Mit der NIS2-Richtlinie werden die Cybersicherheitsanforderungen in der EU neu geregelt. Zehn Mitgliedstaaten haben sie bereits in nationales Recht überführt und damit ein zunehmend vielfältiges Compliance-Umfeld geschaffen. Neben einem erweiterten Anwendungsbereich, der mehr Branchen und Drittparteien einbezieht, wird auch die persönliche Haftung von Führungskräften verankert. Für international agierende Unternehmen bedeutet das, dass sie Compliance grenzübergreifend steuern müssen – mit klarer Verantwortung für die Vorstandsebene, lokaler Umsetzung und einer konsistenten Strategie zur Stärkung der unternehmensweiten Cybersicherheit.

Mit der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) modernisiert die EU ihren Ansatz zur Regulierung der Cybersicherheit grundlegend. Das Ziel besteht darin, die digitale Widerstandsfähigkeit in kritischen und wichtigen Sektoren zu erhöhen – durch strengere Vorgaben und eine breitere Reichweite.

Ein Flickenteppich nationaler Gesetze

Bislang haben zehn EU-Mitgliedstaaten die NIS2-Richtlinie mit jeweils eigenem Rechtsrahmen und eigener Durchsetzungsstelle umgesetzt.

• Belgien: Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit
• Kroatien: Cybersicherheitsgesetz
• Griechenland: Gesetz Nr. 5160/2024 zur Umsetzung der NIS2-Richtlinie
• Ungarn: Gesetz Nr. XXIII von 2023 über Cybersicherheitszertifizierung und Cybersicherheitsaufsicht
• Italien: Gesetzesdekret Nr. 138 vom 4. September 2024
• Lettland: Nationales Cybersicherheitsgesetz
• Litauen: Cybersicherheitsgesetz Nr. XII-1428
• Rumänien: Dringlichkeitsverordnung Nr. 155/2024 zur Schaffung eines Rahmens für die Cybersicherheit von Netzen und Informationssystemen im nationalen zivilen Cyberraum
• Slowakei: Gesetz Nr. 366/2024 zur Änderung bestehender Cybersicherheitsvorgaben
• Finnland: Cybersicherheitsgesetz (Kyberturvallisuuslaki)

So beträchtlich die Fortschritte auch sind, die unterschiedlichen Umsetzungsansätze der Mitgliedstaaten in Bezug auf Durchsetzung und operative Anforderungen machen eine Schwäche von NIS2 deutlich: die starke nationale Uneinheitlichkeit.

Uneinheitliche Durchsetzung erschwert die Compliance

Anders als bei einheitlichen EU-Verordnungen haben die Mitgliedstaaten bei der Ausgestaltung der Durchsetzungsmechanismen und sogar bei der Erweiterung des Anwendungsbereichs von NIS 2 einen erheblichen Spielraum. Dadurch entsteht ein uneinheitliches regulatorisches Umfeld, das insbesondere für multinationale Unternehmen mit Standorten in mehreren EU-Staaten zur Herausforderung wird.

Unternehmen müssen mit Folgendem rechnen:

• verschiedene Definitionen der Begriffe „wesentliche“ und „wichtige“ Einrichtung
• unterschiedliche Fristen und zuständige Behörden für die Meldung von Sicherheitsvorfällen
• länderspezifische Bußgelder und Prüfanforderungen
• erweiterte Anwendbarkeit durch länderspezifische Auslegungen des Anwendungsbereichs

Daraus ergibt sich ein komplexes Geflecht aus Compliance-Anforderungen, das eine koordinierte Zusammenarbeit von Rechtsabteilung, Cybersicherheit und Risikomanagement erfordert – bei kontinuierlicher Abstimmung mit den nationalen Aufsichtsbehörden.

Erweiterter Anwendungsbereich: Mehr Einrichtungen, mehr Risiken

Ein zentraler Bestandteil von NIS2 ist der deutlich erweiterte Anwendungsbereich. Dabei unterscheidet die Richtlinie zwei Kategorien betroffener Einrichtungen.

• Wesentliche Einrichtungen: Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung
• Wichtige Einrichtungen: Postdienste, Lebensmittelproduktion, Herstellung kritischer Produkte und digitale Anbieter

Darüber hinaus unterliegen auch Drittanbieter und Lieferanten, die bei der Erbringung dieser Dienste eine zentrale Rolle spielen, den Anforderungen an das Risikomanagement und die Sorgfaltspflichten.

Hinzu kommt, dass die Mitgliedstaaten den Anwendungsbereich auf nationaler Ebene erweitern dürfen, beispielsweise um weitere Branchen oder kleinere Unternehmen. Dadurch entstehen für international tätige Unternehmen neue Compliance-Unsicherheiten. Eine zentrale Governance mit lokaler Umsetzung ist daher umso wichtiger.

 
Haftungsrisiken rücken in den Vorstand

Für Führungskräfte und Vorstandsmitglieder ist NIS2 keine rein technische Angelegenheit, sondern eine klare Führungsaufgabe. Gemäß Artikel 20 der Richtlinie sind Leitungsorgane dazu verpflichtet, Maßnahmen zur Cybersicherheit zu genehmigen und zu überwachen. Bei Verstößen droht persönliche Haftung.

Diese Regelung markiert einen grundlegenden Wandel:

• Die Verantwortung für Cybersicherheit liegt nun ausdrücklich bei den Vorständen.
• Bei Verstößen drohen persönliche Konsequenzen bis hin zur Suspendierung oder zum Ausschluss aus Führungsfunktionen.
• Die Durchsetzung wird spürbar strenger und transparenter.

Stärker durch Herausforderungen

Gleichzeitig bietet die NIS2-Richtlinie Führungskräften die Möglichkeit, die Grundlagen der Cybersicherheit im Unternehmen zu festigen – nicht nur, um die Vorgaben einzuhalten, sondern auch, um Resilienz, Vertrauen und operative Stabilität dauerhaft im Kern des Unternehmens zu verankern.

Die NIS2-Richtlinie verändert das Gefüge von Cybersicherheit und Risikomanagement in Europa grundlegend. Ihr Ziel ist eindeutig: höhere Standards, weniger Schwachstellen und mehr Verantwortung auf Führungsebene. Doch angesichts dezentraler Durchsetzung und eines weiten Anwendungsbereichs wird klar, dass Standardlösungen nicht mehr ausreichen.

Geschäfts- und Sicherheitsverantwortliche sollten jetzt handeln. NIS2 erfordert einen proaktiven, funktionsübergreifenden Ansatz mit klaren Governance-Strukturen, transparenten Meldeprozessen und verbindlicher Verantwortung auf Führungsebene.

Möchten Sie erfahren, wie die OneTrust Lösung „Tech Risk & Compliance” auch Sie unterstützen kann? Dann fordern Sie jetzt eine persönliche Demo an!