NIS2 verständlich erklärt: Auswirkungen auf Ihr Unternehmen und wie Sie sich vorbereiten

Was ist NIS2?

NIS2 ist die aktualisierte Cybersicherheitsrichtlinie der EU. Ihr Ziel ist es, das Sicherheitsniveau für Netzwerke und Informationssysteme in der gesamten Union deutlich zu erhöhen. Die Richtlinie erweitert den Kreis der betroffenen Unternehmen, verschärft die Anforderungen an die Meldung von Sicherheitsvorfällen und definiert klare Erwartungen, wie Unternehmen Cyberrisiken im Alltag managen sollen.

NIS2 bedeutet jedoch auf geschäftlicher Ebene mehr als nur zusätzliche Sicherheitskontrollen. 

NIS2 steht für einen Wandel hin zu nachweisbarer Cyber-Governance: Unternehmen müssen belegen, dass sie Risiken aktiv managen, Vorfälle konsistent behandeln und die Verantwortung auf der richtigen Führungsebene liegt.

OneTrust unterstützt diesen Wandel mit einer zentralen, strukturierten Lösung, die Cyberrisiken, Incident-Workflows, die Überwachung von Drittparteien und Governance-Nachweise effizient zusammenführt. So erfüllen Sie die NIS2-Anforderungen mit wiederholbaren Prozessen statt mit Ad-Hoc-Koordination zwischen Teams.

Für wen gilt NIS2?

Die Richtlinie erweitert ihren Anwendungsbereich auf Unternehmen aus deutlich mehr Branchen. Dabei wird grundsätzlich zwischen „wesentlichen“ und „wichtigen“ Einrichtungen unterschieden, für die unterschiedliche Anforderungen an Aufsicht und Durchsetzung gelten.

So können Sie den Anwendungsbereich praktisch einschätzen:

• Wenn Ihr Unternehmen kritische Dienstleistungen, nationale Infrastruktur, wichtige digitale Dienste oder groß angelegte Produktion und Logistik unterstützt, sollten Sie davon ausgehen, dass NIS2 für Sie gilt, bis das Gegenteil bestätigt wurde.
• Wenn Sie Produkte oder Dienstleistungen an regulierte oder kritische Branchen liefern, kann NIS2 ebenfalls für Sie relevant sein. In diesem Fall greifen die Anforderungen über die Lieferkette hinweg, selbst wenn Ihr Unternehmen nicht direkt als verpflichtete Einrichtung eingestuft ist.

Die Mitgliedstaaten sind außerdem dazu verpflichtet, Listen der wesentlichen und wichtigen Einrichtungen zu erstellen und diese regelmäßig zu aktualisieren.

Was bedeuten die Einstufungen „wesentlich“ und „wichtig“?

In der Regel werden Sektoren, die mit kritischer Infrastruktur und Diensten mit hohem Einfluss verbunden sind, als „wesentlich“ eingestuft. Die Kategorie „wichtig“ umfasst zusätzliche, in der Wirtschaft weit verbreitete Branchen. Die genaue Einstufung und die Schwellenwerte hängen von der nationalen Umsetzung ab.

Zu den typischen Sektoren im Anwendungsbereich von NIS2 zählen Energie, Transportwesen, Gesundheitswesen, digitale Infrastruktur und andere kritische Dienstleistungen.

Wenn Ihr Unternehmen in mehreren EU-Ländern tätig ist, sollten Sie nicht davon ausgehen, dass die Auslegung überall gleich ist. NIS2 soll die Erwartungen zwar harmonisieren, doch die Durchsetzung erfolgt auf nationaler Ebene.

Kernanforderungen von NIS2

NIS2 verschärft die Erwartungen in mehreren zentralen Bereichen: Dazu gehören Risikomanagement, die Meldung von Sicherheitsvorfällen, die Überwachung von Drittparteien und die Governance-Verantwortung. Diese Anforderungen sind bewusst breit gefasst, denn es kommt weniger darauf an, welche Tools Sie einsetzen, sondern vielmehr darauf, ob Ihre Governance in der Praxis funktioniert.

