Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist eine europaweite Vorgabe zur Verbesserung der Informations- und Cybersicherheit in Unternehmen. Sie ersetzt die frühere NIS-Richtlinie und soll ein höheres, gemeinsames Schutzniveau für Netz- und Informationssysteme in der EU sicherstellen.
Geltungsbereich & Betroffenheit
NIS-2 gilt grundsätzlich für Betriebe, die bestimmte IT- und digitale Dienste anbieten oder eine besondere Bedeutung für die Gesellschaft und Wirtschaft haben. Entscheidend sind dabei zwei Kriterien:
- Branche / Tätigkeit: z. B. Energieversorgung, Verkehr, Gesundheitswesen, digitale Dienste, Lebensmittelversorgung
- Unternehmensgröße: In der Regel mindestens 50 Mitarbeitende und zusätzlich ein Jahresumsatz von mehr als 10 Mio. € oder eine Bilanzsumme von über 10 Mio. € (maßgeblich ist zudem die Einordnung in einen der betroffenen Sektoren).
Viele Handwerksbetriebe fallen nicht automatisch in den direkten Anwendungsbereich. Betroffen sein können aber Betriebe, die:
- kritische Dienstleistungen erbringen,
- indirekt betroffen sind, da sie Teil der Lieferkette eines betroffenen Unternehmens sind oder
- aufgrund ihrer Größe und Tätigkeit den Schwellenwert überschreiten.
Falls Sie die Betroffenheit Ihres Betriebes testen möchten, bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Online-Selbsttest an. Diesen finden Sie hier: NIS-2 Betroffenheitsprüfung. Alternativ können Sie auch auf den Digitalisierungsberater der Handwerkskammer Ulm, Herr Benjamin Reiner, beratung@hwk-ulm.de zugehen, um sich eine Einschätzung bzgl. Ihrer Betroffenheit von NIS-2 einzuholen.
Welche Anforderungen bringt NIS-2 mit sich?
Wenn Ihr Betrieb von NIS-2 betroffen ist, gelten strengere Anforderungen an die Informations- und IT-Sicherheit. Das sind unter anderem:
Risikomanagement und Schutzmaßnahmen
- Etablierung von technischen und organisatorischen Maßnahmen zur Abwehr von Cyberbedrohungen.
- Kontinuierliches Monitoring und regelmäßige Risikoanalysen.
Meldepflichten
- Schwerwiegende IT-Sicherheitsvorfälle müssen zeitnah an die zuständige nationale Behörde gemeldet werden.
Registrierung
- Betroffene Betriebe müssen sich im BSI-Portal anmelden. Die Registrierung muss spätestens innerhalb von 3 Monaten erfolgen, nachdem eine Einrichtung erstmals oder erneut NIS-2-betroffen ist. Für bereits jetzt betroffene Betriebe gilt die 3-Monats-Frist ab Inkrafttreten des deutschen Umsetzungsgesetzes vom 6. Dezember 2025. Eine Registrierung muss folglich bis zum 6. März 2026 erfolgen.
Verantwortung der Geschäftsführung
- Die Betriebsleitung ist verpflichtet, Cybersicherheit zur Chefsache zu machen.
- Dazu gehören Schulungen, regelmäßige Berichte über Risiken und die Sicherstellung wirksamer Schutzkonzepte.
Was bedeutet das für Handwerksbetriebe?
- Direkte Pflicht zur Umsetzung aller NIS-2-Anforderungen trifft meist mittelgroße bis große Betriebe mit relevanten Dienstleistungen.
- Indirekt wichtig: Auch kleinere Betriebe sollten sich mit den Grundprinzipien der Informationssicherheit auseinandersetzen. Cyber-Angriffe können unabhängig von gesetzlichen Vorgaben schwere betriebliche Schäden verursachen. Die Handwerkskammer Ulm bietet deshalb einen kostenlosen Cybersicherheitscheck an, bei welchem die Umsetzung von Basisschutzmaßnahmen in Ihrem Betrieb im Fokus steht. Bei Interesse melden Sie sich gern.
Das BSI hat zudem verschiedene weiterführende Informationen zu NIS-2 und dem deutschen Umsetzungsgesetz zur Verfügung gestellt. Diese finden Sie hier: BSI – #nis2know-Infopakete
