NIS2-Richtlinie – Was Unternehmen wissen müssen

Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2)

In Kraft Gültig ab: 18.10.2024 EU-weit EU-Richtlinie

Überblick

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich.

Wer ist betroffen?

NIS2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen in insgesamt 18 Sektoren:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur und IT-Dienste
  • Öffentliche Verwaltung
  • Weltraum
  • Post und Kurierdienste
  • Abfallwirtschaft
  • Chemie und Lebensmittel
  • Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kfz)

Kernpflichten

  1. Risikomanagement: Technische und organisatorische Maßnahmen zur Cybersicherheit
  2. Meldepflichten: Sicherheitsvorfälle innerhalb von 24 Stunden melden
  3. Lieferkettenabsicherung: Cybersecurity-Anforderungen an Zulieferer
  4. Geschäftsleitungshaftung: Persönliche Haftung der Geschäftsführung
  5. Schulungen: Regelmäßige Cybersecurity-Schulungen für Management und Mitarbeiter

Nationale Umsetzung

Die EU-Mitgliedstaaten mussten NIS2 bis 17. Oktober 2024 in nationales Recht umsetzen. Der Stand in den DACH-Ländern:

  • Österreich: NISG 2024 in Vorbereitung
  • Deutschland: NIS2UmsuCG im Gesetzgebungsverfahren
  • Schweiz: Nicht direkt betroffen (kein EU-Mitglied), aber relevante Anpassungen im ISG

Rechtsquellen

NIS2: Sind Sie betroffen?

Erfahren Sie, ob und wie diese Regulierung Ihr Unternehmen betrifft – wir beraten Sie gerne.

Häufige Fragen

Wer ist von NIS2 betroffen?

Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in 18 kritischen Sektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur und verarbeitendes Gewerbe.

Bis wann muss NIS2 umgesetzt werden?

Die nationale Umsetzung war bis 17. Oktober 2024 vorgesehen. In Österreich und Deutschland laufen die Gesetzgebungsverfahren noch.

Was sind die Strafen bei Nicht-Einhaltung?

Für wesentliche Einrichtungen bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4%.