NIS2-Richtlinie
Die NIS2-Richtlinie (EU 2022/2555) stärkt die Cybersicherheit kritischer Infrastrukturen und wesentlicher Dienste in der EU mit erweiterten Pflichten und strengeren Sanktionen.
Zusammenfassung
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich, verschärft die Sicherheitsanforderungen und führt strengere Sanktionen ein.
- Erweiterter Anwendungsbereich: Gilt nun für 18 Sektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt.
- Zwei Kategorien: Unterscheidung zwischen „wesentlichen“ und „wichtigen“ Einrichtungen mit abgestuften Anforderungen.
- Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
- Leitungsverantwortung: Geschäftsführungen haften persönlich für die Umsetzung von Cybersicherheitsmaßnahmen.
Geschichte
Die erste NIS-Richtlinie (2016/1148) war die erste EU-weite Cybersicherheitsgesetzgebung und legte Mindestanforderungen für Betreiber wesentlicher Dienste und digitale Dienstanbieter fest. Aufgrund ihrer fragmentierten Umsetzung und der rasanten Entwicklung der Bedrohungslandschaft wurde eine umfassende Überarbeitung erforderlich. Die EU-Kommission legte im Dezember 2020 den NIS2-Entwurf vor. Nach Verhandlungen im Trilog wurde die Richtlinie am 16. Januar 2023 in Kraft gesetzt. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Am 20. Januar 2026 schlug die EU-Kommission im Rahmen eines neuen Cybersicherheitspakets gezielte Änderungen an der NIS2-Richtlinie vor, um die Rechtsklarheit zu erhöhen und die Einhaltung insbesondere für kleinere Unternehmen zu vereinfachen.
Geltungsbereich
NIS2 gilt für mittlere und große Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz) in 18 kritischen Sektoren: Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleister, öffentliche Verwaltung, Raumfahrt, Post, Abfallwirtschaft, Chemie, Lebensmittel, Industrie, digitale Dienste und Forschung. Kleinere Unternehmen können ebenfalls erfasst sein, wenn sie kritische Rollen übernehmen.
Kernanforderungen
- Risikomanagementmaßnahmen: Risikoanalyse, Incident-Management, Business Continuity, Lieferkettensicherheit, Netzwerksicherheit, Kryptografie, Zugriffskontrolle.
- Meldepflichten: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat.
- Leitungsverantwortung: Schulungspflicht für Führungskräfte; persönliche Haftung der Geschäftsführung.
- Registrierung: Wesentliche und wichtige Einrichtungen müssen sich bei nationalen Behörden registrieren.
- Sanktionen: Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes; wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 %.
Verwandte Frameworks
Korrekturen & Errata
1 Korrektur:
- Falsches Datum fuer Inkrafttreten der ersten NIS-Richtlinie in key_dates
1 Aktualisierung:
- NIS2-Aenderungsvorschlag vom Januar 2026 fehlt