Zum Hauptinhalt springen
EU 2022/2555Letzte Aktualisierung: Oktober 2024

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (EU 2022/2555) ist die umfassendste EU-Cybersicherheitsgesetzgebung, die jemals erlassen wurde. Sie gilt für Tausende von Einrichtungen in 18 kritischen Sektoren und führt verbindliche Risikomanagementmaßnahmen, strenge Meldepflichten und Bußgelder von bis zu 10 Mio. € ein.

Was ist NIS2?

NIS2 steht für "Netz- und Informationssicherheits-Richtlinie 2" (Directive on measures for a High Common Level of Cybersecurity). Sie wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht und ersetzte die ursprüngliche NIS-Richtlinie von 2016. NIS2 hat einen deutlich größeren Anwendungsbereich und führt wesentlich strengere Pflichten ein.

Im Gegensatz zu einem EU-Verordnungsrecht, das direkt gilt, ist eine Richtlinie ein Gesetzgebungsakt, den jedes Mitgliedsland in nationales Recht umsetzen muss. Deutschland hat NIS2 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt.

Wesentliche Einrichtungen (EE)

  • Energy
  • Transport
  • Banking
  • Financial Markets
  • Health
  • Drinking Water
  • Digital Infrastructure
  • Public Administration
  • Space

Max. Bußgeld: 10 Mio. € / 2% Umsatz

Wichtige Einrichtungen (IE)

  • Postal Services
  • Waste Management
  • Chemicals
  • Food Production
  • Manufacturing
  • Digital Providers
  • Research
  • ICT Management
  • Wastewater

Max. Bußgeld: 7 Mio. € / 1,4% Umsatz

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Artikel 21: Die 10 Cybersicherheitsmaßnahmen

Artikel 21 ist das Herzstück der NIS2-Richtlinie. Er verpflichtet alle betroffenen Einrichtungen, einen risikobasierten Ansatz zur Cybersicherheit zu verfolgen und mindestens die folgenden 10 Maßnahmen umzusetzen:

21(2)(a)Risikoanalyse und Sicherheitsrichtlinien für Informationssystemehigh

Dokumentierte Risikoanalysemethodik und schriftliche Sicherheitsrichtlinien für alle Informationssysteme. Richtlinien müssen auf Vorstands- oder Geschäftsführungsebene genehmigt werden.

Praxisbeispiele

  • Eine schriftliche Risikobeurteilung, die mindestens jährlich und nach jeder wesentlichen Infrastrukturänderung aktualisiert wird, mit Risikobewertung nach Wahrscheinlichkeit und Auswirkung.
  • Eine vom Vorstand genehmigte Informationssicherheitsrichtlinie, die Klassifizierung, Zugriffskontrolle und Incident Response abdeckt — unterzeichnet vom Geschäftsführer oder gleichwertiger Funktion.
  • Ein Asset-Inventar, das jedes System und jeden Datenspeicher mit Eigentümer, Sensitivitätsstufe und angewendeten Kontrollen auflistet.
21(2)(b)Behandlung von Sicherheitsvorfällenhigh

Formale Reaktionspläne für Sicherheitsvorfälle mit Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung. Klassifizierung der Vorfälle entsprechend der 24-72-1-Meldepflicht.

Praxisbeispiele

  • Ein getestetes Incident-Response-Playbook mit zugewiesenen Rollen: Incident Commander, Kommunikationsverantwortlicher, juristischer Ansprechpartner und ein designierter NIS2-Meldeverantwortlicher.
  • Eine Schwere-Matrix: P1 (Dienstausfall mit Kundenwirkung) löst die 24-Stunden-NIS2-Frühwarnung aus; P2 (beeinträchtigte Leistung) wird intern protokolliert, aber nicht gemeldet.
  • Nachbesprechungen zu Vorfällen, dokumentiert mit Grundursache, Zeitachse und Korrekturmaßnahmen mit namentlich genannten Verantwortlichen und Fälligkeitsterminen.
21(2)(c)Betriebskontinuität und Notfallwiederherstellunghigh

BCP- und DR-Pläne mit definierten Wiederherstellungszeit- (RTO) und Wiederherstellungspunkt-Zielen (RPO). Regelmäßige Tests der Backup-Systeme sind verpflichtend.

