Artikel

NIS2-Richtlinie: Cybersicherheitsanforderungen und -pflichten

Dieser Artikel befasst sich speziell mit den praktischen Compliance-Anforderungen und den Herausforderungen bei der Umsetzung der NIS2-Richtlinie. Er bietet umsetzbare Anleitungen zu den NIS2-Anforderungen mit praxisnahen Compliance-Strategien und erläutert die Konsequenzen bei Nichteinhaltung.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist das bisher umfassendste Cybersicherheitsgesetz der Europäischen Union (EU). Es handelt sich um die zweite Version der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie). Mit NIS2 wurde die ursprüngliche Gesetzgebung überarbeitet, um Unklarheiten zu beseitigen, umfassendere Sicherheitsanforderungen einzuführen und ihren Anwendungsbereich zu erweitern, mit einer stärker harmonisierten Umsetzung in mehr Sektoren.

Die NIS2-Richtlinie verstehen: Grundlagen und Geltungsbereich

Die NIS2-Richtlinie führt einen einheitlichen Satz von Cybersicherheitsanforderungen in allen EU-Mitgliedstaaten ein, um die allgemeine Cybersicherheit und Widerstandsfähigkeit wesentlicher und wichtiger Einrichtungen in den Mitgliedstaaten zu stärken. Ihr Zweck ist es, die zunehmende Komplexität und Häufigkeit von Cyber-Bedrohungen für diese Einrichtungen zu erkennen und zu mindern, indem eine gemeinsame Grundlage für Risikomanagementpraktiken, Cybersicherheitskontrollen, Rechenschaftspflicht, Governance und Zusammenarbeit geschaffen wird.

Ziele von NIS2

Mit NIS2 wollten die Gesetzgeber die uneinheitliche Umsetzung und die unterschiedlichen Sicherheitsniveaus in den verschiedenen Sektoren beheben, indem sie:

  • Die Rechenschaftspflicht des Managements schaffen, mit der Anforderung an Vorstände und Führungskräfte, Cybersicherheitsmaßnahmen zu überwachen und zu genehmigen, mit potenzieller persönlicher Haftung bei Nichteinhaltung.
  • Die grenzüberschreitende Zusammenarbeit durch Mechanismen wie das Europäische Verbindungsnetz für Cyberkrisen (EU-CyCLONe) verbessern.
  • Protokolle für die Meldung von Vorfällen mit strengen Fristen für die Benachrichtigung der Behörden über signifikante Vorfälle festlegen.
  • Den Anwendungsbereich auf mehr Sektoren und Arten von Einrichtungen ausweiten, um auch solche einzubeziehen, die zuvor nicht reguliert waren.
  • Die Vorschriften für die Durchsetzung und die Sanktionen in der gesamten EU harmonisieren.
  • Risikobasierte Sicherheitsanforderungen einführen, einschließlich der Annahme geeigneter technischer, betrieblicher und organisatorischer Maßnahmen zur Bewältigung von Cybersicherheitsrisiken.

Wichtige Sektoren und Einrichtungen, die von NIS2 betroffen sind

Die NIS2-Richtlinie enthält Größenbeschränkungen, um sicherzustellen, dass sich die regulatorischen Bemühungen auf Einrichtungen konzentrieren, deren Ausfall oder Kompromittierung weitreichende Auswirkungen hätte, während gleichzeitig die Flexibilität erhalten bleibt, auch kleinere, aber sehr kritische Betreiber zu erfassen. Die Hauptsektoren und -einrichtungen sind mittlere und große Organisationen. Kleinere Organisationen können jedoch auch unter NIS2 fallen, wenn sie die alleinigen Anbieter eines kritischen Dienstes in einer Region sind oder wenn ihre Störung die öffentliche Sicherheit oder Gesundheit erheblich beeinträchtigen könnte, z. B. solche, die:

  • Als kritische Infrastruktur gelten
  • Anbieter von öffentlichen Diensten sind (z. B. elektronische Kommunikationsnetze)
  • Einen Dienst erbringen, bei dem eine Unterbrechung die öffentliche Sicherheit oder Gesundheit beeinträchtigen oder systemische Risiken verursachen könnte
  • Alleinige Anbieter eines Dienstes für eine Regierung sind

Kategorien von Einrichtungen gemäß der NIS2-Richtlinie

Organisationen, Unternehmen und Lieferanten, die von der NIS2-Richtlinie betroffen sind, werden in zwei Kategorien unterteilt: wesentliche Einrichtungen und wichtige Einrichtungen. Dies ist eine bedeutende Unterscheidung, da für jede Kategorie unterschiedliche Aufsichts- und Durchsetzungsregelungen gelten, um die Widerstandsfähigkeit und Sicherheit in den Kernbereichen der kritischen Infrastruktur der EU zu fördern.

