Wie können sich Unternehmen systematisch vor Hackern schützen? NIS2 und VdS 10100 bieten systematische Blaupausen für die zukünftige IT-Sicherheit. Wer sie ignoriert, dem drohen unkalkulierbare Haftungsrisiken.

Die Bedrohungslandschaft im Bereich der Cybersicherheit entwickelt sich rasant. Angesichts der zunehmenden Komplexität und Häufigkeit von Cyberangriffen, die nicht nur Unternehmen, sondern auch kritische Infrastrukturen betreffen, hat die Europäische Union ihre Gesetzgebung zur Netz- und Informationssicherheit überarbeitet. Das Ergebnis ist die NIS2-Richtlinie, die am 16. Januar 2023 in Kraft getreten ist und bis zum 17. Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden sollte. Was auf den ersten Blick wie Bürokratie aussieht, sind für jedes betroffene Unternehmen lebensnotwendige Schutzmaßnahmen. Geschäftsführer, welche diese Anpassungen fahrlässig versäumen, übernehmen ein unkalkulierbares Haftungsrisiko.

Was Ist NIS2?

Die Network and Information Security Directive 2 (kurz NIS2) ist eine Richtlinie der EU, die in nationales Recht überführt werden muss. Mit ihrer Umsetzung in deutsches Recht werden mehr als 30.000 Unternehmen zu umfassenden Maßnahmen im Bereich Cybersecurity verpflichtet.

Sie zielt darauf ab, das allgemeine Cybersicherheitsniveau innerhalb der EU zu erhöhen und eine gemeinsame, robuste Antwort auf Cyberbedrohungen zu gewährleisten. Die Richtlinie reagiert auf die wachsende Vernetzung und Digitalisierung sowie auf die Erfahrungen aus der ersten NIS-Richtlinie, die in Bezug auf den Anwendungsbereich und die Sanktionen als zu lasch empfunden wurde.

Wer Ist von NIS2 betroffen?

Der Anwendungsbereich von NIS2 wurde erheblich erweitert und ist nicht mehr auf „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ beschränkt. Stattdessen unterscheidet NIS2 zwischen „wesentlichen Einrichtungen“ (Essential Entities – EE) und „wichtigen Einrichtungen“ (Important Entities – IE). Die Kriterien hierfür basieren hauptsächlich auf der Sektor- und Größenklassifizierung (Mitarbeiterzahl und Jahresumsatz).

Zu den betroffenen Sektoren gehören u. a.:

• Energie: Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff
• Verkehr: Luftfahrt, Schifffahrt, Eisenbahn, Straßenverkehr
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen: Gesundheitsdienstleister, pharmazeutische Industrie, Arzneimittelforschung
• Trinkwasser und Abwasser
• Digitale Infrastrukturen: Internet-Knoten, DNS, TLD-Register, Cloud- und Hostingdienste
• Verwaltung öffentlicher Dienste, Raumfahrt, Abfallwirtschaft
• Herstellung kritischer Güter: Medizinprodukte, Chemikalien, Lebensmittel
• Digitale Dienste: Online-Marktplätze, Suchmaschinen, soziale Netzwerke

Unternehmen können eine systematische Betroffenheitsprüfung des BSI durchführen, um herauszufinden, ob sie betroffen sind.

Die NIS2-Richtlinie legt eine Reihe verbindlicher Pflichten für alle betroffenen Einrichtungen (sowohl „wesentliche“ als auch „wichtige“ Einrichtungen) fest, die darauf abzielen, das Cybersicherheitsniveau in der gesamten EU zu erhöhen. Hier sind die Kernpflichten, die sich aus NIS2 ergeben:

• Technisch-organisatorische Maßnahmen zur Abwehr von Cyberangriffen (z.B. Risikoanalysen, BCM, Zugangskontrollen, Verschlüsselung) sind zu ergreifen.
• Schulungspflicht: Geschäftsführungen betroffener Unternehmen müssen sich regelmäßig (alle 3 Jahre) fortbilden – zum Beispiel mit unserer NIS-2-Schulung.
• Registrierungs- und Meldepflicht: Unternehmen müssen sich bei der zuständigen Behörde (BSI) registrieren und erhebliche IT-Sicherheitsvorfälle unverzüglich melden.
• Haftung des Managements: Geschäftsleitungen haften persönlich für die Umsetzung.
• Prüfung der Einhaltung der Verpflichtung ist jederzeit möglich (für besonders wichtige Einrichtungen) bzw. die Prüfung bei Verdacht der Nichteinhaltung (für wichtige Einrichtungen)

Achtung! Die detaillierte Ausgestaltung dieser Pflichten erfolgt im nationalen Umsetzungsgesetz der jeweiligen EU-Länder (in Deutschland voraussichtlich das NIS2UmsuCG). Entscheidend ist daher nicht allein die Richtlinie, sondern auch die nationalen Bestimmungen, sobald diese in Kraft getreten sind. Grundsätzlich sind alle mittleren und großen Unternehmen in diesen Sektoren betroffen, d. h. Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro.

Durch VdS 10100 heute schon NIS2 umsetzen

Durch die VdS 10100 können betroffene Unternehmen bereits heute Maßnahmen ergreifen, um die Anforderungen der NIS2 umzusetzen und sich proaktiv auf die neuen regulatorischen Vorgaben vorzubereiten.

Die Richtlinie bietet eine praxisnahe und skalierbare Grundlage für die Umsetzung der NIS2-Anforderungen. Besonders für mittelständische Unternehmen konzipiert, eignet sich die VdS 10100 jedoch auch für Unternehmen jeder Größe. Ebenso wie bei der VdS 10000 besteht auch hier die Möglichkeit, eine Zertifizierung durch die VdS Schadenverhütung GmbH zu erlangen.

Die Veröffentlichung der VdS 10100 erfolgt in zeitlicher Abstimmung mit dem erwarteten Inkrafttreten des NIS2UmsuCG.

Wesentliche Merkmale der VdS 10100:

• Praxisorientierte Umsetzung: Die Richtlinie ermöglicht eine effiziente und klare Umsetzung der NIS2-Vorgaben.
• Flexibles Konzept: Basierend auf dem Prinzip „So wenig wie möglich, so viel wie nötig!“ lässt sich die VdS 10100 an die jeweiligen Unternehmensbedürfnisse anpassen.
• Ergänzung zur VdS 10000: Die Richtlinie baut auf der etablierten VdS 10000 auf. Unternehmen, die diese bereits umgesetzt haben, profitieren von einer soliden Basis für NIS2.
• Kerninhalte:
  • Netzwerkmanagement
  • Datensicherung
  • Umgang mit Sicherheitsvorfällen
  • Einsatz von Cloud-Lösungen

Durch die Kombination von VdS 10000 und VdS 10100 können Unternehmen so ihre Informationssicherheit gezielt stärken, die Anforderungen der NIS2-Richtlinie erfüllen und sich frühzeitig auf künftige regulatorische Entwicklungen vorbereiten. Je eher dies passiert, umso besser, denn Hackern ist es egal, wann ein neues Gesetz in Kraft tritt.

Falls Ihr Unternehmen für die Durchführung eines solchen Projektes ein erfahrenes Expertenteam braucht, stehen Ihnen PeschMann Consulting und MEMOCINE als Projektpartner an Ihrer Seite. Dies gilt auch für das sich dann anschließende Change Management, um das Einhalten der IT-Sicherheitsmaßnahmen gemäß NIS2 und VdS 10100. Gerne beraten wir Sie zu möglichen Fördermitteln.

NIS2 – Die wichtigsten Fragen & Antworten für Unternehmen

Was ist NIS2 einfach erklärt?

NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie verpflichtet Unternehmen zu konkreten Sicherheitsmaßnahmen, Meldepflichten und Management-Verantwortung, um Cyberangriffe besser zu verhindern und zu bewältigen.

Wann tritt NIS2 in Kraft?

Welche Unternehmen sind von NIS2 betroffen?

Betroffen sind vor allem:

• Mittelständische und große Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz)
• Unternehmen aus kritischen und wichtigen Sektoren wie Energie, Gesundheit, IT, Verkehr oder Finanzwesen

Insgesamt betrifft NIS2 in Deutschland über 30.000 Unternehmen.

Wie kann ich prüfen, ob mein Unternehmen unter NIS2 fällt?

Unternehmen können eine Betroffenheitsprüfung beim BSI durchführen. Entscheidend sind:

• Branche (z. B. kritische Infrastruktur)
• Unternehmensgröße
• Rolle in der Lieferkette

Welche Pflichten bringt NIS2 mit sich?

Unternehmen müssen:

• IT-Sicherheitsmaßnahmen umsetzen (z. B. Risikoanalysen, Zugriffskontrollen, Verschlüsselung)
• Cybervorfälle melden
• sich registrieren
• Schulungen für die Geschäftsführung durchführen
• Compliance nachweisen können

Welche Strafen drohen bei NIS2-Verstößen?

Bei Verstößen drohen:

• hohe Bußgelder
• persönliche Haftung der Geschäftsführung
• Reputationsschäden

Besonders kritisch: Geschäftsleitungen sind direkt verantwortlich.

Was bedeutet NIS2 für Geschäftsführer und Management?

Die Geschäftsführung trägt persönliche Verantwortung für die Umsetzung der Cybersicherheit. Regelmäßige Schulungen sind verpflichtend, und Versäumnisse können haftungsrechtliche Konsequenzen haben.

Wie können sich Unternehmen konkret vor Hackern schützen?

Wichtige Maßnahmen sind:

• Einführung eines Informationssicherheitsmanagementsystems (ISMS)
• regelmäßige Backups
• Zugriffskontrollen & Multi-Faktor-Authentifizierung
• Mitarbeiterschulungen
• Notfall- und Incident-Response-Pläne

Was ist die VdS 10100 und warum ist sie relevant?

Die VdS 10100 ist ein praxisnaher Standard zur Umsetzung von NIS2-Anforderungen. Sie bietet Unternehmen eine konkrete Anleitung, um Cybersicherheitsmaßnahmen strukturiert umzusetzen.

Welche Vorteile bietet die VdS 10100 für Unternehmen?

• Klare und praxisorientierte Umsetzung von NIS2
• Skalierbar für Mittelstand und große Unternehmen
• Möglichkeit zur Zertifizierung
• Schneller Einstieg in regulatorische Compliance

Wie hängt die VdS 10100 mit der VdS 10000 zusammen?

Die VdS 10100 baut auf der VdS 10000 auf. Unternehmen mit bestehender VdS 10000-Struktur können NIS2 deutlich schneller und effizienter umsetzen.

Welche Bereiche deckt die VdS 10100 ab?

• Netzwerkmanagement
• Datensicherung
• Umgang mit Sicherheitsvorfällen
• Cloud-Sicherheit

Warum ist NIS2 auch für nicht direkt betroffene Unternehmen relevant?

Auch indirekt betroffene Unternehmen (z. B. Zulieferer) müssen Sicherheitsstandards erfüllen, da sie Teil kritischer Lieferketten sind.

Wie sollten Unternehmen jetzt auf NIS2 reagieren?

• Betroffenheit prüfen
• Gap-Analyse durchführen
• Sicherheitsmaßnahmen priorisieren
• Schulungen starten
• ggf. externe Experten einbinden

Warum sollten Unternehmen nicht auf die finale Gesetzgebung warten?

Cyberangriffe passieren unabhängig von gesetzlichen Fristen. Frühes Handeln reduziert Risiken, Haftung und Kosten erheblich.