Praxisbeispiele

  • Dokumentiertes RTO von 4 Stunden und RPO von 1 Stunde für kritische Systeme, mit monatlich getesteten Offsite-Backups durch tatsächliche Wiederherstellungsverfahren.
  • Ein jährlicher vollständiger Failover-Test mit schriftlichen Bestehens-/Nichtbestehens-Kriterien, beobachtet von einem Mitglied der Geschäftsleitung.
  • Eine Satzung des Krisenmanagementteams, die festlegt, wer einen Notfall ausruft, wer extern kommuniziert und in welcher Reihenfolge Systeme wiederhergestellt werden.
21(2)(d)Sicherheit in der Lieferkettehigh

Bewertung und vertragliche Sicherheitsanforderungen für alle direkten Lieferanten und Dienstleister. Umfasst auch die Software-Lieferkette und Open-Source-Komponenten.

Praxisbeispiele

  • Ein Sicherheitsfragebogen oder ISO-27001-Zertifikat, das von allen kritischen Lieferanten vor Vertragsabschluss gefordert wird, mit jährlicher Neubewertung.
  • Vertragsklauseln, die Lieferanten verpflichten, Ihr Sicherheitsteam innerhalb von 24 Stunden über Vorfälle mit Auswirkung auf Ihre Daten zu informieren, mit einem jährlichen Prüfungsrecht.
  • Automatisches Open-Source-Komponenten-Scanning (z.B. Snyk oder OWASP Dependency-Check) in der CI/CD-Pipeline, das Builds mit kritischen CVEs blockiert.
21(2)(e)Sicherheit bei Erwerb, Entwicklung und Wartung von Netzenmedium

Sicherheitsanforderungen in Beschaffung, Entwicklung und Wartung von IKT-Systemen integriert. Umfasst auch Schwachstellenbehandlung und Offenlegungsrichtlinien.

Praxisbeispiele

  • Jede Ausschreibung für neue IKT-Systeme enthält einen Sicherheitsanhang, der OWASP-Top-10-Abdeckung und einen nicht älter als 12 Monate datierenden Penetrationstest-Bericht verlangt.
  • Eine koordinierte Richtlinie zur Offenlegung von Schwachstellen, die auf der Unternehmenswebsite veröffentlicht wird, damit Forscher Befunde ohne rechtliches Risiko melden können.
  • Ein Patch-SLA: Kritische CVEs werden innerhalb von 72 Stunden, hohe Schweregrade innerhalb von 7 Tagen und mittlere innerhalb von 30 Tagen behoben — mit Protokollierung und Genehmigung von Ausnahmen.
21(2)(f)Cyber-Hygiene und Schulungenmedium

Dokumentierte Cyber-Hygiene-Praktiken und regelmäßige Sicherheitsbewusstseinstraining für alle Mitarbeiter. Cybersicherheitsschulung auf Vorstands- und Geschäftsführungsebene ist ebenfalls erforderlich.

Praxisbeispiele

  • Jährliche Phishing-Simulation mit mindestens 90 % Mitarbeiterbeteiligung; Mitarbeiter, die klicken, erhalten innerhalb von 5 Werktagen ein verpflichtendes Nachschulungstraining.
  • Eine dokumentierte Passwort- und Anmeldedaten-Richtlinie: Mindestens 12-stellige Passwörter, keine geteilten Konten, Passwort-Manager für alle Mitarbeiter bereitgestellt.
  • Ein Cybersicherheits-Briefing auf Vorstands- und Geschäftsführungsebene, das mindestens einmal jährlich abgehalten wird und die aktuelle Bedrohungslage sowie die NIS2-Compliance des Unternehmens behandelt.
21(2)(g)Kryptografie und Verschlüsselungmedium

Richtlinien für den Einsatz von Kryptografie und, wo angemessen, Verschlüsselung von Daten bei Übertragung und Speicherung. Schlüsselverwaltungsprozesse müssen dokumentiert werden.

Praxisbeispiele

  • TLS 1.2 oder höher wird auf allen nach außen gerichteten Diensten erzwungen; TLS 1.0 und 1.1 sind auf allen Endpunkten deaktiviert — überprüft durch vierteljährliche automatisierte Scans.
  • Datenbanken und Dateiablagen mit persönlichen oder sensiblen Daten werden im Ruhezustand mit AES-256 oder gleichwertigem Verfahren verschlüsselt.
  • Ein Schlüsselverwaltungsverfahren, das Erzeugung, Speicherung (HSM oder gleichwertig), Rotationshäufigkeit (mindestens jährlich) und Widerrufschritte abdeckt.
21(2)(h)Personalsicherheit und Zugriffskontrollemedium

Hintergrundprüfungen wo zulässig, Sicherheitsverpflichtungen in Arbeitsverträgen und eine formale Zugangskontrollrichtlinie auf Basis des Prinzips der geringsten Rechte.

