Die EU-NIS-2-Richtlinie

01.09.2025, 16:10 Uhr

Warum ab Herbst 2025 kaum ein Unternehmen mehr um die Implementierung von Cybersicherheits-Maßnahmen herumkommt. Mit der NIS-2-Richtlinie verfolgt die EU das Ziel, in für die Funktionsfähigkeit von Wirtschaft und Gesellschaft kritischen Bereichen ein europaweit einheitliches Cybersicherheitsniveau zu etablieren. Basierend darauf wird Unternehmen in vordefinierten Sektoren ein Katalog an rechtlichen, informationstechnischen und organisatorischen Pflichtmaßnahmen auferlegt.

Die Anzahl der Cyberattacken auf Unternehmen erreicht seit Beginn der Corona-Pandemie jedes Jahr ein neues Rekord-Hoch.Der Schaden infolge von Cyberattacken betrug bei deutschen Unternehmen laut Digitalverband Bitkom in den letzten Jahren jeweils über 200 Milliarden Euro. Und der Trend scheint sich mit steigender Tendenz weiter durchzusetzen. Die Angriffsmethoden unterliegen dabei einer sich ständig anpassenden Dynamik und sind geprägt von einer inzwischen professionalisierten Vorgehensweise.

Dieser Umstand und die Erkenntnis, dass es sich mittlerweile um eine ernst zu nehmende und teils die Existenz von Unternehmen und die allgemeine Versorgung bedrohende Gefähr-dungslage handelt, veranlasste den EU-Gesetzgeber dazu, tätig zu werden. Primär, um das Funktionieren elementar wichtiger Einrichtungen zu gewährleisten und die Versorgung der Bevölkerung mit den wichtigsten Gütern und Dienstleistungen sicherzustellen, erließ die EU bereits im Jahr 2022 die NIS-2-Richtlinie. Diese legt einer Reihe definierter wesentlicher und wichtiger Einrichtungen in kritischen Sektoren (u.a. Energie, Wasser, Gesundheitswesen, Lebensmittel) bestimmte Umsetzungspflichten auf, die die Unternehmen gegen Cyberangriffe schützen und zur Aufrüstung des Cybersicherheitsniveaus führen sollen. Sekundär sorgen die Maßnahmen auch für den Schutz des einzelnen Unternehmens vor drohenden Insolven-zen und enormen Schäden, die in der Vergangenheit schon häufig durch einzelne erfolgreiche Cyberattacken verursacht wurden. Und diese Gefahren und Szenarien sind längst im Mittel-stand angekommen.

In den NIS-2-Anwendungsbereich fallen grundsätzlich Unternehmen

• ab 50 Beschäftigten oder
• einem Jahresumsatz und einer Jahresbilanzsumme über 10.000.000 Euro.

Die Schwellenwerte sind verhältnismäßig niedrig gehalten. Aber auch unterhalb dieser Schwellenwerte können Unternehmen aufgrund der Lieferkettenregelung in der NIS-2-Richtlinie mittelbar in den Anwendungsbereich hineingezogen werden. Agiert ein Unternehmen als Zulieferer innerhalb einer Lieferkette eines unmittelbar von der NIS-2-Richtlinie betroffenen Unternehmens, werden die Pflichten vertraglich entlang der Lieferkette nach unten weitergegeben, sodass auch Unternehmen unterhalb der gesetzlichen Schwellenwerte Pflichten nach der NIS-2-Richtlinie umsetzen müssen, um nicht „ausgelistet“ zu werden. Das bedeutet, auch Unternehmen unterhalb der Schwellenwerte werden sich früher oder später mit dieser Thematik konfrontiert sehen.

Und die Richtlinie weist eine weitere Besonderheit auf. Fällt ein Unternehmen unter die NIS-2-Thematik, ist zudem die Führungsebene gesetzlich angehalten und verpflichtet, sich persönlich in puncto Cybersicherheit zu schulen und die Umsetzung im eigenen Unternehmen zu überwachen. Wie nie zuvor wird die Führungsebene dabei in die Verantwortung genommen. Denn wird dieser Pflicht nicht oder nur unzureichend nachgekommen, können Führungskräfte zeitweilig von ihren Führungsposten persönlich gesperrt werden, neben der persönlichen Haftung für Schäden, die aus der Nicht- oder Schlechtumsetzung der Pflichten im Unternehmen auf sie zukommen.

Die EU-NIS-2-Richtlinie, die in den einzelnen Mitgliedsstaaten keine unmittelbare Wirkung entfaltet, muss zunächst in Bundesgesetz umgesetzt werden. Die den Mitgliedsstaaten dafür gesetzte Frist ist am 17. Oktober 2024 bereits abgelaufen. Deutschland muss sich daher einem EU-Vertragsverletzungsverfahren gegenübersehen.

Am 30. Juli 2025 hat die Bundesregierung das „NIS-2-Umsetzungs- und Cybersicherheits-stärkungsgesetz“ (NIS2UmsuCG) auf den Weg gebracht. Wann es in Kraft tritt, ist noch ungewiss, aber betroffene Unternehmen sollten sich bereits jetzt vorbereiten, da das Gesetz unmittelbar am Tag nach der Verkündung in Kraft treten soll (und damit dann alle Anforderungen erfüllt sein müssen).