Verpflichtungen von wichtigen und wesentlichen Einrichtungen gemäß NIS2

Sowohl wesentliche als auch wichtige Einrichtungen sind verpflichtet, die Kernanforderungen der NIS2-Richtlinie zu erfüllen, darunter:

  • Maßnahmen zum Risikomanagement
  • Pläne für die Reaktion auf Vorfälle und das Krisenmanagement
  • Business Continuity und Disaster Recovery
  • Risikomanagement für die Lieferkette und Drittanbieter
  • Sicherheit von Netz- und Informationssystemen
  • Sicherheitsrichtlinien für den Umgang mit Daten und die Offenlegung von Schwachstellen
  • Richtlinien für sichere Entwicklung, Tests und Wartung
  • Cyberhygiene und Cybersicherheitsschulungen für Mitarbeiter
  • Meldung von Vorfällen
  • Governance und Rechenschaftspflicht
  • Vorstände und Geschäftsleitung müssen Cybersicherheitsmaßnahmen genehmigen
  • Das Management kann bei Nichteinhaltung persönlich haftbar gemacht werden
  • Obligatorische Schulungs- und Sensibilisierungsprogramme auf Managementebene
  • Aufsicht und Durchsetzung

Wichtige Daten und Zeitplan für die Umsetzung von NIS2

Die NIS2-Richtlinie trat im Januar 2023 in Kraft. Die EU-Mitgliedstaaten waren verpflichtet, die zur Einhaltung der NIS2-Richtlinie erforderlichen gesetzlichen Bestimmungen bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Nach dieser Frist hatten die EU-Mitgliedstaaten bis zum 17. April 2025 Zeit, die in der NIS2-Richtlinie beschriebenen wesentlichen und wichtigen Einrichtungen zu identifizieren. Einrichtungen, die an die NIS2-Richtlinie gebunden sind, müssen sich vor Ablauf ihrer jeweiligen Fristen in jedem EU-Mitgliedstaat registrieren, in dem sie Dienstleistungen erbringen, und danach mindestens alle zwei Jahre Aktualisierungen einreichen. Der Deutsche Bundestag verabschiedete die Richtlinie am 13. November 2025.

NIS1 vs. NIS2: Was ist neu?

Die folgenden Tabellen veranschaulichen die Vergleiche von NIS und NIS2 durch die Europäische Kommission.

NIS-FähigkeitenNIS2-Fähigkeiten
EU-Mitgliedstaaten verbessern ihre Cybersicherheitsfähigkeiten.Strengere Aufsichtsmaßnahmen und Durchsetzung werden eingeführt. Eine Liste von Verwaltungssanktionen, einschließlich Geldbußen bei Verstößen gegen die Pflichten zum Cybersicherheits-Risikomanagement und zur Berichterstattung, wird erstellt.
NIS-ZusammenarbeitNIS2-Zusammenarbeit
Die Zusammenarbeit auf EU-Ebene hat zugenommen.Das Europäische Verbindungsnetz für Cyberkrisen (EU-CyCLONe) wird eingerichtet, um die koordinierte Bewältigung von groß angelegten Cybersicherheitsvorfällen auf EU-Ebene zu unterstützen. Der Informationsaustausch und die Zusammenarbeit zwischen den Behörden der Mitgliedstaaten werden durch die gestärkte Rolle der Kooperationsgruppe intensiviert. Die koordinierte Offenlegung von Schwachstellen für neu entdeckte Schwachstellen in der gesamten EU wird etabliert.
NIS-Cybersicherheits-RisikomanagementNIS2-Cybersicherheits-Risikomanagement
Betreiber wesentlicher Dienste (OES) und Anbieter digitaler Dienste (DSP) müssen Risikomanagementpraktiken anwenden und ihre nationalen Behörden über signifikante Vorfälle informieren.Die Sicherheitsanforderungen werden durch eine Liste gezielter Maßnahmen gestärkt, darunter Reaktion auf Vorfälle und Krisenmanagement, Umgang mit und Offenlegung von Schwachstellen, Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen, grundlegende Computerhygienepraktiken und Cybersicherheitsschulungen, die effektive Nutzung von Kryptografie, Personalsicherheit, Zugangsrichtlinien und Asset-Management. Die Cybersicherheit der Lieferkette für wichtige Informations- und Kommunikationstechnologien wird gestärkt. Die Pflichten zur Meldung von Vorfällen werden durch präzisere Bestimmungen zu Prozessen, Inhalten und Zeitplänen verschärft.

