Häufig gestellte Fragen zur NIS2-Richtlinie
Logo Admijalo
  1. Home
  2. Blog
  3. Häufig gestellte Fragen zur NIS2-Richtlinie

Häufig gestellte Fragen zur NIS2-Richtlinie

Veröffentlicht: 12. April 2025 von Hannah u. René

Geschäftsführer in Deutschland stehen derzeit unter Druck. Mit der NIS2-Richtlinie, die bereits seit 2024 Anwendung findet, müssen eine Vielzahl neuer Sicherheitsmechanismen zum ganzheitlichen EU-weiten Schutz vor Cyberangriffen und Wirtschaftskriminalität umgesetzt werden. Wer die Richtlinie ignoriert, dem droht die Absetzung als Geschäftsführer.

Mit der NIS2, die in der Nachfolge der NIS1-Richtlinie steht, kommen aber auch zahlreiche Fragen daher – auch deshalb, weil die Richtlinie in Deutschland noch nicht in einem Gesetz verabschiedet wurde (Stand: 24. März 2025).

Nachfolgend klären wir die wichtigsten Fragen zur NIS2 für Geschäftsführer und warum Sie auch ohne deutsches Gesetz schon jetzt handeln sollten.

{frontmatter.image.alt}

Was ist die NIS2 und warum betrifft die Richtlinie mein Unternehmen?

Die NIS2-Richtlinie (Network and Information Security Directive) ist eine EU-weite Gesetzgebung zur Stärkung der Cybersicherheit. Sie legt verbindliche IT-Sicherheitsanforderungen für Unternehmen in kritischen und wichtigen Sektoren fest. Die Richtlinie ersetzt die NIS1-Richtlinie und erweitert deren Geltungsbereich erheblich.

Unternehmen in den betroffenen Branchen müssen künftig umfassende Sicherheitsmaßnahmen implementieren, ihre Risikomanagement-Prozesse anpassen und behördliche Meldepflichten einhalten. Verstöße gegen die NIS2-Richtlinie können zu hohen Bußgeldern und zur persönlichen Haftung von Geschäftsführern führen.

Welche Unternehmen sind konkret von der NIS2 betroffen?

Die NIS2-Richtlinie gilt für Unternehmen, die in kritischen oder wichtigen Sektoren tätig sind. Dazu gehören:

  • Wesentliche Einrichtungen:
    Energieversorgung, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, digitale Infrastruktur, Transport, Trinkwasserversorgung, Abwasserwirtschaft, öffentliche Verwaltung, Raumfahrt

  • Wichtige Einrichtungen:
    Post- und Kurierdienste, Abfallbewirtschaftung, chemische Industrie, Lebensmittelproduktion, Herstellung von Medizinprodukten, Maschinenbau, IT-Dienstleister

Betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro. Auch IT-Dienstleister oder Lieferanten, die mit kritischen Einrichtungen zusammenarbeiten, können unter die NIS2 fallen.

Geschäftsführer sollten daher genau prüfen, ob sie den NIS2-Kriterien unterliegen. Ziehen Sie im Zweifelsfall einen externen Berater hinzu und lassen Sie ein internes Audit oder eine GAP-Analyse durchführen, um zusätzlich zu prüfen, welche Maßnahmen Sie gegebenenfalls bereits umsetzen. Das spart Zeit und bewahrt Sie vor einer möglichen Geschäftsführer-Haftung.

Was passiert, wenn mein Unternehmen die NIS2-Anforderungen nicht erfüllt?

Unternehmen, die die NIS2-Richtlinie nicht einhalten, riskieren erhebliche finanzielle und rechtliche Konsequenzen. Die Strafen reichen von Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bis hin zur persönlichen Haftung der Geschäftsführung.

Zusätzlich drohen:

  • Untersagung der Geschäftstätigkeit oder Einschränkung der IT-Infrastruktur durch Behörden
  • Reputationsverluste bei Kunden und Geschäftspartnern
  • Erhöhte Angriffsrisiken und damit einhergehend: Betriebsausfall, Umsatzrückgang oder gar Insolvenz.

Die Geschäftsführerhaftung ist ein wesentlicher Unterschied zur Vorgängerrichtlinie NIS1. Sie sind verpflichtet, die Umsetzung der NIS2 sicherzustellen, um rechtliche und wirtschaftliche Konsequenzen zu vermeiden.

Welche Maßnahmen muss ich als Geschäftsführer konkret einleiten?

Um die NIS2-Anforderungen zu erfüllen, sind folgende Maßnahmen erforderlich:

  • Risikomanagement etablieren:
    Durchführung regelmäßiger Risikoanalysen zur Identifikation und Bewertung von IT-Sicherheitsrisiken

  • Sicherheitsrichtlinien implementieren:
    Einführung klar definierter IT-Sicherheitsrichtlinien und Prozesse für Incident Response

  • Meldepflichten einhalten:
    Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden.

  • Technische Sicherheitsmaßnahmen umsetzen:
    Einsatz von Firewalls, Netzwerksegmentierung, Multi-Faktor-Authentifizierung (MFA), regelmäßigen Sicherheitsupdates

  • Mitarbeiter schulen und Angriffe simulieren:
    Durchführung regelmäßiger Schulungen und kontinuierliche Simulation realer Cyberangriffe zur Cybersecurity Awareness, um Mitarbeiter vor immer neuen Bedrohungen zu sensibilisieren

Geschäftsführer sollten die Umsetzung der Maßnahmen aktiv steuern und deren Einhaltung regelmäßig – zum Beispiel mittels eines Audits – überprüfen.

Eine konkrete Übersicht über IT-Sicherheitsmaßnahmen zur Erfüllung der NIS2 finden Sie in diesem Blogbeitrag:
NIS2-Richtlinie: Maßnahmen zur Umsetzung im Überblick

Handlungsempfehlung: Sprechen Sie zur Umsetzung nicht nur Ihre IT-Leitung oder Ihr IT-Systemhaus an. Cybersicherheit ist nicht dasselbe wie Systemadministration. Eine unzureichende Umsetzung kann zu Strafen führen. Ziehen Sie daher im Zweifelsfall auch externe Anbieter hinzu und wechseln Sie diese nach drei oder fünf Jahren. Verschiedene Anbieter für Phishing-Kampagnen oder Penetrationstests setzen unterschiedliche Schwerpunkte und können so Ihr Unternehmen dauerhaft vor finanziellen Schäden schützen und Ihre Compliance gewährleisten.

Auf diese Weise stellen Sie sicher, dass Ihr Unternehmen dauerhaft geschützt und Sie für potenzielle Schäden nicht haftbar gemacht werden können.

Wie unterscheidet sich NIS2 von der bisherigen NIS1-Richtlinie?

Die NIS2-Richtlinie setzt deutlich strengere Anforderungen als die NIS1-Richtlinie. Die wesentlichen Unterschiede sind:

  • Erweiterter Geltungsbereich:
    Mehr Unternehmen und Branchen unterliegen den Anforderungen der NIS2-Compliance.

  • Höhere Sicherheitsanforderungen:
    Einführung umfassender IT-Sicherheitsmaßnahmen und strengere Meldepflichten

  • Verantwortung der Geschäftsführung:
    Geschäftsführer haften persönlich für mangelnde IT-Sicherheitsmaßnahmen und können mit Sanktionen belegt werden

  • Erhöhte Bußgelder:
    Sanktionen sind nun deutlich strenger und können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen

Handlungsempfehlung: Unternehmen, die bereits NIS1-konform sind, müssen ihre bestehenden Cybersecurity-Maßnahmen überprüfen und an die neuen NIS2-Anforderungen anpassen. Führen Sie hierzu beispielsweise eine GAP-Analyse durch, um eine detaillierte Maßnahmenübersicht zu erhalten und anschließend potenzielle Lücken in Ihrer NIS2-Compliance zu schließen.

Unternehmen, die bislang nicht unter die NIS1-Richtlinie fielen, könnten nun von der NIS2 betroffen sein. Prüfen Sie dies und lassen Sie sich im Zweifelsfall extern beraten, um mögliche Haftungsschäden abzuwenden.

Wie kann ein Geschäftsführer sicherstellen, dass sein Unternehmen NIS2-konform ist?

Da Sie als Geschäftsführer persönlich haftbar gemacht werden können, sollte die Verantwortung über die NIS2-Konformität auch bei Ihnen liegen.

Zur Umsetzung der NIS2-Compliance sollten Sie daher folgende Schritte einleiten:

  1. Gap-Analyse oder Sicherheitsaudit durchführen:
    Prüfen Sie bestehende IT-Sicherheitsmaßnahmen auf Lücken gemäß NIS2-Richtlinie. Eine GAP-Analyse oder ein Audit geben Ihnen detaillierten Aufschluss. Alternativ können Sie sich auch einem realen Angriff aussetzen. Mit sogenanntem Red Teaming erfüllen Sie nicht nur alle Compliance-Anforderungen hinsichtlich der IT-Sicherheit, sondern erhalten zudem eine übersichtliche Liste aller Schwachstellen in Ihrem Unternehmen.

  2. Verantwortlichkeiten definieren:
    IT-Sicherheit und Compliance sind Vollzeitjobs. Es geht nicht nur um die NIS2. Agieren Sie daher vorausschauend, um finanzielle und rechtliche Konsequenzen zu vermeiden. Benennen Sie einen Informationssicherheitsbeauftragten (ISB), einen Chief Information Security Officer (CISO) oder einen sonstigen Compliance-Manager, um die steigenden rechtlichen Anforderungen an Unternehmen auch in Zukunft zu erfüllen.

  3. IT-Sicherheitsstrategie anpassen:
    Führen Sie ein Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001 ein oder aktualisieren Sie Ihr bestehendes ISMS.

  4. Dokumentation sicherstellen:
    Erstellen Sie alle Nachweise über ergriffene IT-Sicherheitsmaßnahmen und regelmäßige Berichte für Aufsichtsbehörden.

  5. Schulung und Sensibilisierung:
    Führen Sie laufend Security Awareness Trainings für alle Mitarbeiter zur Prävention von Cyberangriffen durch. Nur laufende in den Arbeitsalltag integrierte Trainings schützen Sie dauerhaft vor aktuellen Bedrohungen und gewährleisten Ihre Compliance.

Beginnen Sie mit der Umsetzung so bald wie möglich, um rechtliche Risiken und mögliche Strafzahlungen zu vermeiden.

Muss ich als Geschäftsführer persönlich haften, wenn die NIS2 in meinem Unternehmen nicht eingehalten wird?

Ja. Die NIS2-Richtlinie verschärft die Verantwortung von Geschäftsführern erheblich. Sie können von Ihrem Geschäftsführerposten behördlich abgeordnet werden, wenn IT-Sicherheitsmaßnahmen unzureichend umgesetzt oder Anforderungen nicht erfüllt werden.

Stellen Sie daher sicher, dass …

  • IT-Sicherheitsmaßnahmen nachweislich implementiert sind.
  • Regelmäßige Sicherheitsüberprüfungen stattfinden.
  • Meldepflichten von Sicherheitsvorfällen eingehalten werden.
  • Mitarbeiter regelmäßig geschult und sensibilisiert werden.

Bei Verstößen gegen die NIS2-Compliance können Aufsichtsbehörden Geldbußen verhängen, die Geschäftsleitung abberufen oder Unternehmen zeitweise stilllegen. Geschäftsführer sind daher in der Pflicht, die Umsetzung der NIS2-Richtlinie aktiv zu steuern.

Lassen Sie uns ins Gespräch kommen!

Haben Sie Fragen oder möchten Sie mehr über unsere Dienstleistungen erfahren?

Dann nutzen Sie die Möglichkeit für ein kostenloses Erstgespräch.

Gemeinsam finden wir die beste Lösung für Ihre optimale Cybersicherheit.

Felix
Ihr Ansprechpartner:
Felix Jancker