Praxisbeispiele

  • Ein Einstellungs-/Versetzungs-/Austritts-Prozess: Systemzugang wird innerhalb von 1 Werktag nach Beginn bereitgestellt und innerhalb von 4 Stunden nach Austrittsmitteilung entzogen.
  • Rollenbasierte Zugriffskontrolle (RBAC) mit vierteljährlichen Überprüfungen aller privilegierten Konten; jedes Konto, das 90 Tage inaktiv ist, wird automatisch deaktiviert.
  • Sicherheitsverpflichtungen in Arbeitsverträgen und eine unterzeichnete Nutzungsvereinbarung, die vor dem ersten Systemzugang erforderlich ist.
21(2)(i)Multi-Faktor-Authentifizierung (MFA)high

MFA oder kontinuierliche Authentifizierungslösungen müssen für alle privilegierten Zugriffe und alle Fernzugriffe auf Netz- und Informationssysteme verwendet werden.

Praxisbeispiele

  • MFA wird auf allen VPN-, RDP- und Cloud-Administrationsportalen (Azure AD, AWS IAM, Google Workspace) ohne Ausnahme erzwungen, auch für Dienstkonten.
  • Hardware-Token oder Authentifizierungs-Apps sind für privilegierte Konten erforderlich; SMS-only-MFA wird für Administrator- oder Root-Zugang nicht akzeptiert.
  • Richtlinien für bedingten Zugriff, die Anmeldungen von nicht verwalteten oder nicht konformen Geräteprofilen blockieren, mit Benachrichtigungen an das SOC für jeden blockierten Versuch.
21(2)(j)Sichere Kommunikationlow

Verschlüsselte und authentifizierte Kommunikation für Sprache, Video und Text. Notfallkommunikationssysteme mit angemessenen Sicherheitskontrollen.

Praxisbeispiele

  • Ein Ende-zu-Ende-verschlüsselter Nachrichtenkanal (getrennt von normaler E-Mail), der für die Incident-Response-Kommunikation designiert und vierteljährlich getestet wird.
  • Ein Out-of-Band-Krisenkommunikationssystem, das unabhängig von der primären IT-Infrastruktur betrieben wird — damit es auch bei Ausfall des Hauptnetzwerks verfügbar bleibt.
  • E-Mail-Gateway mit DMARC, DKIM und SPF-Einträgen im Erzwingungsmodus konfiguriert, plus Anhang-Sandbox für eingehende Dateien.
📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Die 24-72-1-Regel: Meldepflichten nach Artikel 23

Artikel 23 der NIS2-Richtlinie führt eine dreistufige Meldepflicht für erhebliche Sicherheitsvorfälle ein. Ein Vorfall gilt als erheblich, wenn er erhebliche Betriebsstörungen verursacht oder erhebliche finanzielle Verluste nach sich zieht.

Stage 1
24 Hours
Frühwarnung

Erste Meldung an die nationale CSIRT oder Behörde. Muss angeben, ob der Verdacht auf strafbare oder böswillige Handlungen besteht.

Stage 2
72 Hours
Vollständige Meldung

Vollständige Bewertung: Art des Vorfalls, Schweregrad, betroffene Systeme, Auswirkungen, ergriffene und geplante Maßnahmen.

Stage 3
1 Month
Abschlussbericht

Detaillierter Abschlussbericht: Bedrohungstyp, Grundursache, angewandte Gegenmaßnahmen und grenzüberschreitende Auswirkungen.

⚠️ Wichtig: Die 24-Stunden-Frist beginnt, wenn die Einrichtung von dem Vorfall Kenntnis erlangt, nicht wenn er eintritt. Stellen Sie sicher, dass Ihre internen Meldeprozesse so gestaltet sind, dass die zuständige Person sofort informiert wird.

Lieferkettensicherheit nach NIS2 (Artikel 21(2)(d))

NIS2 führt explizite Anforderungen an die Lieferkettensicherheit ein, ein Bereich, der in der ursprünglichen NIS-Richtlinie fehlte. Einrichtungen müssen die Cybersicherheitsrisiken ihrer direkten Lieferanten und Dienstleister bewerten und in Verträgen angemessene Sicherheitsanforderungen festlegen.