Was Führungskräfte in jedem NIS2-Programm unbedingt einplanen sollten:

1) Maßnahmen zum Management von Cybersicherheitsrisiken

NIS2 verlangt von Unternehmen, dass sie geeignete Maßnahmen ergreifen, um Cyberrisiken über Systeme, Dienste und Geschäftsabläufe hinweg effektiv zu managen. In der Praxis bedeutet das Folgendes: Ihre Kontrollen sollten

• dokumentiert sein, damit die Erwartungen klar sind
• konsistent umgesetzt werden, d. h. nicht selektiv oder informell
• regelmäßig überprüft werden, da sich Bedrohungen, Systeme und Geschäftsmodelle verändern

Diese Anforderung geht über das bloße Erstellen von Richtlinien oder die Ausrichtung an einem Rahmenwerk hinaus. Die Aufsichtsbehörden erwarten Nachweise dafür, dass das Risikomanagement fest in den täglichen Betrieb integriert ist, dass Kontrollen klar zugeordnet, getestet und aktualisiert werden und dass Lücken erkannt und im Laufe der Zeit geschlossen werden.

Mit anderen Worten: Es geht weniger darum, die „richtige” Richtlinie zu haben, sondern vielmehr darum, belegen zu können, dass das Risikomanagement aktiv und wirksam umgesetzt wird.

2) Verpflichtungen zur Meldung von Sicherheitsvorfällen mit engen Fristen

Mit NIS2 wird ein strukturiertes Modell für die Meldung von Sicherheitsvorfällen eingeführt. Dieses umfasst:

• eine Frühwarnung innerhalb von 24 Stunden
  
• eine detaillierte Meldung des Vorfalls innerhalb von 72 Stunden
  
• einen Abschlussbericht innerhalb eines Monats

Die Einhaltung dieser Fristen stellt nicht nur die Sicherheitsabteilung vor eine Herausforderung. Sie erfordert eine enge Abstimmung im gesamten Unternehmen – und das während des laufenden Vorfalls.

Damit die Meldung reibungslos funktioniert, benötigen Unternehmen:

• klare Schwellenwerte, ab denen ein Vorfall als meldepflichtig gilt
  
• definierte Verantwortliche und Eskalationswege
  
• die Möglichkeit, Fakten, Entscheidungen und Nachweise in Echtzeit zu erfassen
• Koordination zwischen den Bereichen Sicherheit, Recht, Datenschutz, Kommunikation und der Führungsebene

Ohne diese Struktur wird die Berichterstattung reaktiv und inkonsistent. Dadurch steigen sowohl das regulatorische als auch das Reputationsrisiko.

3) Lieferketten- und Drittparteienmanagement 

NIS2 legt einen verstärkten Fokus auf Risiken in der Lieferkette und bei Drittparteien, was die hohe Abhängigkeit vieler Unternehmen von externen Dienstleistern widerspiegelt.

Dazu gehören Anbieter, die:

• kritische Systeme hosten oder verwalten
  
• Cloud- oder verwaltete Dienste bereitstellen
  
• sensible oder operative Daten verarbeiten
• Kernprozesse oder kundenorientierte Dienste unterstützen
  

Für Unternehmen, die stark auf ausgelagerte IT oder Cloud-Dienste setzen, verändert NIS2 die Erwartungen grundlegend: Anstelle gelegentlicher Bewertungen ist eine kontinuierliche Überwachung erforderlich. Das Management von Drittparteien darf nicht länger als jährlicher Fragebogen oder einfacher Haken im Beschaffungsprozess betrachtet werden. Vielmehr muss es eng mit den tatsächlichen operativen Abhängigkeiten, Risikobewertungen und der Vorbereitung auf Sicherheitsvorfälle verknüpft sein.

4) Verantwortlichkeit der Führungskräfte

In NIS2 wird die Bedeutung von Governance und Rechenschaftspflicht auf Managementebene ausdrücklich betont. Demzufolge ist Cyber-Resilienz nicht mehr nur Aufgabe der IT-Abteilung, sondern auch Verpflichtung der Führungskräfte.

Dazu gehört, dass Führungskräfte:

• Risikomanagement-Maßnahmen genehmigen
  
• wesentliche Cyberrisiken verstehen
• die Reaktion auf Sicherheitsvorfälle und die Meldung darüber überwachen
• nachweislich fundierte Entscheidungen treffen 

Dies stellt in der Praxis für viele Unternehmen die größte Hürde dar. Nicht, weil Führungskräfte kein Interesse zeigen, sondern weil die Verantwortung oft auf verschiedene Teams und Systeme verteilt ist. Fehlt ein klares Betriebsmodell, basiert die Transparenz des Managements auf manuellen Berichten, uneinheitlichen Kennzahlen und nachträglichen Zusammenfassungen. All das sind Ansätze, die einer strengen Prüfung nicht standhalten.