Zusätzliche Änderungen, die in der NIS2-Richtlinie enthalten sind:

  • Verstärkte Verpflichtungen für wesentliche und wichtige Einrichtungen, technische, betriebliche und organisatorische Maßnahmen zur Risikobewältigung umzusetzen
  • Erhebliche Erweiterung der Anforderungen an die Meldung von Vorfällen
  • Strengere Strafen bei Nichteinhaltung von NIS2

NIS2-Compliance-Anforderungen: Maßnahmen, Meldung und rechtliche Auswirkungen

Die NIS2-Richtlinie schafft eine Reihe von Verpflichtungen und Haftungen für betroffene Einrichtungen und legt detaillierte rechtliche Prozesse für die Aufsicht und die Aufrechterhaltung der Compliance fest, einschließlich der folgenden. Bemerkenswert ist, dass die NIS2-Richtlinie keine expliziten technologischen Änderungen vorschreibt. Stattdessen skizziert sie Konzepte und bewährte Verfahren zur Verbesserung der Sicherheitslage von Organisationen.

Technische und organisatorische Sicherheitsmaßnahmen

  • Implementieren Sie verhältnismäßige technische, betriebliche und organisatorische Maßnahmen, die den Risiken der Einrichtung entsprechen (z. B. Größe, Exposition, Wahrscheinlichkeit und Auswirkung).
  • Formalisieren und pflegen Sie Richtlinien für Sicherheitssysteme sowie für die Identifizierung, Bewertung und Behandlung von Risiken.
  • Definieren Sie Prozesse, Rollen, Tools und Playbooks für das Incident Handling, um Vorfälle zu erkennen, zu klassifizieren, einzudämmen, zu beseitigen und zu beheben.
  • Entwickeln Sie Pläne für Business Continuity und Krisenmanagement, um die schnelle Wiederherstellung kritischer Dienste zu gewährleisten.
  • Bewerten und managen Sie Risiken von Dritten (z. B. direkte Lieferanten und Dienstleister).
  • Legen Sie Richtlinien und Verfahren fest, um die Wirksamkeit von Risikomanagementmaßnahmen zu bewerten (z. B. Tests, Metriken und Audits).
  • Halten Sie ein hohes Maß an Cyberhygiene aufrecht, wie z. B. Patching, Härtung, Prinzip der geringsten Rechte (Least Privilege) und Ereignisprotokollierung.
  • Führen Sie regelmäßige Cybersicherheits- und Risikobewusstseinsschulungen für alle Benutzer durch.
  • Erstellen Sie Regeln dafür, wann und wie Kryptografie eingesetzt werden soll (z. B. für gespeicherte oder übertragene Daten und für die Schlüsselverwaltung).
  • Wenden Sie einen Joiner-Mover-Leaver-Prozess mit rollengerechter Überprüfung, obligatorischer Sicherheitsschulung, Vertraulichkeitsverpflichtungen und definierten disziplinarischen Maßnahmen an und setzen Sie diesen durch.
  • Wenden Sie das Prinzip der geringsten Rechte (Least Privilege) und des „Need-to-Know“-Zugriffsbeschränkungen mit Multi-Faktor-Authentifizierung (MFA), rollenbasierten Zugriffskontrollen (RBAC), regelmäßigen Zugriffsüberprüfungen, Privileged Access Management (PAM) für Administratoren und sicherem Fernzugriff an.
  • Führen Sie ein Inventar von Hardware-, Software- und Daten-Assets vor Ort, in der Cloud und in SaaS-Anwendungen. Weisen Sie außerdem allen Assets Eigentümer und Klassifizierungen zu und verfolgen Sie deren Lebenszyklus.
  • Sichern Sie Kommunikationskanäle (z. B. E-Mail, Sprache, Video und SMS).

Was gemeldet werden muss

Signifikante Vorfälle müssen gemeldet werden. Dazu gehört jeder Vorfall, der zu einer schweren Betriebsstörung oder einem erheblichen finanziellen Verlust geführt hat oder führen könnte, oder der andere schädigen oder Dienste stören könnte.

Meldefristen

Die Frist beginnt, sobald die Einrichtung von einem Vorfall Kenntnis erlangt. Innerhalb von 24 Stunden muss eine Frühwarnung an das CSIRT oder die zuständige Behörde gesendet werden, die die vermutete Ursache und mögliche grenzüberschreitende Auswirkungen angibt.