  • Durchführung von Risikobewertungen für alle kritischen Lieferanten
  • Vertragliche Sicherheitsanforderungen und Prüfrechte
  • Bewertung des Software-Lieferkettensicherheit (SBOMs, sichere Entwicklung)
  • Überwachung der Sicherheitslage von Drittanbietern
  • Notfallpläne für Lieferantenausfälle
📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Multi-Faktor-Authentifizierung (MFA) nach NIS2

Artikel 21(2)(i) schreibt den Einsatz von Multi-Faktor-Authentifizierung (MFA) oder kontinuierlicher Authentifizierungslösungen explizit vor. Dies gilt insbesondere für privilegierten Zugriff und alle Fernzugriffslösungen.

ZugriffstypMFA erforderlich?Empfohlene Methoden
Privilegierter / Admin-Zugriff✅ PflichtFIDO2/WebAuthn, Hardware tokens (YubiKey), TOTP
Fernzugriff (VPN, RDP)✅ PflichtPush notifications, TOTP, Certificate-based
Cloud-Dienste / SaaS✅ Dringend empfohlenSSO + MFA, FIDO2
Interner Standard-Zugriff⚠️ RisikobasiertRisikobasierte Authentifizierung

Governance & Verantwortlichkeit des Managements

NIS2 führt eine wichtige Neuerung ein: die persönliche Haftung von Führungskräften. Artikel 20 verpflichtet die Leitungsorgane, die Umsetzung der Cybersicherheitsmaßnahmen zu genehmigen, zu überwachen und regelmäßige Schulungen zu absolvieren.

Article 20 NIS2: Management body obligation

"Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane der wesentlichen und wichtigen Einrichtungen die von diesen Einrichtungen gemäß Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel haftbar gemacht werden können."

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Häufig gestellte Fragen (FAQ)

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (EU 2022/2555) ist ein EU-Cybersicherheitsgesetz, das 2023 die ursprüngliche NIS-Richtlinie abgelöst hat. Sie verpflichtet Einrichtungen in 18 kritischen Sektoren zu Cybersicherheits-Risikomanagementmaßnahmen und zur Meldung von Sicherheitsvorfällen.

Wer ist von NIS2 betroffen?

NIS2 gilt für mittlere und große Organisationen in 18 kritischen Sektoren in EU-Mitgliedstaaten. Es wird unterschieden zwischen Wesentlichen Einrichtungen (EE) – wie Energie, Verkehr, Gesundheit und digitale Infrastruktur – und Wichtigen Einrichtungen (IE) – wie Post, Abfallwirtschaft, Chemikalien und Lebensmittelproduktion.

Was sind die Anforderungen des Artikels 21?

Artikel 21 fordert: (1) Risikoanalyse und IT-Sicherheitsrichtlinien, (2) Vorfallsbehandlung, (3) Geschäftskontinuität und Notfallwiederherstellung, (4) Lieferkettensicherheit, (5) Sicherheit bei der Netzwerkanschaffung, (6) Cyber-Hygiene-Maßnahmen, (7) Kryptografie und Verschlüsselung, (8) Personalsicherheit, (9) Multi-Faktor-Authentifizierung (MFA) und (10) sichere Kommunikation.

Was ist die 24-72-1-Melderegel?

Gemäß Artikel 23 NIS2 müssen erhebliche Vorfälle in drei Phasen gemeldet werden: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden und ein abschließender Bericht innerhalb von 1 Monat.

Welche Bußgelder drohen bei Nichteinhaltung der NIS2?

Wesentliche Einrichtungen riskieren Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 %. Auch eine persönliche Haftung von Führungskräften ist möglich.

Gilt NIS2 auch für Nicht-EU-Unternehmen?

Ja. Unternehmen außerhalb der EU, die Dienste für EU-Mitgliedstaaten in betroffenen Sektoren erbringen, müssen NIS2 einhalten und in der Regel einen EU-Vertreter benennen.

Quellen

Diese Seite basiert auf folgenden EU-Rechtsquellen und ENISA-Leitlinien:

Wie hängt NIS2 mit der CER-Richtlinie zusammen?

Viele Einrichtungen, die unter NIS2 fallen, fallen auch unter die CER-Richtlinie für physische Resilienz. Erfahren Sie, wie beide Rahmenwerke zusammenwirken.

CER-Richtlinie lesen →