Genau hier kommt OneTrust ins Spiel: Die Plattform verschafft Führungskräften eine klare, durchgängige Sicht auf Cyberrisiken, Sicherheitsvorfälle und Verantwortlichkeiten im gesamten Unternehmen, sodass sie sich nicht auf mühsame Ad-hoc-Berichte verlassen müssen.

Wie NIS2 durchgesetzt wird

NIS2 ist eine Richtlinie, die von jedem EU-Mitgliedstaat in nationales Recht überführt und durch eigene Behörden umgesetzt werden muss. Die EU hat den 17. Oktober 2024 als Frist gesetzt, doch die Umsetzung verläuft bislang uneinheitlich, ebenso wie die Ansätze zur Durchsetzung.

Für Unternehmen ist das relevant: Es gibt kein zentrales Regelwerk, sondern je nach Standort, Art der erbrachten kritischen Dienstleistungen und zuständiger Aufsichtsbehörde variierende Erwartungen. Langfristig wird eine stärkere Harmonisierung erwartet, kurzfristig müssen Organisationen jedoch weiterhin mit Unterschieden rechnen.

Was das für Unternehmen bedeutet:

• Sie müssen die NIS2-Anforderungen in allen Ländern, in denen Sie tätig sind oder kritische Dienstleistungen erbringen, im Blick behalten.
  
• Sie sollten mit Unterschieden bei den Registrierungsprozessen, dem Fokus der Aufsichtsbehörden und der Art der Durchsetzung rechnen.
  
• Für grenzüberschreitend agierende Unternehmen ist eine Governance-Struktur entscheidend, die nationale Unterschiede auffängt, ohne dass separate Compliance-Programme oder doppelte Kontrollen für jedes Land erforderlich sind.

Warum NIS2 zur Governance-Herausforderung wird

Ein häufiger Fehler besteht darin, NIS2 als reine technische Checkliste oder als reines Sicherheitsprojekt zu betrachten. Zwar sind starke Cybersecurity-Fähigkeiten unverzichtbar, doch im Kern geht es bei NIS2 darum, wie Unternehmen Cyberrisiken steuern, und nicht nur darum, wie sie Bedrohungen erkennen.

NIS2 zwingt Unternehmen in der Praxis dazu, verschiedene Funktionen enger zu verzahnen, also Bereiche, die bisher selten unter einem einheitlichen Modell arbeiten:

• Security Operations: verantwortlich für Erkennung, Reaktion und Monitoring
  
• Risk & Compliance: zuständig für Kontrollen, Berichte und regulatorische Ausrichtung
  
• Beschaffung: Auswahl von Dienstleistern und Kontrolle von Drittparteien
• Recht & Datenschutz: Bewertung der Auswirkungen von Vorfällen und der damit verbundenen Meldepflichten
• Unternehmensführung: verantwortlich für Aufsicht, Rechenschaft und den Nachweis wirksamer Governance

Wenn diese Teams isoliert arbeiten, entstehen schnell Lücken. Selbst Unternehmen mit ausgereiften Sicherheitsprogrammen haben oft Probleme damit, die von den Aufsichtsbehörden erwarteten Ergebnisse zu erzielen.

Die Folgen sind absehbar:

• Vorfallmeldungen erfolgen langsam, uneinheitlich oder unvollständig
  
• Nachweise sind über Tools, Postfächer und Tabellen verstreut
  
• Lieferantenrisiken werden losgelöst von der tatsächlichen operativen Gefährdung bewertet
  
• Die Führungsebene bleibt die Antwort schuldig: Sind wir wirklich bereit und wie lässt sich das nachweisen?

Die NIS2-Bereitschaft sollte daher nicht als einmalige Compliance-Aufgabe, sondern als durchgängiges Governance-Programm verstanden werden. Das Ziel besteht nicht nur darin, auf Vorfälle zu reagieren, sondern auch nachzuweisen, wie Cyberrisiken im gesamten Unternehmen konsequent gesteuert, eskaliert und überprüft werden. 

Was Unternehmen jetzt tun sollten

Jetzt aktiv zu werden, bedeutet nicht, die NIS2-Compliance sofort vollständig umzusetzen. Vielmehr geht es darum, Fähigkeiten aufzubauen, die eine schnelle Umsetzung unter Druck ermöglichen und langfristig eine nachhaltige Compliance gewährleisten.

1) Klären Sie Anwendungsbereich und Verantwortlichkeiten

Prüfen Sie, ob Ihr Unternehmen in den Ländern, in denen Sie tätig sind und kritische Dienste bereitstellen, voraussichtlich als wesentliche oder wichtige Einrichtung eingestuft wird. Benennen Sie außerdem eine Person, die klar für die NIS2-Koordination verantwortlich ist – idealerweise eine bereichsübergreifende Führungskraft, die die Bereiche Sicherheit, Risiko, Recht und Betrieb miteinander verbindet.

2) Erstellen Sie einen berichtsfähigen Incident-Workflow

Um die Meldefristen von 24 Stunden, 72 Stunden bzw. 30 Tagen einzuhalten, ist eine sorgfältige Vorbereitung notwendig, die vor Eintritt des Vorfalls erfolgt. 

Dazu gehören:

• klare interne Kriterien dafür, was als meldepflichtiger Vorfall gilt
• festgelegte Eskalationswege und Entscheidungsbefugnisse
• vorab definierte Rollen, Vorlagen und Kommunikationsprozesse
• ein Verfahren zur Erfassung von Fakten, Entscheidungen und Nachweisen während des Ereignisses

3) Etablieren Sie das Management von Drittparteien als kontinuierlichen Prozess

Identifizieren Sie Ihre wichtigsten Anbieter und verknüpfen Sie die Risiken von Drittparteien mit den tatsächlichen betrieblichen Abhängigkeiten, die sich aus Systemen, Zugriffsmöglichkeiten, Daten und Diensten ergeben. Überprüfungen sollten wiederholbar, risikobasiert und mit der Bereitschaft für Zwischenfälle verbunden sein. Sie sollten sich nicht auf jährliche Fragebögen beschränken.

4) Schaffen Sie eine zentrale Quelle für Governance-Nachweise

Genau hier scheitern viele Programme. NIS2 verlangt von Unternehmen nicht nur, dass sie Risiken managen, sondern auch, dass sie nachweisen, dass sie dies tun.

Ein einheitlicher Governance-Ansatz schafft die Verbindung zwischen den folgenden Bereichen:

• Kontrollen
  
• Vorfällen
• Aufsicht über Anbieter
• Verantwortlichkeiten und Genehmigungen
• Nachweisen und Berichterstattung

OneTrust lässt sich nahtlos integrieren und bietet Unternehmen eine strukturierte Möglichkeit, Risiken, Compliance-Workflows, die Überwachung von Drittanbietern sowie Governance-Nachweise zentral zu steuern. So können Sie Ihre NIS2-Bereitschaft gemäß den nationalen Vorgaben und den Erwartungen der Aufsichtsbehörden ausbauen, ohne Programme von Grund auf neu entwickeln zu müssen.

Der Mehrwert liegt in der operativen Konsistenz und nicht in einem weiteren Tool.

Von der Pflicht zum Vorteil – NIS2 als Chance für Ihr Unternehmen

NIS2 ist Teil eines grundlegenden Wandels in der EU-Regulierung: Cyber-Resilienz ist heute eine zentrale Erwartung auf Vorstandsebene und nicht mehr nur eine Aufgabe der IT im Hintergrund. Die Aufsichtsbehörden prüfen nicht mehr nur, ob Kontrollen vorhanden sind, sondern auch, ob Unternehmen jederzeit belegen können, wie sie Cyberrisiken steuern, eskalieren und regelmäßig überprüfen.

Unternehmen, die NIS2 als einmaligen Compliance-Sprint betrachten, stoßen oft auf dieselben Probleme:

• Doppelarbeit in verschiedenen Ländern und Teams
• uneinheitliche Meldung und Überwachung von Vorfällen
• lückenhafte oder fragile Nachweisketten
• größere Störungen bei Vorfällen unter regulatorischer Beobachtung

Unternehmen, die in eine wiederholbare Governance mit klaren Verantwortlichkeiten, abgestimmten Workflows und verknüpften Nachweisen investieren, sind deutlich besser gerüstet, um wachsende Anforderungen zu erfüllen. Sie müssen weniger Zeit in die Überarbeitung von Prozessen investieren, können Vorfälle souveräner bewältigen und senken langfristig die Kosten und Reibungsverluste in der Compliance.

Genau hier setzt 

OneTrust mit einem nachhaltigen Ansatz für die NIS2-Bereitschaft an.

Mit einer konsistenten Lösung zur Steuerung von Cyberrisiken, Vorfällen, der Aufsicht über Drittanbieter und Governance-Nachweisen verwandelt OneTrust regulatorischen Druck in operative Stabilität, sodass die Resilienz Ihres Unternehmens wächst.

Erfahren Sie, wie ein Governance-orientierter Ansatz Ihr Unternehmen auf NIS2 vorbereitet und sicherstellt, dass Sie auch künftig allen Erwartungen gerecht werden.

Häufig gestellte Fragen