Eine Vorfallmeldung, einschließlich der ersten Einschätzung, des Schweregrads, der Auswirkungen und der Kompromittierungsindikatoren (IoCs), muss innerhalb von 72 Stunden eingereicht werden. Ein Abschlussbericht (oder eine Aktualisierung, falls der Vorfall andauert) muss innerhalb eines Monats nach Einreichung der Vorfallmeldung eingereicht werden.

Was einen signifikanten Vorfall ausmacht

Mit der NIS2-Richtlinie ist die Signifikanz eines Vorfalls eine qualitative Bewertung des Schweregrads, der Störung, des finanziellen Verlusts oder des Schadens für andere. Es gibt jedoch mehrere feste Schwellenwerte, darunter:

  • Finanzieller Verlust: ≥ 500.000 € oder 5 % des Jahresumsatzes (je nachdem, was niedriger ist)
  • Nichtverfügbarkeit: > 30 Minuten vollständiger Ausfall für Cloud, CDN und MSP/MSSP (andere Einrichtungsspezifische Regeln können variieren)
  • Eingeschränkte Verfügbarkeit: Dienst für > 5 % der EU-Nutzer oder > 1 Million Nutzer für > 1 Stunde eingeschränkt
  • Datenkompromittierung: Integrität, Vertraulichkeit oder Authentizität kompromittiert
  • Unbefugter Zugriff: Fähig, schwere Störungen oder wiederkehrende Vorfälle zu verursachen

Wen man benachrichtigen muss und wie die Koordination funktioniert

  • Benachrichtigen Sie das nationale CSIRT oder die zuständige Behörde
  • Bei Vorfällen, die mehrere Mitgliedstaaten betreffen, muss das CSIRT, die zuständige Behörde oder die nationale zentrale Anlaufstelle (SPOC) andere betroffene Mitgliedstaaten und die Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich informieren
  • Wenn es im öffentlichen Interesse erforderlich ist (z. B. um einen andauernden Vorfall zu verhindern oder zu bewältigen), können die Behörden die Öffentlichkeit informieren oder die Einrichtungen dazu verpflichten
  • Die SPOC jedes Landes übermittelt vierteljährliche Zusammenfassungen mit aggregierten und anonymisierten Berichten an die ENISA

Erwartungen an Governance und Dokumentation

Governance

  • Aufsicht und Rechenschaftspflicht des Vorstands, wobei das Management das Cyber-Risikoprogramm formell genehmigt, die Ergebnisse mindestens jährlich und nach größeren Vorfällen überprüft
  • Definierte Rollen mit benannten Eigentümern
  • Richtlinien und Standards, die regelmäßig überprüft und bei Bedarf aktualisiert werden
  • Risikotoleranzerklärungen und Richtlinien zur Risikoakzeptanz
  • Einbeziehung aller Drittparteien in die Richtlinien

Risikobewertung

  • Dokumentierte Methodik, die mindestens jährlich und bei wesentlichen Änderungen (z. B. neues System, neuer Lieferant oder Vorfall) durchgeführt wird
  • Bedrohungsorientierte Risikoanalyseprozesse
  • Risikoregister mit Eigentümerschaft, Zieldaten, gewählten Behandlungen und Verknüpfungen zu spezifischen Kontrollen

Dokumentation

  • Wichtige Programmdokumente, einschließlich Informationssicherheitsrichtlinie, Risikomanagementrichtlinie, Asset- und Konfigurationsmanagementprotokolle, Identitäts- und Zugriffskontrollregeln und Change-Management-Prozesse
  • Incident-Response-Plan, der Playbooks enthalten kann
  • Backup- und Wiederherstellungspläne
  • Regeln für den sicheren Softwareentwicklungslebenszyklus (SDLC)
  • Regeln für das Lieferantenmanagement
  • Aufzeichnungen über Sicherheits- und Risikobewusstseinsschulungen

Auditierung

Wesentliche Einrichtungen unterliegen proaktiven Audits und Inspektionen, während wichtige Einrichtungen nach Vorfällen oder Beschwerden überprüft werden. Die Behörden können Vor-Ort- oder Ferninspektionen, technische Sicherheitsscans und gezielte unabhängige Audits anordnen. Zu den Überlegungen für NIS2-Audits gehören:

  • Jährlicher Zyklus von internen Audits, technischen Tests (z. B. Schwachstellenscans und Konfigurations-Compliance) und unabhängigen Penetrationstests
  • Aufzeichnungen von Metriken und Nachweise der Compliance, wie z. B. Richtlinien, Risikobewertungen, Asset-Inventare, Vorfallaufzeichnungen, Disaster-Recovery-Tests, Schulungsprotokolle, Lieferanten-Due-Diligence sowie Artefakte zu Änderungs-, Patch-, Identitäts- und Zugriffsmanagement und Kryptografie

Haftung des Managements

Die NIS2-Richtlinie macht das Management für Folgendes verantwortlich:

  • Sicherstellung der Durchführung von Cybersicherheits-Risikobewertungen
  • Implementierung technischer und organisatorischer Sicherheitsmaßnahmen
  • Angemessenes Management von Risiken
  • Unterstützung der Cybersicherheit durch Schulungs- und Risikomanagementprogramme

Wie man reale Herausforderungen bei der NIS2-Umsetzung angeht

Im Folgenden finden Sie einige empfohlene Schritte, die Organisationen ergreifen sollten, um auf die Umsetzung der Anforderungen der NIS2-Richtlinie vorbereitet zu sein.

Einen proaktiven Sicherheitsansatz verfolgen

Führen Sie kontinuierlich Risikoanalysen durch, um potenzielle Bedrohungen proaktiv zu identifizieren. Dies ermöglicht es Organisationen, Probleme anzugehen und sicherzustellen, dass sie bereit sind, die Compliance-Anforderungen der NIS2-Richtlinie zu erfüllen.

Alle kritischen Daten verschlüsseln

Um die strengen Cybersicherheitsstandards der NIS2-Richtlinie zu erfüllen, sollte Verschlüsselung zum Schutz kritischer Daten eingesetzt werden, einschließlich Datenbanken, Kommunikationen, Dokumenten, Servern und kritischer Infrastruktur.

Eine sicherheitsorientierte Kultur fördern

Die oberste Führungsebene einer Organisation sollte die Cybersicherheit für jede Abteilung zu einer Top-Priorität machen. Eine cyberorientierte Kultur beginnt bei der Führung und wird in die Organisation eingebracht, indem ein Mindestmaß an Sicherheitsbewusstsein bei den Mitarbeitern gefordert wird. Sicherheitsschulungen sollten individuell angepasst werden, um den Mitarbeitern zu helfen, zu verstehen, wie ihre Rollen und Verantwortlichkeiten die Sicherheit beeinflussen können.

Kritische Dienste, Prozesse und Assets identifizieren, die sich auf den wesentlichen Dienst gemäß der NIS2-Richtlinie beziehen

Die Bestimmung dessen, was zusätzlichen Schutz zur Gewährleistung der NIS2-Compliance erfordert, kann durch die Durchführung einer Folgenabschätzung erfolgen. Dies hilft zu identifizieren, welche Systeme und Prozesse in den Geltungsbereich der NIS2-Richtlinie fallen.

Konforme Risiko- und Informationssicherheits-Managementsysteme implementieren, um die Anforderungen der NIS2-Richtlinie zu erfüllen

Viele Organisationen stellen fest, dass sie ihre Informationssicherheits-Managementsysteme aufrüsten oder ändern müssen, um der NIS2-Richtlinie zu entsprechen. Die Organisation muss in der Lage sein:

  • Definierte Verantwortlichkeiten nachzuweisen
  • Sicherzustellen, dass Schlüsselprozesse betriebsbereit sind, wie z. B. Richtlinien für die Sicherheit von Informationssystemen, Behandlung und Management von Vorfällen, Business Continuity (z. B. Backup-Systeme und Disaster-Recovery-Pläne), Risikomanagement von Drittanbietern, Schwachstellenmanagement und Schulungen zum Sicherheitsbewusstsein der Mitarbeiter
  • Sicherheitsrisiken zu identifizieren, zu beheben und zu überwachen

Multi-Faktor-Authentifizierung für alle Benutzer verpflichtend machen

Die Implementierung der Multi-Faktor-Authentifizierung (MFA) zur Sicherung aller Konten anstelle von Passwörtern allein spielt eine wesentliche Rolle beim Schutz von Assets und bei der Erfüllung der Anforderungen der NIS2-Richtlinie.

