Der Werdegang von NIS2: Von der NIS1-Richtlinie zu einem neuen Sicherheitsstandard

Mit der wachsenden Digitalisierung steigen auch die Risiken im Bereich Cybersicherheit. Die EU hat auf diese Entwicklung bereits 2016 mit der NIS1-Richtlinie reagiert – ein erster Schritt, dem jedoch viele Schwächen innewohnten. Die NIS2-Richtlinie stellt nun eine Weiterentwicklung dar, um Unternehmen besser zu schützen und die Resilienz kritischer Infrastrukturen zu stärken.

NIS2 ist mehr als ein Update – es ist ein Weckruf für Europas Führungsetagen. Die zu laschen Vorgaben von NIS1 sind Geschichte. Jetzt geht es um verbindliche Risikomanagement-Pflichten, strenge Meldepflichten und die persönliche Verantwortung der Geschäftsleitung. Sind Sie bereit für die neue Ära der Cybersicherheit? Dieser Artikel gibt Ihnen den Überblick.

Was war NIS1 – und warum reichte sie nicht aus?

Die NIS1-Richtlinie von 2016 war die erste EU-weite Gesetzgebung zur Cybersicherheit. Ziel war es, Betreiber kritischer Infrastrukturen wie Energie, Gesundheit, Verkehr und digitale Dienste zu schützen. Doch schnell zeigten sich in der Praxis gravierende Schwächen:

• Uneinheitliche Umsetzung: Jedes EU-Land interpretierte die Vorgaben unterschiedlich.
• Begrenzter Geltungsbereich: Viele relevante Sektoren wie die Lebensmittel- oder Chemieindustrie wurden nicht erfasst.
• Schwache Durchsetzung: Die Richtlinie sah keine europaweit einheitlichen Sanktionen vor.
• Lückenhaftes Risikomanagement: Sicherheitsanforderungen waren vage und ließen zu viel Interpretationsspielraum.
• Fehlender Informationsaustausch: Die Zusammenarbeit der Mitgliedstaaten war unzureichend koordiniert.
• Unvollständige Vorfallmeldung: Nur schwerwiegende Vorfälle mussten gemeldet werden, oft zu spät.
• Ressourcenmangel: Fachkräftemangel und fehlende Mittel erschwerten die Umsetzung.
• Veraltete Mechanismen: Neue Bedrohungen wie Ransomware oder Angriffe auf Lieferketten konnten nicht adressiert werden.

Die Entstehung von NIS2: Ein notwendiger Neustart

Mit NIS2 reagiert die EU auf diese Schwachstellen. Die neue Richtlinie wurde 2022 verabschiedet und soll:

• den Geltungsbereich deutlich erweitern (auch für mittlere Unternehmen),
• verbindlichere Sicherheitsanforderungen definieren,
• Sanktionsmechanismen harmonisieren,
• sowie die Koordination und den Informationsaustausch innerhalb der EU verbessern.

Der aktuelle Umsetzungsstand in Deutschland (Mai 2025)

Das deutsche Umsetzungsgesetz (NIS2UmsuCG) befindet sich derzeit im parlamentarischen Verfahren:

• Verfahrensstand: Nach der ersten Lesung im Bundestag und der Anhörung im November 2024 wird weiter beraten.
• Zeitplan: Ursprünglich für März 2025 geplant, ist das Inkrafttreten nun für Ende 2025 angesetzt.
• Inhalte: Erweiterung des Geltungsbereichs, Einführung eines dreistufigen Meldesystems, stärkere Rolle des BSI.

Pflichten für Unternehmen unter NIS2

Folgende Anforderungen kommen auf Unternehmen zu:

• Risikomanagement: Einführung eines ISMS mit technischen und organisatorischen Maßnahmen wird empfohlen.
• Meldepflichten an das BSI:
  • Erste Meldung innerhalb von 24 Stunden
  • Detaillierter Bericht innerhalb von 72 Stunden
  • Ausführlicher Abschlussbericht nach 30 Tagen
• Governance: Benennung eines CISO oder externer Verantwortlicher
• Zusammenarbeit: Austausch von Bedrohungsdaten mit Behörden und anderen Unternehmen
• Dokumentation: Nachweisführung gegenüber Aufsichtsbehörden
• Kontrolle: Regelmäßige Penetrationstests und Schwachstellenanalysen
• Sanktionen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes

Herausforderungen und offene Fragen

Trotz der Fortschritte bleibt NIS2 nicht ohne Herausforderungen:

• Fachkräftemangel in IT-Sicherheit
• Kosten für technische und organisatorische Maßnahmen
• Komplexe Anforderungen, insbesondere für KMU
• Schneller technischer Wandel, der Anpassungsfähigkeit verlangt

Cybercrime in Zahlen – Warum Handeln erforderlich ist

Laut der Bitkom-Studie „Wirtschaftsschutz 2024“ betrugen die Schäden durch Cyberangriffe in Deutschland im Jahr 2024:

• 178,6 Milliarden Euro, ein Anstieg gegenüber 2023 (148,2 Mrd. €)
• 67% der Schäden entfielen auf Cyberangriffe
• Gesamtwirtschaftlicher Schaden durch Cybercrime, Datendiebstahl und Sabotage: 266,6 Milliarden Euro

Quelle

Wie ADVISORI Sie unterstützt

Die Umsetzung von NIS2 ist komplex – wir begleiten Sie dabei als starker Partner:

• ISB-as-a-Service: Wir übernehmen die Funktion des Informationssicherheitsbeauftragten für Sie.
• Penetrationstests & Schwachstellenanalysen: Identifikation technischer Risiken und konkrete Handlungsempfehlungen.
• Maßnahmenumsetzung & Compliance: Entwicklung individueller Konzepte auf Basis Ihres Branchenprofils.

Unser Ziel: Ihnen zu helfen, gesetzliche Anforderungen sicher zu erfüllen und gleichzeitig Ihre Informationssicherheit nachhaltig zu stärken.

Nächster Schritt: Kostenlose Erstberatung

Sie möchten Ihre NIS-2-Compliance strategisch umsetzen? Unsere Experten beraten Sie gerne — unverbindlich und praxisnah. Jetzt Erstberatung vereinbaren →