Zum Inhalt springen
← Glossar
Glossar · Organisation

NIS-2 - Network and Information Security Directive 2

EU-Richtlinie zur Netz- und Informationssicherheit

Was bedeutet NIS-2?

NIS-2 ist eine EU-Richtlinie, die Cybersicherheitspflichten für Betreiber kritischer und wichtiger Einrichtungen festlegt.

NIS-2 (Richtlinie (EU) 2022/2555) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie von 2016. Sie verpflichtet Betreiber kritischer Infrastrukturen und wichtiger Einrichtungen in 18 Sektoren, geeignete technische und organisatorische Maßnahmen zur Cybersicherheit zu treffen, Sicherheitsvorfälle zu melden und die Lieferkette abzusichern. Im Vergleich zur Vorgängerrichtlinie wurde der Anwendungsbereich erheblich erweitert: NIS-2 erfasst jetzt auch mittelgroße Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in relevanten Sektoren.

Wer ist von NIS-2 betroffen?

NIS-2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Wesentliche Einrichtungen (Essential Entities) umfassen u. a. Energie, Trinkwasser, Verkehr, Banken, Gesundheitswesen und digitale Infrastruktur. Wichtige Einrichtungen (Important Entities) betreffen zusätzlich Post, Lebensmittel, Chemie, Maschinenbau und digitale Anbieter. Für beide Kategorien gelten strenge Sicherheits- und Meldepflichten, die Geschäftsführung haftet persönlich.

Meldepflichten und Fristen

NIS-2 schreibt eine dreistufige Meldepflicht vor: Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls muss eine Frühwarnung an die zuständige Behörde erfolgen. Binnen 72 Stunden folgt eine detaillierte Meldung mit erster Bewertung. Nach einem Monat ist ein Abschlussbericht einzureichen. In Deutschland ist das BSI die zentrale Anlaufstelle.

NIS-2 und Lieferkette

NIS-2 verpflichtet betroffene Einrichtungen, auch die Cybersicherheit ihrer Zulieferer und Dienstleister zu berücksichtigen.

Das bedeutet: Wer Produkte oder Dienstleistungen an NIS-2-pflichtige Organisationen liefert, wird indirekt über Vertragsanforderungen in die Pflicht genommen – auch wenn das eigene Unternehmen nicht direkt unter NIS-2 fällt.

Praxis-Tool

Mache den NIS2-Selbstcheck nach BSI IT-Grundschutz

Zum IT-Sicherheits-Audit

Auch bekannt als

NIS2 · NIS 2 · NIS2-Richtlinie · Richtlinie (EU) 2022/2555