Was ist der Unterschied zwischen NIS1 und NIS2? Die wichtigsten Änderungen für Unternehmen

Die Anfänge von NIS: Entwicklung der NIS1-Richtlinie

2016 rief die Europäische Union die erste NIS-Richtlinie (Richtlinie (EU) 2016/1148) ins Leben, um ein Mindestniveau an Cybersicherheit innerhalb der EU sicherzustellen. NIS1 verpflichtete Betreiber wesentlicher Dienste und digitale Dienstleister, angemessene Sicherheitsvorkehrungen zu treffen und Sicherheitsvorfälle zu melden. Da allerdings weder der Digitalisierungsfortschritt noch die Angreifer stillstehen, wurden Anpassungen an den Inhalten und Anforderungen der Richtlinie notwendig.  

Gut zu wissen: NIS steht für Network and Information Security oder Netzwerk- und Informationssicherheit.

Gründe für die Überarbeitung von NIS1 zu NIS2

Seit 2016 hat sich die Bedrohungslage für Unternehmen in Europa erheblich verändert. Nicht nur die Anzahl der Cyberangriffe, sondern auch ihre Komplexität haben zugenommen. Neue Angriffsmethoden wie Ransomware und Angriffe auf Lieferketten machten deutlich, dass NIS1 nicht mehr ausreichte. Zudem zeigte die COVID-19-Pandemie, wie sensibel digitalisierte Gesellschaften gegenüber unerwarteten Risiken sind und dass eine stärkere Cyberresilienz unverzichtbar ist.

Unter anderem deshalb überarbeitete die EU die NIS1-Inhalte und verabschiedete Ende 2022 eine aktualisierte Version. NIS2 (Richtlinie (EU) 2022/2555) wird aktuell als NIS2UmsuCG in deutsches Recht umgesetzt.  

NIS1 vs. NIS2: Die 5 wichtigsten Hauptunterschiede

Die Überarbeitung der alten NIS-Richtlinie bedeutet für Unternehmen in erster Linie, dass die Anforderungen an ihre Informationssicherheit strenger und EU-weit harmonisiert werden. Denn bisher waren die Anforderungen innerhalb der EU nicht einheitlich geregelt, was zu Unsicherheiten in der Umsetzung führte. Darüber hinaus gibt es wichtige Änderungen in den folgenden fünf Bereichen.

1. Erweiterter Geltungsbereich

Von den Regeln der NIS1-Richtlinie waren nur bestimmte Sektoren betroffen. Die neue Richtlinie erweitert den Anwendungsbereich damit erheblich. Neben den bereits in NIS1 erfassten Sektoren wie Energie, Verkehr, Bankwesen und Gesundheitswesen, gilt NIS2 jetzt auch für Bereiche wie  

• IT- und Cloud-Dienstleistungen

• Versicherungen

• Krankenhäuser und Pharmaunternehmen

• Transport und Verkehr, einschließlich Bahn, Luftfahrt und Logistikunternehmen

• Lebensmittelproduktion und -verarbeitung

• Abfallwirtschaft und Umweltmanagement

• Behörden und öffentliche Verwaltung mit kritischen digitalen Infrastrukturen

Diese Ausweitung berücksichtigt die zunehmende Vernetzung und Abhängigkeit verschiedener Branchen digitaler Infrastrukturen.  

Wichtige Kriterien zur Bestimmung der Betroffenheit sind neben der Branche auch die Unternehmensgröße sowie die Rolle innerhalb kritischer Infrastrukturen. Unternehmen, die personenbezogene oder sensible Daten verarbeiten, müssen sich ebenfalls mit den neuen Anforderungen auseinandersetzen.  

Prüfen Sie frühzeitig, ob für Ihr Unternehmen die erweiterten Regelungen der NIS2-Richtlinie gelten. Insbesondere Unternehmen mit hohem Schutzbedarf – etwa im Bereich IT, Gesundheitswesen oder Automotive – sollten umgehend eine Compliance-Strategie entwickeln. Erfahren Sie in unserem Magazin, ob Ihr Unternehmen betroffen ist.

2. Höhere Sicherheitsanforderungen

NIS2 verpflichtet Verantwortliche in Unternehmen dazu, umfassendere Sicherheitsmaßnahmen wie ein Risikomanagement zu implementieren. Es ist davon auszugehen, dass bestehende Standards wie der IT-Grundschutz oder die ISO 27001 nur einen Teil der Anforderungen abdecken, sodass zusätzliche technische und organisatorische Maßnahmen erforderlich sind.

