NIS2-Compliance: Was die Richtlinie erfordert, wen sie betrifft und wie B2B-Unternehmen sich vorbereiten können
Ein praxisnaher Leitfaden zur NIS2-Compliance — was die Richtlinie erfordert, welche Organisationen betroffen sind, zentrale Pflichten bei Risikomanagement, Vorfallmeldung, Lieferkettensicherheit und wie man Compliance gegenüber Aufsichtsbehörden und Käufern nachweist.
NIS2-Compliance: Was die Richtlinie erfordert, wen sie betrifft und wie B2B-Unternehmen sich vorbereiten können
Die Network and Information Security Directive 2 (NIS2) ist das aktualisierte Cybersicherheitsrahmenwerk der EU, das die ursprüngliche NIS-Richtlinie von 2016 ersetzt. Sie trat im Januar 2023 in Kraft, wobei die Mitgliedstaaten sie bis Oktober 2024 in nationales Recht umsetzen mussten.
NIS2 erweitert den Geltungsbereich der erfassten Organisationen erheblich, verschärft Sicherheitsanforderungen, führt strenge Vorfallmeldefristen ein und etabliert persönliche Verantwortlichkeit für die Geschäftsführung. Für B2B-SaaS-Unternehmen schafft NIS2 direkte Pflichten, wenn Sie in den Geltungsbereich fallen, und indirekte Pflichten durch Lieferkettenanforderungen — Ihre Kunden, die NIS2-Einrichtungen sind, werden Nachweise Ihrer Cybersicherheitslage verlangen.
Dieser Leitfaden behandelt, was NIS2 erfordert, wen es betrifft, zentrale Compliance-Pflichten und wie Sie sich als B2B-Unternehmen vorbereiten können.
NIS2-Geltungsbereich und Anwendbarkeit
Wer ist betroffen
NIS2 erfasst zwei Kategorien von Einrichtungen in 18 Sektoren:
Wesentliche Einrichtungen (Anhang I — Hochkritische Sektoren)
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Öl, Gas, Wasserstoff, Fernwärme |
| Transport | Luft-, Schienen-, Wasser-, Straßenverkehr |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Gesundheitsdienstleister, EU-Referenzlabore, Medizinproduktehersteller |
| Trinkwasser | Wasserversorgung und -verteilung |
| Abwasser | Abwassersammlung, -entsorgung, -behandlung |
| Digitale Infrastruktur | IXPs, DNS, TLD-Registrierungsstellen, Cloud, Rechenzentren, CDNs, Vertrauensdienste |
| IKT-Dienstleistungsmanagement (B2B) | Managed Service Provider, Managed Security Service Provider |
| Öffentliche Verwaltung | Einrichtungen der Zentralregierung |
| Weltraum | Betreiber bodengestützter Infrastruktur |
Wichtige Einrichtungen (Anhang II — Andere kritische Sektoren)
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Postdienstleister |
| Abfallwirtschaft | Abfallsammlung und -behandlung |
| Chemie | Herstellung, Produktion, Vertrieb |
| Lebensmittel | Produktion, Verarbeitung, Vertrieb |
| Fertigung | Medizinprodukte, Computer, Elektronik, Maschinen, Kraftfahrzeuge |
| Digitale Anbieter | Online-Marktplätze, Suchmaschinen, soziale Netzwerkplattformen |
| Forschung | Forschungseinrichtungen |
Größenschwellen
| Kategorie | Mitarbeiter | Jahresumsatz | Bilanzsumme |
|---|---|---|---|
| Mittleres Unternehmen | 50-249 | €10M-€50M | €10M-€43M |
| Großes Unternehmen | 250+ | €50M+ | €43M+ |
Einige Einrichtungen sind unabhängig von der Größe erfasst: qualifizierte Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namenregistrierungsstellen, Anbieter öffentlicher elektronischer Kommunikationsnetze und Einrichtungen, die der einzige Anbieter eines kritischen Dienstes in einem Mitgliedstaat sind.