Auf die Meldung von Vorfällen vorbereiten

Im Falle eines Vorfalls ist Zeit für die NIS2-Compliance von entscheidender Bedeutung. Schritte zur Gewährleistung einer rechtzeitigen Reaktion auf einen Vorfall umfassen:

  • Vorbereitung von Vorlagen für 24-Stunden-, 72-Stunden- und 30-Tage-Berichte
  • Bereithaltung einer Kontaktliste für das Computer Security Incident Response Team (CSIRT)
  • Interne Definition von „Kenntnisnahme“, da die Frist nach der ersten Bewertung beginnt, die einen signifikanten Vorfall bestätigt
  • Durchführung von Schulungen für alle Parteien, die an der Ausführung des Incident-Response-Plans beteiligt sein werden

Die Anforderungen der NIS2-Richtlinie verstehen und sich darauf vorbereiten, sie zu erfüllen

Dies bedeutet, sich Zeit zu nehmen, um die Anforderungen zu studieren und die Bereitschaft der Organisation zur Einhaltung zu bewerten. Dazu gehört die Identifizierung von Lücken und die Erstellung von Plänen, um diese vor der Compliance-Frist zu schließen.

Ein weiterer Bestandteil der Vorbereitung ist die Sicherung der Unterstützung durch die Führung, die Zustimmung der Stakeholder und die notwendigen Budgets und Ressourcen. Ein frühzeitiger Beginn ist unerlässlich, da Verzögerungen nahezu unvermeidlich sind und die Fristen keine Verzögerungen berücksichtigen werden.

Praxisbeispiele für die NIS2-Compliance in der EU

Grenzüberschreitende NIS2-Compliance

Für grenzüberschreitend tätige Einrichtungen stützt sich die NIS2-Compliance auf das Prinzip der „Hauptniederlassung“, bei dem ein EU-Mitgliedstaat als federführende Regulierungsbehörde fungiert. Kooperationsnetzwerke (z. B. EU-CyCLONe und die NIS-Kooperationsgruppe) stellen jedoch sicher, dass Vorfälle, die mehrere Länder betreffen, einheitlich gehandhabt werden, um eine fragmentierte Durchsetzung zu vermeiden. Das folgende Beispiel eines Cloud-Dienstanbieters veranschaulicht, wie die grenzüberschreitende NIS2-Compliance in der EU abläuft.

Ein in den USA ansässiger Cloud-Anbieter mit Rechenzentren in Deutschland, Frankreich und Irland unterliegt als wesentliche Einrichtung der NIS2. In diesem Fall muss der Anbieter seinen Hauptsitz in der EU (z. B. die Zentrale in Irland) als federführende Gerichtsbarkeit benennen. Dann würde die irische Regulierungsbehörde zur primären Aufsichtsbehörde werden. Dazu gehört auch die Koordinierung der Bearbeitung und Überwachung von Vorfällen mit deutschen und französischen Behörden. Wenn beispielsweise ein Sicherheitsvorfall in Deutschland Dienste in der gesamten EU stört, meldet der Anbieter dies über die zentrale Anlaufstelle (SPOC) Irlands, die die Informationen mit anderen Mitgliedstaaten teilt.

Koordination mit Drittanbietern für die NIS2-Compliance

Das Risikomanagement von Drittanbietern und der Lieferkette ist ein zentraler Bestandteil von NIS2. Gemäß NIS2 bleiben Einrichtungen auch bei der Auslagerung für die Sicherheit verantwortlich. Das bedeutet, dass robuste Lieferantenbewertungen, vertragliche Absicherungen sowie Überwachungs- und Meldepflichten für Drittanbieter vorhanden sein müssen. Die Rolle von Drittanbietern in der Lieferkette der Fertigungsindustrie wird im folgenden Beispiel demonstriert.

Ein Hersteller von Medizinprodukten, der als wichtige Einrichtung eingestuft ist, bezieht IoT-Komponenten von mehreren Lieferanten aus der gesamten EU. Der Hersteller ist verpflichtet, das gesamte Lieferantenökosystem abzubilden, um kritische Abhängigkeiten zu identifizieren, und muss einen Business-Continuity-Plan haben, der alternative Beschaffungsvereinbarungen für den Fall vorsieht, dass ein Lieferant kompromittiert wird. Darüber hinaus müssen die Lieferanten die Normen ISO/IEC 27001 oder gleichwertige Standards einhalten und Cybersicherheits-Auditberichte vorlegen.

Die NIS2-Richtlinie – Teil eines wachsenden Trends

Die NIS2-Richtlinie schafft eine verbindliche, harmonisierte Cybersicherheitsgrundlage in der gesamten EU. Sie erweitert den Geltungsbereich auf weitere Sektoren, setzt strengere Risikomanagement- und Meldepflichten fest und macht die Führungsebene für die Einhaltung verantwortlich.