Von NIS1 zu NIS2: Sind Sie bereit für den Umbruch?

Prüfen Sie kostenlos, ob Ihr Unternehmen von den verschärften Cybersicherheitsanforderungen der Neuauflage von NIS betroffen ist und wo Verbesserungspotenzial besteht.

Kostenlosen NIS2-Check starten

3. Strengere Meldepflichten

Die neue NIS-Richtlinie sieht erheblich verschärfte Anforderungen an die Meldung von Sicherheitsvorfällen vor:  

• Unternehmen müssen nun innerhalb von 24 Stunden nach Erkennen eines Sicherheitsvorfalls eine erste Meldung abgeben.  

• Innerhalb von 72 Stunden muss dann bereits ein detaillierter Bericht folgen, der die Ursachen des Vorfalls sowie die ersten ergriffenen Gegenmaßnahmen beschreibt.  

• Ein Abschlussbericht, der alle durchgeführten Maßnahmen dokumentiert, muss spätestens nach einem Monat vorliegen.  

Diese verschärften Meldepflichten sollen eine schnellere Reaktionsfähigkeit auf Cyberangriffe gewährleisten und eine effektivere Zusammenarbeit zwischen Unternehmen und Aufsichtsbehörden ermöglichen.

4. Stärkere Durchsetzung und Sanktionen

Wer die neuen Anforderungen nicht erfüllt, muss mit konkreten Geldstrafen rechnen: NIS2 sieht zum Beispiel bei besonders wichtigen Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor.  

Zudem erhalten die Aufsichtsbehörden weitreichendere Befugnisse, um Unternehmen zu überprüfen. Dazu gehören unangekündigte Audits und die Möglichkeit, Sofortmaßnahmen anzuordnen. Dies soll sicherstellen, dass Unternehmen die neuen Vorgaben nicht nur formal erfüllen, sondern auch aktiv umsetzen.

5. Verantwortung der Unternehmensleitung

Ein weiteres zentrales Element von NIS2 ist die stärkere Verantwortung der Unternehmensleitung. Geschäftsführer und Vorstände müssen sich aktiv mit den Anforderungen der Cybersicherheit auseinandersetzen. Dazu gehört die Pflicht, regelmäßige Schulungen zu absolvieren und sicherzustellen, dass die notwendigen Sicherheitsmaßnahmen in ihrem Unternehmen umgesetzt werden.  

Bei Verstößen gegen die Richtlinie kann die Geschäftsleitung persönlich haftbar gemacht werden. Diese neue Regelung soll gewährleisten, dass Cybersicherheit nicht nur eine technische, sondern auch eine strategische Priorität auf Führungsebene wird.

Das können Manager jetzt tun: Verantwortliche sollten sich rund um NIS2 und ihre Aufgaben im Zusammenhang mit der Richtlinie beraten lassen, um Haftungsfallen zu vermeiden.  

Welche Herausforderungen kommen beim Umstieg von NIS1 auf NIS2 auf Unternehmen zu?

Die NIS2-Richtlinie sauber umzusetzen, ist für Unternehmen und ihre Führungsebene unverzichtbar. Die Herausforderung besteht darin, die Betroffenheit der eigenen Organisation zu prüfen und gegebenenfalls die Einhaltung der erweiterten Sicherheitsanforderungen sicherzustellen.  

Dafür müssen interne Prozesse angepasst werden, um die neuen Meldepflichten fristgerecht erfüllen zu können. Unternehmen, die über komplexe Verbundstrukturen mit mehreren Standorten verfügen, stehen dabei vor besonderen Herausforderungen, da die Einhaltung der Richtlinie an allen Standorten sichergestellt werden muss.

Fazit: NIS2 als Chance sehen und rechtzeitig umsetzen

Trotz ihrer im Vergleich zu NIS1 deutlich gestiegenen Anforderungen bietet die NIS2-Richtlinie auch Chancen: Wer frühzeitig in Cybersicherheit investiert, kann nicht nur hohe Strafen vermeiden, sondern sich auch als verlässlicher Partner im Markt positionieren. Durch die Umsetzung der neuen Sicherheitsmaßnahmen erhöhen Sie Ihre Widerstandsfähigkeit gegenüber Cyberangriffen und verbessern Ihre regulatorische Compliance.  

NIS2 ist somit nicht nur eine Verpflichtung, sondern auch eine Gelegenheit, die eigene IT-Sicherheitsstrategie zukunftssicher zu gestalten. Wir unterstützen Sie gern dabei, die Richtlinie effizient und neben dem Tagesgeschäft umzusetzen.