Zentrale NIS2-Anforderungen
Risikomanagementmaßnahmen (Artikel 21)
NIS2 Artikel 21 schreibt einen gefahrenübergreifenden Ansatz für das Cybersicherheits-Risikomanagement vor. Erforderliche Maßnahmen umfassen:
1. Risikoanalyse und Informationssystemsicherheitsrichtlinien
- Eine Risikobewertungsmethodik etablieren
- Regelmäßige Risikobewertungen durchführen
- Sicherheitsrichtlinien dokumentieren und implementieren
- An anerkannten Rahmenwerken ausrichten (ISO 27001, NIST CSF)
2. Vorfallbehandlung
- Verfahren zur Erkennung, Reaktion und Wiederherstellung bei Vorfällen etablieren
- Vorfallklassifizierung und Schweregrade definieren
- Überwachungs- und Alarmierungsfähigkeiten implementieren
- Incident-Response-Pläne dokumentieren und testen
3. Business Continuity und Krisenmanagement
- Business-Continuity-Pläne entwickeln
- Backup-Management und Disaster Recovery implementieren
- Regelmäßige Tests der Kontinuitätspläne durchführen
- Mit Incident-Response-Verfahren integrieren
4. Lieferkettensicherheit
- Risiken von direkten Lieferanten und Dienstleistern bewerten
- Sicherheitsanforderungen in Lieferantenverträge aufnehmen
- Compliance der Lieferanten überwachen
- Gesamtqualität der Cybersicherheitspraktiken der Lieferanten berücksichtigen
5. Sicherheit bei Systemerwerb, -entwicklung und -wartung
- Schwachstellenbehandlung und -offenlegung
- Sichere Entwicklungspraktiken
- Sicherheitstests über den gesamten Lebenszyklus
- Patch-Management-Prozesse
6. Wirksamkeitsbewertung
- Regelmäßige Tests der Cybersicherheitsmaßnahmen
- Penetrationstests
- Sicherheitsaudits
- Kontinuierliches Monitoring
7. Cyberhygiene und Schulung
- Grundlegende Cyberhygiene-Praktiken
- Regelmäßige Cybersicherheits-Awareness-Schulungen
- Rollenspezifische Sicherheitsschulungen
- Phishing-Awareness und -Tests
8. Kryptografie und Verschlüsselung
- Richtlinien zum Einsatz von Kryptografie
- Verschlüsselung ruhender und übertragener Daten
- Schlüsselmanagement-Verfahren
- Bewertung der kryptografischen Angemessenheit
9. Personalsicherheit und Zugangskontrolle
- Zugangskontrollrichtlinien (geringstes Privileg, Need-to-Know)
- Identitäts- und Zugriffsmanagement
- Multi-Faktor-Authentifizierung
- Asset-Management und -Klassifizierung
10. Multi-Faktor-Authentifizierung und kontinuierliche Authentifizierung
- MFA für kritische Systeme und administrativen Zugang
- Gesicherte Sprach-, Video- und Textkommunikation
- Gesicherte Notfallkommunikationssysteme
Vorfallmeldung (Artikel 23)
Mehrstufiges Melderahmenwerk
| Stufe | Frist | Erforderlicher Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden | Ob Vorfall als rechtswidrig/böswillig vermutet wird, potenzielle grenzüberschreitende Auswirkung |
| Vorfallmeldung | 72 Stunden | Erste Bewertung von Schweregrad, Auswirkung, Kompromittierungsindikatoren |
| Zwischenberichte | Auf Anfrage | Aktualisierte Bewertung im Verlauf der Untersuchung |
| Abschlussbericht | 1 Monat | Detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkung |
Was einen erheblichen Vorfall darstellt
Ein Vorfall ist erheblich, wenn er:
- Eine schwere betriebliche Störung oder finanziellen Verlust verursacht oder verursachen kann
- Andere natürliche oder juristische Personen durch Verursachung erheblichen materiellen oder immateriellen Schadens betrifft oder betreffen kann
Lieferkettensicherheit (Artikel 21(2)(d))
Was NIS2 erfordert
NIS2 erhebt Lieferkettensicherheit von einer Best Practice zu einer gesetzlichen Pflicht. Erfasste Einrichtungen müssen:
- Lieferkettenrisiken bewerten — Die Cybersicherheitslage direkter Lieferanten und Dienstleister evaluieren
- Vertragliche Sicherheitsanforderungen — Spezifische Cybersicherheitspflichten in Lieferantenverträge aufnehmen
- Compliance überwachen — Überprüfen, dass Lieferanten das erforderliche Sicherheitsniveau einhalten
- Lieferantenqualität berücksichtigen — Die Gesamtqualität der Produkte und Cybersicherheitspraktiken der Lieferanten berücksichtigen
Auswirkungen auf B2B-SaaS-Unternehmen
Auch wenn Ihr Unternehmen nicht direkt eine wesentliche oder wichtige Einrichtung unter NIS2 ist, können Ihre Kunden es sein. Dies bedeutet:
- Vermehrte Sicherheitsfragebögen — NIS2-Einrichtungen müssen die Lieferantensicherheit bewerten, was zu detaillierteren Lieferantenbewertungen führt
- Vertragliche Anforderungen — Kunden werden NIS2-konforme Cybersicherheitsklauseln in Verträgen und DPAs verlangen
- Kontrollnachweise — Käufer werden Dokumentation von Sicherheitsmaßnahmen, Incident-Response-Fähigkeiten und Testergebnissen anfordern
- Sub-Auftragsverarbeiter-Transparenz — Kunden benötigen Einblick in Ihre Lieferkette
- Vorfallmeldepflichten — Ihre Verträge müssen möglicherweise die 24-Stunden-Frühwarnungspflicht von NIS2 widerspiegeln
Governance und Verantwortlichkeit
Managementverantwortung (Artikel 20)
NIS2 führt persönliche Verantwortlichkeit für Leitungsorgane ein:
- Genehmigung: Das Management muss Cybersicherheits-Risikomanagementmaßnahmen genehmigen
- Aufsicht: Das Management muss die Umsetzung der Sicherheitsmaßnahmen beaufsichtigen
- Schulung: Mitglieder des Managements müssen Cybersicherheitsschulungen absolvieren
- Haftung: Das Management kann persönlich für Nichteinhaltung haftbar gemacht werden
- Sanktionen: Mitgliedstaaten können Führungskräfte vorübergehend von der Ausübung ihrer Managementfunktionen ausschließen
Sanktionen (Artikel 34)
Harmonisierter Sanktionsrahmen
| Einrichtungstyp | Maximales Bußgeld | Alternative |
|---|---|---|
| Wesentliche Einrichtungen | 10.000.000 € | 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7.000.000 € | 1,4% des weltweiten Jahresumsatzes |
Der höhere Betrag gilt. Mitgliedstaaten können zusätzliche Sanktionen über diese Mindestbeträge hinaus verhängen.
