Durch die Richtlinie über die Sicherheit von Netz- und Informationssystemen (kurz: NIS 2-Richtlinie) soll die Cybersicherheit in verschiedenen Sektoren wie Energie, Verkehr, Gesundheit und digitale Infrastruktur verbessert werden. Sie stellt höhere Sicherheitsanforderungen an die Unternehmen, befasst sich mit der Sicherheit der Lieferketten und macht die Führungskräfte für Verstöße verantwortlich.
Neben den bisher von der ersten NIS-Richtlinie abgedeckten kritischen Bereichen (Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur und Finanzwesen) müssen nunmehr auch Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, Betreiber sozialer Medien, Hersteller kritischer Produkte (z. B. Medizinprodukte) sowie Post- und Kurierdienste ihre Maßnahmen im Bereich der IT-Sicherheit überprüfen und gegebenenfalls anpassen. Daneben betreffen einzelne Regelungen auch Domain-Registrierungsstellen sowie Hersteller von bestimmten zertifizierungspflichtigen IT-Produkten.
Auf die betroffenen Unternehmen und Betreiber kommen u.a. folgende Risikomanagementmaßnahmen zu:
Die EU-NIS2-Richtlinie trat im Januar 2023 in Kraft. Die Mitgliedstaaten waren verpflichtet, die Regelungen bis zum 17. Oktober 2024 in nationales Recht umsetzen.
In den meisten Mitgliedsstaaten ist dies mittlerweile auch erfolgt. Das deutsche NIS2-Umsetzungsgesetz ist mit einer umfassenden Reform des BSI-Gesetzes [BSIG - nichtamtliches Inhaltsverzeichnis] am 6. Dezember 2025 in Kraft getreten. Seit diesem Datum sind alle betroffenen Unternehmen verpflichtet, die für sie anwendbaren Anforderungen an eine sichere IT-Infrastruktur umzusetzen und haften ggf. mit Bußgeldzahlungen für Umsetzungslücken und -fehler.
Seit dem 6. Januar 2026 ist das NIS2-Portal des BSI online [Login | BSI-Portal] und betroffene Unternehmen müssen sich bis zum 6. März 2026 dort registrieren. Relevante Sicherheitsvorfälle sind ab sofort dem BSI über dieses Portal innerhalb von 24 Stunden ab Kenntnis von dem Vorfall zu melden.
Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit und enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.
Mit dem NIS2-Tool von SKW Schwarz haben Sie die Möglichkeit, die Betroffenheit von der NIS2-Richtlinie für Ihr Unternehmen zu prüfen.
SKW Schwarz ist bestens positioniert, um Unternehmen bei der Umsetzung der Sicherheitsanforderungen und der Implementierung entsprechender Maßnahmen zu unterstützen. Unsere Expertise erstreckt sich über die gesamte Breite der durch das neue Gesetz aufgeworfenen Herausforderungen. Zu unseren Beratungsleistungen gehören:
