Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Oktober 2024 EU-weit anwendbar. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis betroffener Unternehmen erheblich. Schätzungen gehen davon aus, dass in Deutschland allein rund 30.000 Unternehmen unter die neue Regelung fallen – gegenüber ca. 2.000 unter der alten Richtlinie.
Viele Mittelständler aus dem produzierenden Gewerbe sind betroffen, ohne es zu wissen. Dieser Beitrag klärt, wer betroffen ist, was verlangt wird und welche konkreten Maßnahmen jetzt prioritär sind.
Was NIS2 ist und was es verlangt
NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen in Europa. Die Richtlinie verpflichtet betroffene Unternehmen zu:
- Implementierung geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen zur Sicherung ihrer Netz- und Informationssysteme.
- Meldung erheblicher Sicherheitsvorfälle an die zuständigen nationalen Behörden (in Deutschland: BSI) innerhalb definierter Fristen (24 Stunden für Erstmeldung, 72 Stunden für detaillierte Meldung).
- Sicherstellung der Lieferkette: Auch Risiken durch Zulieferer und Dienstleister müssen berücksichtigt werden.
- Persönliche Haftung der Geschäftsführung für die Einhaltung der Anforderungen.
Der letzte Punkt ist neu und bedeutsam: NIS2 macht Geschäftsführer persönlich für Cybersicherheitsmaßnahmen verantwortlich. Das ist ein erheblicher Unterschied zur alten Richtlinie.
Wer ist betroffen?
NIS2 unterscheidet zwischen "wesentlichen Einrichtungen" (Essential Entities) und "wichtigen Einrichtungen" (Important Entities). Für Industrieunternehmen relevant sind insbesondere:
| Sektor | Kategorie | Schwellenwerte |
|---|---|---|
| Verarbeitendes Gewerbe (u.a. Maschinenbau, Fahrzeuge, Elektronik) | Wichtige Einrichtung | 50+ Mitarbeiter ODER 10 Mio. EUR+ Umsatz |
| Energie (Strom, Gas, Wärme) | Wesentliche Einrichtung | 250+ Mitarbeiter ODER 50 Mio. EUR+ Umsatz |
| Digitale Infrastruktur | Wesentliche Einrichtung | Größenunabhängig in bestimmten Fällen |
| Chemie, Lebensmittel | Wichtige Einrichtung | 50+ Mitarbeiter ODER 10 Mio. EUR+ Umsatz |
Wichtig: Die Schwellenwerte sind kumulativ – ein Unternehmen mit 55 Mitarbeitern und 8 Mio. EUR Umsatz im Maschinenbau fällt unter NIS2, auch wenn der Umsatz unter 10 Mio. EUR liegt, da das Mitarbeiterkriterium erfüllt ist.
Wenn Ihr Unternehmen mehr als 50 Mitarbeiter hat oder mehr als 10 Mio. EUR Umsatz erzielt und in einem der betroffenen Sektoren tätig ist, sollten Sie davon ausgehen, dass NIS2 für Sie gilt – und rechtliche Beratung einholen, um Ihre spezifische Situation zu klären.
Was konkret verlangt wird
Die Anforderungen der NIS2-Richtlinie umfassen mindestens folgende Bereiche:
- Risikoanalyse und Sicherheitskonzept: Dokumentierte Analyse der IT/OT-Risiken und ein darauf basierendes Sicherheitskonzept.
- Incident Management: Prozesse zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle.
- Business Continuity: Backup-Konzepte, Notfallpläne, Wiederanlaufplanung.
- Supply Chain Security: Bewertung der IT-Sicherheit von Lieferanten und Dienstleistern.
- Sicherheit bei Erwerb, Entwicklung und Wartung: Sichere Entwicklungspraktiken für eigene oder beauftragte Software.
- Schulungen: Cybersecurity-Awareness für alle Mitarbeiter, besondere Schulungen für IT-Verantwortliche.
- Kryptografie: Einsatz von Verschlüsselung für sensible Daten in Übertragung und Speicherung.
- Zugriffsmanagement: Multi-Faktor-Authentifizierung, Principle of Least Privilege, regelmäßige Zugriffsreviews.
Konkrete Maßnahmen: Womit anfangen?
Für Industrieunternehmen, die noch keine strukturierte Cybersicherheitsstrategie haben, empfehlen wir folgende Priorisierung:
- Betroffenheitsanalyse durchführen: Klären, ob und in welcher Kategorie das Unternehmen unter NIS2 fällt. Bei Unsicherheit: Rechtsberatung.
- Asset-Inventar erstellen: Alle IT- und OT-Systeme, Netzwerke und Cloud-Dienste erfassen und dokumentieren.
- Risikoanalyse: Welche Systeme sind kritisch für den Betrieb? Was sind die relevantesten Bedrohungsszenarien?
- Quick Wins umsetzen: MFA für alle Fernzugriffe aktivieren, Backup-Konzept prüfen und testen, Patch-Management-Prozess einführen.
- Incident-Response-Plan erstellen: Wer tut was, wenn ein Sicherheitsvorfall erkannt wird? BSI-Meldeprozess verstehen und intern vorbereiten.
- Lieferantenbewertung starten: Wichtigste IT/OT-Dienstleister und Softwareanbieter hinsichtlich ihrer Sicherheitspraktiken bewerten.
Fazit
NIS2 ist keine zukünftige Bedrohung – sie ist geltendes Recht. Für viele Mittelständler im produzierenden Gewerbe bedeutet das: Handlungsbedarf besteht jetzt. Die gute Nachricht: Die Anforderungen sind verhältnismäßig und risikoorientiert – wer einen strukturierten Ansatz wählt und dokumentiert, was getan wird, ist in einer deutlich besseren Position als wer gar nichts tut. Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist – sind die maximal mögliche Sanktion. Der Reputationsschaden nach einem Sicherheitsvorfall ist schwerer kalkulierbar, aber mindestens genauso schmerzhaft.