NIS2 und andere Rahmenwerke
NIS2 und ISO 27001
| Aspekt | ISO 27001 | NIS2-Ergänzungen |
|---|---|---|
| Risikomanagement | Umfassendes ISMS | Konform, aber NIS2 schreibt spezifische Maßnahmen vor |
| Vorfallmeldung | Interne Verfahren | Verpflichtende 24/72-Stunden-Meldung an externe Stellen |
| Lieferkette | A.5.19-A.5.23 | Explizite Lieferkettensicherheitspflichten |
| Managementhaftung | Management-Engagement | Persönliche Haftung und Sanktionen |
| Sanktionen | Keine (freiwilliger Standard) | Bußgelder bis zu €10M oder 2% Umsatz |
NIS2 und DSGVO
| Aspekt | DSGVO | NIS2 |
|---|---|---|
| Fokus | Schutz personenbezogener Daten | Netz- und Informationssicherheit |
| Vorfallmeldung | 72 Stunden (Datenschutzverletzungen) | 24 Stunden Frühwarnung + 72 Stunden Meldung |
| Geltungsbereich | Jede Verarbeitung personenbezogener Daten | Kritische und wichtige Sektoren |
| Sanktionen | Bis zu €20M oder 4% Umsatz | Bis zu €10M oder 2% Umsatz |
Vorbereitung auf NIS2-Compliance
Schrittweiser Ansatz
- Anwendbarkeit bestimmen — Bewerten Sie, ob Ihre Organisation eine wesentliche oder wichtige Einrichtung basierend auf Sektor und Größe ist
- Gap-Analyse — Aktuelle Sicherheitsmaßnahmen mit NIS2 Artikel 21 Anforderungen vergleichen
- ISMS implementieren — Falls noch nicht vorhanden, ein Informationssicherheits-Managementsystem etablieren
- Incident Response verbessern — Verfahren aktualisieren, um 24/72-Stunden-Meldefristen einzuhalten
- Lieferkettensicherheit adressieren — Lieferantenrisiken bewerten, Verträge aktualisieren, Sub-Auftragsverarbeiterlisten pflegen
- Management einbinden — Genehmigung, Aufsicht und Schulung auf Vorstandsebene sicherstellen
- Alles dokumentieren — Umfassende Aufzeichnungen für Aufsichtsbehördenaudits führen
- Regelmäßig testen — Sicherheitstests, Penetrationstests und Incident-Response-Übungen durchführen
- Kontinuierlich überwachen — Laufendes Monitoring der Sicherheitsmaßnahmen und des Compliance-Status implementieren
Wie Orbiq NIS2-Compliance unterstützt
- Trust Center: Veröffentlichen Sie Ihre NIS2-Compliance-Lage — Sicherheitsmaßnahmen, Incident-Response-Fähigkeiten und Lieferkettentransparenz für Käufer-Self-Service
- Kontinuierliches Monitoring: Verfolgen Sie NIS2 Artikel 21 Anforderungen über Ihre Sicherheitskontrollen mit Echtzeit-Compliance-Status
- Evidence Management: Zentralisieren Sie Sicherheitsdokumentation, Audit-Nachweise und Vorfallaufzeichnungen, zugeordnet zu NIS2-Anforderungen
- KI-gestützte Fragebögen: Beantworten Sie NIS2-bezogene Sicherheitsfragebogen-Fragen automatisch aus Ihren dokumentierten Kontrollen
Weiterführende Lektüre
- Incident Response — Aufbau von Incident-Response-Fähigkeiten, die NIS2 Artikel 23 Fristen erfüllen
- ISO 27001-Zertifizierung — Das ISMS-Rahmenwerk, das die Grundlage für NIS2-Compliance bildet
- Drittparteien-Risikomanagement — Management von Lieferantenrisiken gemäß NIS2 Artikel 21(2)(d)
- DSGVO-Compliance — Verständnis doppelter Meldepflichten bei Vorfällen mit personenbezogenen Daten
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.