‌Die NIS-2 Richtlinie – für eine EU-weite Stärkung der Cyberresilienz

1. MOTIVATION

Die Motivation der NIS2 Richtlinie fußt auf einer Professionalisierung der Cyberkriminalität. Mit zusätzlich zunehmender Technologisierung und Komplexität von IT-Infrastrukturen, ergeben sich vermehrt hohe IT-Sicherheitsrisiken, die in der Vergangenheit von Cyberkriminellen teilweise massiv ausgenutzt wurden. Die betroffenen Branchen sind dabei sehr unterschiedlich.

2. ZIELSTELLUNG

Ziel der NIS2-Richtlinie ist die EU-weite Stärkung der Cyberresilienz. NIS2 bedeutet “Network and Information Security“. Sie definiert einen neuen Mindeststandard für IT-Sicherheit. Dieser Mindeststandard soll durch die Umsetzung von Anforderungen in vorgegebenen Anforderungsgruppen der IT-Sicherheit erreicht werden.

Dadurch soll die Wirksamkeit des IT-Sicherheitsschutzes erhöht und das Risiko – von einem solchen Cyberangriff betroffen zu sein – reduziert werden.

3. ALLGEMEINES

Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Sie trat am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. Das bedeutet für Deutschland, dass bis zum 17. Oktober 2024 die Inhalte der NIS2-Richtlinie in nationales Recht umgesetzt werden müssen.

4. BETROFFENE UNTERNEHMEN

Von dieser Richtlinie sind mindestens 30.000 Unternehmen in Deutschland betroffen, abhängig von verschiedenen Faktoren:

  • Hochkritische Sektoren: Energie, Gesundheit, Trink-/Abwasser, Bankwesen, Weltraum, Verkehr, Finanz, Digitale Infrastruktur, Öffentliche Verwaltung, IKT
  • Sonstige kritische Sektoren: Digitale Dienste, Forschung, Industrie, Abfallbewirtschaftung, Post- und Kurierdienste, Lebensmittel, Chemikalien
  • Mittlere Unternehmen ab 50 Mitarbeiter und einem Jahresumsatz von 10 bis 50 Mio. EUR oder einer Jahresbilanz bis 43 Mio. EUR
  • Große Unternehmen ab 250 Mitarbeiter und einem Jahresumsatz ab 50 Mio. EUR oder einer Jahresbilanz ab 43 Mio. EUR
  • Wesentliche Einrichtungen
  • Wichtige Einrichtungen

Die Definition, was ein Sektor mit hoher oder sonstiger Kritikalität ist bzw. was eine wesentliche und wichtige Einrichtung ist, wird im Anhang der NIS2-Richtlinie näher definiert.

Hierbei gibt es aktuell einen Dialog mit diversen Branchenverbänden, was die Definition in einigen Teilen noch schärfen oder lockern kann.

Sind Sie unsicher, ob Ihr Unternehmen vom Gesetzentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betroffen ist? Die NIS-2-Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

5. AKTUELLER STAND

Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung wurde am 05.12.2026 veröffentlicht.

6. AKTUELLE ANFORDERUNGEN

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Sicherheit in der Entwicklung, Beschaffung und Wartung; Management von Schwachstellen
  • Bewertung der Effektivität von Cybersicherheit und Risikomanagement
  • Schulungen Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagenmanagement
  • Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Sichere Kommunikation (Sprach, Video- und Text)

Genaue Maßnahmen zur Umsetzung der Anforderungen sind nicht klar definiert, da Unternehmen zu individuell in Ihrer Komplexität und Struktur sind. Daher können unterschiedliche Maßnahmen zum gleichen Ergebnis führen.

Es gibt keine Zertifizierungsmöglichkeit für eine offizielle NIS2 Konformität. Es gibt jedoch IT-Sicherheitsstandards, wie die VdS 10000, DIN ISO 27001, TISAX usw., welche die Erfüllung von NIS2 Anforderungen bestätigen können.

7. NIS-2 und VDS10100 | Informationssicherheit jetzt strukturiert angehen

Die VdS 10100 ist ein im April 2026 von der VdS Schadenverhütung veröffentlichtes Rahmenwerk. Es definiert Mindestanforderungen für ein ISMS im Kontext von NIS-2 und bietet einen strukturierten Weg zur Umsetzung und Vorbereitung einer möglichen VdS-Zertifizierungsprüfung.

Ehrig versteht die ISMS-Einführung als Organisations- und Veränderungsprojekt – nicht als reines Dokumentationsprojekt. Unsere eigene Consulting-Methodik für die VdS 10100 schafft Struktur, Qualität und Wiederholbarkeit im Projekt.

 

VdS 10100 – Projekt im Überblick

VdS 10100 – Projekt im Überblick
Typische Ergebnisse

Scope-Dokument mit organisationsweitem Anwendungsbereich

  • Priorisierter Gap- und Maßnahmenplan
  • IS-Leitlinie, IS-Richtlinien, Verfahren und Nutzerregelungen
  • Strukturiertes Risikomanagement mit Risikoregister
  • Nachweis- und Projektakte (auditfähig)
  • Schulungs- und Awareness-Nachweise
  • Interne Readiness-Prüfung
  • Übergabeprotokoll, ISMS-Jahreskalender und KVP-StrukturJetzt unverbindlich informierenSie möchten wissen, wie gut Ihr Unternehmen im Bereich Cyber-Resilienz vorbereitet ist? Wir begleiten Sie strukturiert in Richtung VdS-10100-Readiness – methodisch, nachweisfähig und mittelstandsnah.

8. WEITERFÜHRENDE LINKS

VdS – 

OpenKRITIS

BSIBSI – NIS-2-Betroffenheitsprüfung (bund.de)

Auch wenn noch kein ausgearbeitetes Gesetz vorliegt, können Unternehmen bereits vorab Maßnahmen umsetzen, welche die Erfüllung der Anforderungen in Zukunft vereinfachen.

Gerne unterstützen wir Sie auf diesem Weg und freuen uns über Ihre Kontaktaufnahme für ein unverbindliches Erstgespräch.

  • Thorsten Fleischer

    Ihr Ansprechpartner:

    Thorsten Fleischer
    Berater für Cyber-Security (VdS)
    Tel: 030-34 789-400
    Mail: anfrage@ehrig.de

Hier können Sie überprüfen,

ob das Thema NIS-2 für Sie relevant ist.