EU 2022/2555

Was ist NIS2?

EU-Richtlinie 2022/2555 zur Cybersicherheit - die bedeutendste Überarbeitung der EU-weiten Cybersicherheitsregulierung seit 2016.

Überblick

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der aktualisierte Rahmen der Europäischen Union zur Erreichung eines hohen gemeinsamen Cybersicherheitsniveaus in allen Mitgliedstaaten. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016.

NIS2 erweitert den Anwendungsbereich der EU-Cybersicherheitsregulierung dramatisch - von etwa 10.000 Einrichtungen unter NIS1 auf geschätzt 160.000 in ganz Europa. Allein in Deutschland sind rund 29.500 Unternehmen betroffen.

Die Richtlinie schreibt harmonisierte Risikomanagement-Maßnahmen, Meldepflichten bei Sicherheitsvorfällen und Anforderungen an die Lieferkettensicherheit vor. Sie führt die persönliche Haftung der Geschäftsführung ein und sieht deutlich höhere Strafen bei Verstößen vor.

Wichtige Daten
DateEvent
14. Dezember 2022NIS2-Richtlinie im EU-Amtsblatt veröffentlicht
16. Januar 2023NIS2 tritt auf EU-Ebene in Kraft
17. Oktober 2024Frist für die Umsetzung in nationales Recht der Mitgliedstaaten
17. April 2025Frist für Mitgliedstaaten zur Erstellung von Einrichtungsregistern
17. Oktober 2027Europäische Kommission überprüft die Funktionsweise der Richtlinie
NIS1 vs NIS2
AspektNIS1 (2016)NIS2 (2022)
Anwendungsbereich~10.000 Einrichtungen in der EU~160.000 Einrichtungen in der EU
Sektoren7 Sektoren18 Sektoren (11 hochkritische + 7 sonstige kritische)
EinstufungBetreiber wesentlicher Dienste (OES) + Anbieter digitaler DiensteWesentliche + Wichtige Einrichtungen (größenbasiert)
SanktionenVon Mitgliedstaaten festgelegt, stark variierendHarmonisiert: bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes
GeschäftsführerhaftungNicht geregeltPersönliche Haftung der Leitungsorgane
Meldung von VorfällenUnverzüglichStrenge Kaskade: 24 h / 72 h / 1 Monat
LieferketteNicht geregeltVerpflichtende Bewertung der Lieferkettensicherheit
AufsichtDen Mitgliedstaaten überlassenProaktiv (wesentlich) + reaktiv (wichtig)

18 betroffene Sektoren

Anhang I - Sektoren mit hoher Kritikalität
Große Unternehmen in diesen Sektoren werden als besonders wichtige Einrichtungen (bwE) eingestuft. Mittlere Unternehmen als wichtige Einrichtungen.
  1. 01Energie (Strom, Fernwärme/-kälte, Öl, Gas, Wasserstoff)
  2. 02Transport und Verkehr (Luft, Schiene, Wasser, Straße)
  3. 03Bankwesen
  4. 04Finanzmarktinfrastrukturen
  5. 05Gesundheitswesen (Krankenhäuser, Pharma, Medizinprodukte, Referenzlabore)
  6. 06Trinkwasser
  7. 07Abwasser
  8. 08Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren, CDN, Telekommunikation)
  9. 09IKT-Dienstleistungsmanagement - B2B (MSP, MSSP)
  10. 10Öffentliche Verwaltung
  11. 11Weltraum
Anhang II - Sonstige kritische Sektoren
Einrichtungen in diesen Sektoren werden als wichtige Einrichtungen eingestuft, unabhängig davon, ob sie mittelgroß oder groß sind.
  1. 01Post- und Kurierdienste
  2. 02Abfallbewirtschaftung
  3. 03Chemische Stoffe (Herstellung, Produktion, Vertrieb)
  4. 04Lebensmittel (Großhandel, industrielle Produktion, Verarbeitung)
  5. 05Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Elektrogeräte, Maschinenbau, Kraftfahrzeuge, sonstiger Transportmittelbau)
  6. 06Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  7. 07Forschungseinrichtungen
Schwellenwerte
NIS2 verwendet die KMU-Definition der EU. Die Einstufung erfolgt nach Mitarbeiterzahl ODER Finanzkennzahlen (sowohl Umsatz ALS AUCH Bilanzsumme müssen für den Finanztest überschritten werden).
GrößeMitarbeiterFinanzschwelleNIS2-Anwendungsbereich
Groß≥ 250> 50 Mio. EUR Umsatz UND > 43 Mio. EUR BilanzsummeIm Anwendungsbereich
Mittel≥ 50 (und < 250)> 10 Mio. EUR Umsatz UND > 10 Mio. EUR BilanzsummeIm Anwendungsbereich
Klein< 50≤ 10 Mio. EUR Umsatz UND ≤ 10 Mio. EUR BilanzsummeGrundsätzlich nicht betroffen

Bestimmte Einrichtungstypen sind unabhängig von ihrer Größe betroffen - darunter DNS-Anbieter, TLD-Register, qualifizierte Vertrauensdiensteanbieter, KRITIS-Betreiber und alleinige Erbringer wesentlicher Dienste.

Zentrale Pflichten im Überblick
  • Umsetzung von 10 verpflichtenden Cybersicherheits-Risikomanagement-Maßnahmen
  • Meldung erheblicher Vorfälle innerhalb von 24 h / 72 h / 1 Monat
  • Geschäftsführung muss Cybersicherheit genehmigen, überwachen und geschult werden
  • Bewertung und Management von Cybersicherheitsrisiken in der Lieferkette
  • Registrierung bei der zuständigen nationalen Behörde
  • Nachweis der Compliance (Audits für KRITIS-Betreiber alle 3 Jahre)