Die NIS2-Richtlinie repräsentiert einen wachsenden Trend, Cybersicherheit und Cyber-Resilienz gesetzlich zu verankern. Mit der NIS2-Richtlinie ist jeder EU-Mitgliedstaat verpflichtet, sie in nationales Recht umzusetzen.

Die NIS2-Richtlinie hat eine weitreichende Wirkung auf Organisationen aller Art mit der Absicht, die Abwehrmaßnahmen gegen eskalierende Cyber-Bedrohungen zu stärken. Die gute Nachricht über die NIS2-Richtlinie und ähnliche Initiativen ist, dass sie Organisationen helfen, ihre allgemeine Cybersicherheitslage zu verbessern, was sich positiv auf alle Aspekte des Betriebs auswirkt.

HAFTUNGSAUSSCHLUSS: DIE IN DIESEM ARTIKEL ENTHALTENEN INFORMATIONEN DIENEN AUSSCHLIESSLICH ZU INFORMATIONSZWECKEN, UND NICHTS, WAS IN DIESEM ARTIKEL VERMITTELT WIRD, IST DAZU BESTIMMT, IRGENDEINE FORM VON RECHTSBERATUNG ZU DARSTELLEN. SAILPOINT KANN KEINE SOLCHE BERATUNG ERTEILEN UND EMPFIEHLT, DASS SIE SICH BEZÜGLICH ANWENDBARER RECHTLICHER FRAGEN AN EINEN RECHTSBERATER WENDEN.

Häufig gestellte Fragen (FAQ) zur NIS2-Richtlinie

Was ist die NIS2-Richtlinie?

Die Europäische Union (EU) hat die NIS2-Richtlinie erlassen, um einen umfassenden rechtlichen Rahmen zur Stärkung der Cybersicherheit in ihren Mitgliedstaaten zu schaffen. Als Aktualisierung der ursprünglichen Richtlinie über Netz- und Informationssysteme (NIS) aus dem Jahr 2016 führt NIS2 detailliertere und harmonisierte Sicherheitsanforderungen für eine breitere Palette von Sektoren und Einrichtungen ein.

Die Hauptziele der NIS2-Richtlinie sind:

  • Anhebung der Standards für Cybersicherheit und Widerstandsfähigkeit durch die Vorschrift von Risikomanagementmaßnahmen, Vorfallmeldungen und Governance-Frameworks für sowohl „wesentliche“ als auch „wichtige“ Organisationen, die innerhalb der EU tätig sind.
  • Bewältigung der komplexen und sich ständig weiterentwickelnden Natur digitaler Bedrohungen in Europas vernetzter Wirtschaft.
  • Sicherstellung einer verbesserten Zusammenarbeit, Rechenschaftspflicht und Informationsaustausch zwischen Organisationen und nationalen Behörden.
  • Schaffung einer einheitlichen und robusten Cybersicherheitslandschaft.
  • Festlegung von Verpflichtungen für technische und organisatorische Maßnahmen.


Ist die NIS2-Richtlinie verbindlich?

Ja, die NIS2-Richtlinie ist für alle wesentlichen Einrichtungen (d.h. Organisationen, die für die Gesellschaft und Wirtschaft kritische Dienstleistungen erbringen) und wichtige Einrichtungen (d.h. Organisationen in anderen kritischen Sektoren, die eine bedeutende Rolle in der EU-Gesellschaft und -Wirtschaft spielen) in der EU verbindlich. Die nationalen Regierungen innerhalb der EU müssen die NIS2-Anforderungen in ihre Gesetzgebung aufnehmen, und die betroffenen Organisationen müssen deren Bestimmungen einhalten. Für Organisationen, die in mehreren EU-Ländern tätig sind, ist die Einhaltung von NIS2 in jeder Jurisdiktion erforderlich, in der die Dienstleistungen erbracht werden.


Gibt es ein US-amerikanisches Äquivalent zu NIS2?

Nein, es gibt kein direktes Äquivalent zur NIS2-Richtlinie in den Vereinigten Staaten.

Was ist der Vorschlag zur NIS2-Richtlinie?

