Die Europäische Union verschärft mit der überarbeiteten NIS-2-Richtlinie das Fundament der europäischen Cybersicherheit. Während die erste Fassung der Richtlinie absichtlich breit und teilweise interpretationsbedürftig gehalten war, setzt NIS-2 auf klare Verantwortlichkeiten, verbindliche Mindeststandards und eine massiv ausgeweitete Liste betroffener Branchen. Für Unternehmen bedeutet das einen Paradigmenwechsel im Umgang mit Risiken, Prozessen und digitaler Resilienz.

2025 wird für zahlreiche Betriebe entscheidend. Auch wenn die konkreten nationalen Gesetzgebungsprozesse in einigen EU-Ländern noch finalisiert werden, ist klar, dass die Vorgaben in vollem Umfang greifen werden. Für Unternehmen bleibt daher nur wenig Zeit, um Compliance-Lücken zu schließen und die notwendigen Maßnahmen organisatorisch wie technisch zu verankern.

Welche Unternehmen betroffen sind und warum die Zahl steigt

Eine der tiefgreifendsten Veränderungen liegt in der massiven Ausweitung des Anwendungsbereichs. NIS-2 adressiert nicht mehr ausschließlich klassische Betreiber kritischer Infrastrukturen wie Energie, Verkehr oder Telekommunikation. Stattdessen richtet sich die Richtlinie an zwei neue Kategorien, nämlich essentielle und wichtige Einrichtungen. In beiden Fällen gelten umfassende Sicherheits-, Dokumentations- und Berichtspflichten.

Betroffen sind unter anderem Sektoren wie Lebensmittelproduktion, Post- und Kurierdienste, Abfallwirtschaft, Maschinenbau, Rechenzentrumsbetrieb, digitale Marktplätze oder Anbieter cloudbasierter Dienste. Dazu gehören beispielsweise europaweit agierende Paketlogistiker, Betreiber von Rechenzentren in Frankfurt oder Amsterdam, Softwareunternehmen, die industrielle Produktionslinien steuern, sowie Onlineplattformen, die digitale Zahlungen oder Identitätsdienste verarbeiten.

Selbst Betreiber digitaler Unterhaltungsangebote wie Online Casinos, das über europäische Zahlungswege und Cloudstrukturen operiert und ohne Passkontrolle auskommt, fallen in bestimmten Konstellationen unter die erweiterten Vorgaben, da sie sensible Nutzerdaten verwalten und hohe Anforderungen an Verfügbarkeit und Integrität erfüllen müssen.

Für viele Unternehmen kommt die Erkenntnis überraschend, dass bereits die Kombination aus Branche und Unternehmensgröße genügt, um unter NIS-2 zu fallen. Betriebe mit mehr als 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz müssen, je nach Sektor, davon ausgehen, dass sie künftig in der Verantwortung stehen.

Damit wird NIS-2 zu einem Richtlinienwerk, das die gesamte europäische Wirtschaftsstruktur umfasst. Besonders für den industriellen Mittelstand bedeutet das eine grundlegend neue Auseinandersetzung mit Cyberrisiken, die weit über IT-Abteilungen hinausreicht. 

Prozessmanager sehen sich mit der Aufgabe konfrontiert, Sicherheitsverfahren tief in die Wertschöpfung zu integrieren und klare Zuständigkeiten über Abteilungsgrenzen hinweg zu definieren.

Warum NIS-2 die gesamte Wertschöpfungskette adressiert

Die letzten Jahre zeigen deutlich, dass Angreifer selten den direkten Weg wählen. Statt das Zielsystem selbst zu attackieren, nutzen sie Schwachstellen bei Dienstleistern oder in vorgelagerten Prozessen. Supply-Chain-Angriffe wie der SolarWinds-Vorfall haben verdeutlicht, wie weitreichend die Folgen einer einzigen Sicherheitslücke sein können.

NIS-2 geht deshalb weit über klassische IT-Sicherheitsmaßnahmen hinaus. Unternehmen müssen Risiken in ihrer gesamten Lieferkette strukturiert erfassen, bewerten und kontrollieren.

