News

Die neue Richtlinie NIS2

Was bedeutet NIS und NIS2?

NIS steht für Network und Information Security und die NIS2 (Richtlinie EU 2022/2555) ist eine Erweiterung dieser Richtlinie. Das Ziel dieser Richtlinie ist es, die IT,- Informations- und Cybersicherheit zu erhöhen. Die wichtigste Änderung, die mit NIS2 einhergeht ist, dass nun mehr Unternehmen betroffen sind. Bisher waren Unternehmen, die direkt zur kritischen Infrastruktur zählen, von NIS betroffen. Schätzungsweise werden sich nun 3.000 bis 5.000 kleine und mittelständische Unternehmen aus Nordrhein-Westfalen, die zum Beispiel Lebensmittel produzieren, Kurierdienste anbieten oder im Bereich Maschinenbau tätig sind, intensiv mit dem Thema NIS2 beschäftigen müssen.

Woher weiß man, ob man als Unternehmen betroffen ist?

Das wichtigste vorab: Unternehmen werden nicht von Behörden benachrichtigt, sondern müssen selbst herausfinden, ob sie unter die neue NIS2 Richtlinie fallen oder nicht. Einen Selbsttest dazu findet man auf der Seite des Bundesamts für Sicherheit in der Informationstechnik. Eine erste Einschätzung ergibt sich aus der Branchenzugehörigkeit, die Aufschluss darüber gibt, ob man als Unternehmen betroffen ist oder nicht. Zu den besonders sensiblen Branchen zählen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- oder Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung, Verwaltung von IKT Diensten, Weltraum, Anbieter öffentlicher TK Netze und Telekommunikationsdienste. Weitere Faktoren sind die Anzahl der Mitarbeitenden und der Umsatz. Bei unter 50 Mitarbeitenden und einem Jahresumsatz unter 10 Mio Euro ist kein Handlungsbedarf erforderlich, der Schwellenwert liegt bei 250 Mitarbeitenden und mehr als 50 Mio Jahresumsatz. Die Branchen "Digitale Infrastruktur" sowie "öffentliche Verwaltung" sind von der Schwellenwertregelung ausgeschlossen!

In der zweiten Stufe der Richtlinie werden in Zukunft weitere Branchen betroffen sein. Diese sind: Post- und Kurierdienste, Abfallbewirtschaftung, Handel oder Produktion mit bzw. von chemischen Stoffen, Lebensmittel Vertrieb/Verarbeitung/Produktion, Herstellung von Waren, Forschung und Anbieter digitaler Dienste. Hier gelten andere Schwellenwerte als in der Gruppe der besonders sensiblen Branchen, nämlich mehr als 50 Mitarbeitende oder mehr als 10 Mio Euro Jahresumsatz.  

Zur Unterstützung der Einordnung wurde das Projekt NIS2 Anlaufstelle NRW ins Leben gerufen, dort werden kostenlose Orientierungsgespräche angeboten. 

Was ist zu tun, wenn ein Unternehmen feststellt, dass es von NIS2 betroffen ist?

Betroffene Unternehmen müssen sich eigenständig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Zu den Details liegen zum jetzigen Zeitpunkt noch keine Informationen vor. Wenn ein Sicherheitsvorfall eingetreten ist, dann muss dieser dokumentiert und gemeldet werden, außerdem müssen die Unternehmen operative Maßnahmen ergreifen. 


Links und Quellen zum Thema: 
https://betroffenheitspruefung-nis-2.bsi.de/
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/regulierte-wirtschaft_node.htmlhttps://nis2-anlaufstelle.nrw/https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250730_NIS-2-Regierungsentwurf.htmlhttps://www.ihk.de/koeln/hauptnavigation/digitalisierung/digitalisierung2/its-4-nis-6187542
https://www.ihk.de/koeln/hauptnavigation/digitalisierung/digitalisierung2/its-4-nis-6187542