Der Vorschlag zur NIS2-Richtlinie wurde von der EU im Dezember 2020 als Aktualisierung der ursprünglichen NIS-Richtlinie (2016) eingeführt. Die Hauptziele des Vorschlags zur NIS2-Richtlinie waren:

  • Erweiterung des Anwendungsbereichs auf weitere Sektoren, einschließlich öffentliche Verwaltung, Raumfahrt, Abfallwirtschaft und digitale Dienste
  • Festlegung strengerer Sicherheits- und Vorfallmeldeanforderungen
  • Bereitstellung stärkerer Aufsichtsmaßnahmen, strengerer Durchsetzung und harmonisierter Sanktionen
  • Verbesserung der Widerstandsfähigkeit, Behebung von Lücken in der ersten NIS-Richtlinie
  • Sicherstellung einer größeren Konsistenz zwischen den Mitgliedstaaten


Was sind die Hauptpunkte von NIS2?

Die zehn Hauptpunkte der NIS2-Richtlinie sind:

  • Erweiterter Anwendungsbereich auf mehr Sektoren als NIS1, einschließlich Energie, Gesundheitswesen, Verkehr, Bankwesen, öffentliche Verwaltung, Raumfahrt, Abfall und digitale Dienste
  • Etablierung von zwei Kategorien von Einrichtungen – wesentliche Einrichtungen und wichtige Einrichtungen, die der Richtlinie unterliegen
  • Implementierung von Risikomanagementmaßnahmen
  • Anforderungen an die Meldung von signifikanten Vorfällen
  • Governance- und Rechenschaftspflichtprotokolle, bei denen die Leitungsorgane Cybersicherheitsmaßnahmen genehmigen und überwachen, sowie persönliche Haftung bei Versäumnissen
  • Sicherheit der Lieferkette zur Bewältigung von Cybersicherheitsrisiken in Lieferanten- und Partner-Ökosystemen
  • Harmonisierte Sanktionen in der gesamten EU
  • Verbesserte Zusammenarbeit durch das Europäische Verbindungsnetz für Cyberkrisen (EU-CyCLONe) für groß angelegte Vorfälle
  • Einheitliche Anforderungen und Aufsichtspraktiken in der gesamten EU zur Verringerung der Fragmentierung
  • Regelmäßige Schulungen, Informationsaustausch und Zusammenarbeit innerhalb der Sektoren und zwischen den EU-Mitgliedstaaten, um effektiv auf aufkommende Bedrohungen zu reagieren
Was ist der Unterschied zwischen NIST und NIS2?

NIST, oder das National Institute of Standards and Technology, ist eine US-Behörde, die weltweit anerkannte Frameworks wie das NIST Cybersecurity Framework (CSF) entwickelt, die freiwillige, risikobasierte Ansätze zur Verwaltung und Minderung von Cybersicherheitsrisiken bieten. NIS2 ist ein verbindliches EU-Gesetz, das für bestimmte wesentliche und wichtige Einrichtungen, die in den Mitgliedstaaten tätig sind, zwingende Anforderungen an die Cybersicherheit und die Meldung von Vorfällen vorschreibt.

Wie wird NIS2 in der EU umgesetzt?

Die Umsetzung der NIS2-Richtlinie in der EU umfasst:

  • Einen koordinierten Ansatz aller Mitgliedstaaten zur Aktualisierung der nationalen Gesetzgebung und der Verwaltungsrahmen im Einklang mit den erweiterten Anforderungen der Richtlinie.
  • Die Mitgliedstaaten sind verpflichtet, die Bestimmungen der Richtlinie in nationales Recht umzusetzen.
  • Die Regierungen müssen alle wesentlichen und wichtigen Einrichtungen in ihren Zuständigkeitsbereichen identifizieren und regulieren, nationale Strategien entwickeln, zuständige Aufsichtsbehörden benennen und Ressourcen für eine ordnungsgemäße Durchsetzung bereitstellen.
  • Computer Security Incident Response Teams (CSIRTs) müssen geschaffen oder aktualisiert werden.
  • Strenge Arbeitsabläufe für die Meldung von Vorfällen müssen entwickelt werden, um einen systematischen Informationsaustausch auf nationaler und EU-weiter Ebene zu gewährleisten.
  • Die Agentur der Europäischen Union für Cybersicherheit (ENISA) spielt eine zentrale Rolle als Vermittler für den Austausch von Informationen, Anleitungen und bewährten Verfahren zwischen den Mitgliedstaaten.
  • Der Umsetzungsprozess von NIS2 muss iterativ sein, mit kontinuierlichen Bewertungen der Bedrohungslandschaften, regelmäßigen Überprüfungen und Aktualisierungen der Sicherheitsrichtlinien, um proaktiv auf aufkommende Risiken zu reagieren.
Datum: 17. Dezember 2025Lesezeit: 18 Minuten
ComplianceCybersicherheit

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt