NIS2: Wer ist betroffen?
Die NIS2-Richtlinie stellt deutlich verschärfte Anforderungen an Unternehmen und Einrichtungen in der EU. Viele Organisationen in Deutschland sind betroffen, oft ohne es zu wissen. Dieser Beitrag beantwortet klar und praxisnah die zentrale Frage: Wer fällt unter NIS2 und was bedeutet das konkret für Ihr Unternehmen?
1. Das Wichtigste auf einen Blick
- Die NIS2-Richtlinie betrifft deutlich mehr Unternehmen als bisherige KRITIS-Regelungen
- Maßgeblich sind Sektor, Unternehmensgröße und Bedeutung der Dienstleistung
- Betroffene Unternehmen müssen IT-Sicherheitsmaßnahmen, Meldepflichten und Risikomanagement umsetzen
- Die Registrierung beim BSI ist für viele verpflichtend
- Verstöße können zu Bußgeldern bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes führen
2. Was ist die NIS2-Richtlinie?
Die EU-Richtlinie NIS2 (Network and Information Security Directive) ist die Weiterentwicklung der bisherigen NIS-Richtlinie und soll die Cyberresilienz kritischer und wichtiger Einrichtungen in Europa stärken.
In Deutschland wird sie durch das NIS2-Umsetzungsgesetz in nationales Recht überführt und tritt voraussichtlich 2025 vollständig in Kraft.
Ziel ist es, Unternehmen besser gegen Cyberangriffe, Sicherheitsvorfälle und Ausfälle kritischer Infrastrukturen zu schützen.
3. Wer ist von NIS2 betroffen?
Die NIS2-Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Entscheidend sind dabei Sektorzugehörigkeit und Unternehmensgröße, nicht allein die Kritikalität im klassischen KRITIS-Sinne.
1. Wesentliche Einrichtungen (sektoren hoher Kritikalität)
Hierzu zählen Unternehmen aus u. a.:
- Energie (Strom, Gas, Wasserstoff)
- Verkehr (Luft, Schiene, Straße, See)
- Gesundheitswesen
- Trinkwasser & Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Weltraum, Finanzmarktinfrastruktur
Diese Unternehmen unterliegen strengen Aufsichts- und Sanktionsmechanismen.
2. Wichtige Einrichtungen (neue, erweiterte Sektoren)
Neu unter NIS2 fallen unter anderem:
- IT-Dienstleister & Managed Service Provider
- Cloud- und Rechenzentrumsbetreiber
- Hersteller kritischer Produkte
- Post- und Kurierdienste
- Lebensmittelproduktion
- Chemische Industrie
- Forschungseinrichtungen
Viele Unternehmen sind erstmals NIS2-betroffen, obwohl sie bisher nicht als KRITIS galten.
4. Unternehmensgröße: Gilt NIS2 auch für kleine Unternehmen?
Grundsätzlich gilt NIS2 für Unternehmen mit:
- mindestens 50 Mitarbeitenden oder
- mehr als 10 Mio. € Jahresumsatz
⚠️ Ausnahme: Auch kleinere Unternehmen können betroffen sein, wenn sie eine kritische Rolle in der Lieferkette oder Infrastruktur einnehmen.
5. Was müssen betroffene Unternehmen konkret tun?
6. Praxisbeispiel: Mittelständischer IT-Dienstleister
Ein IT-Dienstleister mit rund 120 Mitarbeitenden, der mehrere kommunale Einrichtungen und Energieversorger betreut, fällt auch ohne den Status eines KRITIS-Betreibers unter die NIS2-Regelungen. Aufgrund seiner Rolle als wichtige Einrichtung ergeben sich konkrete Pflichten und Anforderungen, die zeitnah umzusetzen sind.
Konsequenzen nach NIS2:
-
Verpflichtende Registrierung beim BSI
-
Einführung eines Informationssicherheitsmanagementsystems (ISMS)
-
Nachweisbare Cyberresilienz, z. B. durch dokumentierte Prozesse und Maßnahmen
-
Meldepflicht bei Sicherheitsvorfällen innerhalb der vorgegebenen Fristen
Ohne eine frühzeitige und strukturierte Vorbereitung drohen bei Verstößen gegen die NIS2-Anforderungen empfindliche Sanktionen sowie erhebliche Reputationsschäden.
7. Was bedeutet NIS2 für Unternehmen konkret?
Die NIS2-Richtlinie ist keine rein technische Vorgabe, sondern eine verbindliche Compliance-Pflicht auf Management-Ebene. Geschäftsleitungen tragen eine erhöhte Verantwortung und können bei Verstößen sogar persönlich haftbar gemacht werden. Für viele Unternehmen stellt sich daher nicht mehr die Frage ob gehandelt werden muss, sondern wie die Umsetzung effizient und rechtssicher gelingt.
➡️ Genau an diesem Punkt setzt keepbit an.
8. NIS2-Umsetzung mit keepbit
keepbit unterstützt Unternehmen dabei, die Anforderungen der NIS2-Richtlinie pragmatisch, strukturiert und ohne unnötige Bürokratie umzusetzen:
-
Analyse, ob und in welchem Umfang Ihr Unternehmen von NIS2 betroffen ist
-
Strukturierte GAP-Analyse und fundierte Risikobewertung
-
Aufbau eines passgenauen Informationssicherheitsmanagementsystems (ISMS)
-
Vorbereitung auf die BSI-Registrierung sowie auf erforderliche Nachweise
-
Sinnvolle Verzahnung der NIS2-Anforderungen mit ISO-27001-Ansätzen
So erfüllen Sie die gesetzlichen Anforderungen effizient, nachvollziehbar und managementgerecht – ohne Sicherheits- oder Dokumentationschaos.
9. Weitere Antworten auf die wichtigsten Fragen
9.1 Gilt NIS2 für Unternehmen in Deutschland?
Ja. Alle betroffenen Unternehmen in Deutschland müssen die NIS2-Anforderungen nach Umsetzung in nationales Recht erfüllen.
9.2 Müssen sich betroffene Unternehmen beim BSI registrieren?
Ja. Für viele Unternehmen ist eine verpflichtende Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgesehen.
9.3 Ab wann gilt NIS2?
Die Umsetzung erfolgt ab Oktober 2024, die vollständige Anwendung wird für 2025 erwartet.
9.4 Welche Strafen drohen bei Verstößen?
Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
9.5 Sind Dienstleister ebenfalls betroffen?
Ja. Besonders IT-Dienstleister und Managed Service Provider fallen häufig unter NIS2.
10. Abschließende Gedanken: NIS2 betrifft mehr Unternehmen als gedacht
Die Frage „NIS2 – wer ist betroffen?“ betrifft nicht nur KRITIS-Betreiber, sondern zahlreiche Unternehmen und Organisationen in Deutschland.
Wer frühzeitig prüft und handelt, vermeidet Risiken, Haftung und hohe Kosten.
Jetzt prüfen, ob Ihr Unternehmen unter NIS2 fällt – mit keepbit.