem Besuch beim Zahnarzt vergleichen, denn auch hier gilt: Vorbeugen ist besser als heilen.« 

Damian Izdebski, CEO techbold

 

Warum ist die NIS-2-Richtlinie wichtig?

Die digitale Vernetzung nimmt immer weiter zu – und mit ihr auch das Risiko für Cyberangriffe. Unternehmen und Organisationen müssen sich besser absichern, um finanzielle Schäden und den Verlust oder Diebstahl sensibler Daten zu vermeiden.

Mit der NIS-2-Richtlinie bringt die EU ein strengeres und einheitliches Regelwerk auf den Weg, das für mehr Sicherheit und Stabilität im Unternehmen sorgt. Wer die neuen Vorgaben rechtzeitig umsetzt, kann nicht nur hohe Strafen vermeiden, sondern schützt auch sein Image und die Stabilität des eigenen Betriebs.

 

Wen betrifft die NIS-2-Richtlinie?

Während die ursprüngliche NIS-Richtlinie nur einige wenige kritische Sektoren erfasste, erweitert die NIS-2-Richtlinie den Anwendungsbereich erheblich. Betroffen sind nun sowohl „wesentliche Anlagen“ als auch „wichtige Anlagen“ (Link11, 2024). Dazu gehören:

Wesentliche Einrichtungen

  • Energie (Elektrizität, Erdgas, Öl, Wasserstoff)
  • Verkehr (Luft-, Schienen-, Wasser- und Straßenverkehr)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Pharmaunternehmen)
  • Trinkwasser- und Abwasserwirtschaft
  • Öffentliche Verwaltung
  • Digitale Infrastruktur (Cloud-Dienste, Rechenzentren, Telekommunikationsanbieter)

Wichtige Einrichtungen

  • Post- und Kurierdienste
  • Chemische Industrie
  • Lebensmittelproduktion
  • Forschungseinrichtungen
  • Anbieter digitaler Dienste (z. B. Managed Service Provider)

Diese Unternehmen und Organisationen müssen bis zum 5. März 2025 sicherstellen, dass sie die neuen Anforderungen erfüllen.

 

Wie verhält sich die NIS 2 Richtlinie zu anderen europäischen/ deutschen Richtlinien?

Die NIS-2-Richtlinie bringt strengere Cybersicherheitsanforderungen und ergänzt bestehende Regelwerke wie DORA, den EU AI Act und die KRITIS-Vorgaben. Während DORA speziell die Widerstandsfähigkeit des Finanzsektors stärkt und der EU AI Act den Umgang mit Künstlicher Intelligenz regelt, gilt NIS 2 für eine breite Palette an Unternehmen aus kritischen und wichtigen Bereichen. Im Vergleich zu KRITIS weitet NIS 2 den Geltungsbereich aus und verschärft sowohl die Meldepflichten als auch die Sicherheitsstandards. Das Ziel: ein einheitliches und stärkeres Sicherheitsniveau in der gesamten EU.

 Abb. 1: Übersicht und Vergleich der veschiedenen Richtlinien (eigene Darstellung)

 

Was sind die zentralen Vorgaben der NIS-2-Richtlinie?

Die NIS 2-Richtlinie legt eine Reihe von Sicherheitsanforderungen und Meldepflichten fest, die von den betroffenen Unternehmen zu erfüllen sind.: (Strategische NIS-Behörde (Bundeskanzleramt), 2024)

1. Erhöhte Cybersicherheitsmaßnahmen

Unternehmen müssen geeignete technische und organisatorische Maßnahmen zur Risikominderung ergreifen. Dazu gehören:

  • Umsetzung von Maßnahmen zur Erkennung und Abwehr von Cyberangriffen
  • Regelmäßige Sicherheitsüberprüfungen und Audits
  • Einführung eines Notfallmanagements für Cybervorfälle
  • Sicherheitsrichtlinien für Lieferanten und Partner
  • Regelmäßige Mitarbeiterschulungen

2. Meldepflichten bei Sicherheitsvorfällen

Betroffene Unternehmen müssen schwerwiegende Cybervorfälle innerhalb von 24 Stunden an die zuständige nationale Behörde melden. Eine vollständige Analyse des Vorfalls muss innerhalb von 72 Stunden folgen. Dies soll eine schnellere Reaktion und bessere Koordination ermöglichen.

3. Verantwortung der Geschäftsleitung

Mit NIS 2 rückt die Geschäftsleitung stärker in die Verantwortung: Sie muss sich aktiv mit Cybersicherheitsrisiken befassen und geeignete Maßnahmen umsetzen. Neu ist, dass bei Verstößen nicht mehr nur das Unternehmen haftet – auch die Geschäftsführung kann persönlich zur Rechenschaft gezogen werden.

Das bedeutet eine echte Veränderung im Umgang mit IT-Sicherheit. Die Führungsebene muss frühzeitig informiert und in Entscheidungen eingebunden werden. Durch diese strengere Haftung will man das Bewusstsein für die Bedeutung von Cybersicherheit deutlich schärfen.

4. Strengere Durchsetzung und Sanktionen

Die NIS-2-Richtlinie sieht empfindliche Strafen für Verstöße vor. Unternehmen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden. Nationale Behörden erhalten erweiterte Befugnisse zur Überwachung und Durchsetzung der Vorschriften. (Lanzrath CyberSecurity, 2024)

 

Erste Schritte zur Einhaltung der NIS-2-Richtlinie

Um die NIS-2-Anforderungen fristgerecht zu erfüllen, sollten Unternehmen folgende Maßnahmen ergreifen:
Grafiken

Abb.2: eigene Darstellung zur Veranschaulichung

 

#FORTSCHRITT-Fazit:

Die NIS 2-Richtlinie ist ein wichtiger Schritt hin zu einer sichereren digitalen Infrastruktur in Europa. Unternehmen sollten sich bereits im letzten Jahr mit den neuen Anforderungen auseinandersetzen und entsprechende Maßnahmen umsetzen, um die Konformität bis zum 5. März 2025 sicherzustellen.

Die Zeit drängt - ob Sie sich auf der Zielgeraden zur Umsetzung der NIS-2-Richtlinie befinden oder noch viele offene Punkte haben - in beiden Fällen können wir von #Fortschritt Sie mit unserer langjährigen Expertise dabei unterstützen, sich auf NIS-2 vorzubereiten und Cybersicherheit in den Fokus zu rücken. Denn Unternehmen, die proaktiv handeln, schützen nicht nur sich selbst, sondern auch ihre Kunden und Partner vor den wachsenden Gefahren der digitalen Welt.

 

Wenn Sie diesen Beitrag zitieren möchten, nutzen Sie gerne folgende Quellenangabe:

Gellert, C.,(2025, 03. März). NIS 2 – Stichtag 5. März 2025: Sind Sie bereit?. FORTSCHRITT GmbHNIS 2 - Stichtag 5.März 2025: Sind Sie bereit? – Fortschritt

  • 28 - 1 =

Carsten Gellert
Senior Consultant

Als studierter Informatiker besitzt er mehrere Jahre Erfahrung in der Entwicklung und Umsetzung von Softwareanwendungen im Telematik-Umfeld sowie der Administration kleiner IT-Systeme. Nach dem Studium arbeitete er im IT-Projektmanagement im Medien- und Agenturumfeld sowie in Beratungsunternehmen. Neben dem Projektmanagement verfügt er als zertifizierter IT-Grundschutz-Experte auch über mehrjährige Erfahrung in der Untersuchung von IT-Sicherheit bei staatliche Ämter und Ministerien. Für #FORTSCHRITT ist er in den Bereichen IT-Sicherheit und IT-Projektmanagement tätig.

Carsten Gellert