Das betrifft sowohl die Auswahl von Dienstleistern als auch die Gestaltung von Verträgen. Die Richtlinie verlangt nachweisbar, dass Unternehmen angemessene Sicherheitsstandards einfordern und regelmäßig überprüfen.

Für Prozessmanager bedeutet dies eine neue Tiefe an Governance. Sicherheitskritische Abläufe lassen sich nicht länger nur intern steuern, sondern müssen über Organisationen hinweg betrachtet werden.

Die Transparenzpflichten gegenüber Behörden und Geschäftspartnern verstärken diesen Trend. Firmen, die nicht nachweisen können, dass sie Prozesse angemessen abgesichert haben, riskieren Vertragskonflikte, Haftungsfragen oder Schwierigkeiten bei öffentlichen Ausschreibungen.

Technische und organisatorische Vorgaben

Die Richtlinie definiert eine Reihe verbindlicher Maßnahmen, die Unternehmen implementieren müssen. Die Anforderungen lassen bewusst Interpretationsspielräume, um technologische Entwicklungen zu berücksichtigen. Gleichzeitig schaffen sie ein Mindestniveau an Sicherheit, das für alle betroffenen Unternehmen gilt.

Es handelt sich im Kern um Maßnahmen aus folgenden Bereichen:

  • Risikomanagement und Sicherheitsstrategien
  • Überwachung und Erkennung sicherheitsrelevanter Vorfälle
  • Incident Reporting binnen definierter Fristen
  • Umgang mit Sicherheitslücken und Patches
  • Zugangskontrollen und Identitätsmanagement
  • Datenschutzniveau und Verfügbarkeit kritischer Dienste
  • Notfallplanung, Wiederherstellungsprozesse und Backup-Konzepte

Diese strukturellen Vorgaben setzen voraus, dass Sicherheitsprozesse dokumentiert, überprüfbar und in den operativen Alltag integriert sind. Unternehmen, die bisher hauptsächlich auf technische Schutzmechanismen gesetzt haben, müssen ihre organisatorischen Strukturen erweitern, also Verantwortlichkeiten klären, Schulungen durchführen, Meldeprozesse definieren und Entscheidungswege präzise festlegen.

Ein zentraler Unterschied zu früheren Anforderungen besteht in der Nachweisbarkeit. Unternehmen müssen nicht nur Maßnahmen implementieren, sondern auch dokumentieren, warum sie für das jeweilige Risikoprofil angemessen sind.

Dieser prozessorientierte Ansatz trifft insbesondere Unternehmen, bei denen bisher wenig formalisierte Sicherheitsprozesse existierten. Der Aufwand liegt daher nicht nur in der technischen Umsetzung, sondern vor allem im Aufbau belastbarer Governance-Strukturen.

Haftungsrisiken, Sanktionen und Managementverantwortung

Die Verschärfung der Haftung auf Führungsebene zählt zu den markantesten Neuerungen von NIS-2. Geschäftsführer, Vorstände und zum Teil auch leitende Fachbereiche müssen nachweisen können, dass sie angemessene Sicherheitsmaßnahmen angewiesen und deren Umsetzung überwacht haben. Unterlassene Aufsicht oder mangelnde organisatorische Vorkehrungen können zu persönlicher Haftung führen.

Die vorgesehenen Bußgelder orientieren sich am Niveau der Datenschutzgrundverordnung. Für essentielle Einrichtungen können Strafen bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen gelten geringfügig niedrigere, aber immer noch erhebliche Obergrenzen. Zusätzlich drohen operative Einschränkungen oder die Anordnung externer Sicherheitsprüfungen, falls Behörden Defizite feststellen.

Diese klare Verantwortungsverteilung führt dazu, dass Cybersicherheit stärker als bisher auf Vorstandsebene diskutiert wird. Strategische Entscheidungen, etwa der Einsatz bestimmter Dienstleister oder die Modernisierung von IT-Systemen, werden vor dem Hintergrund der NIS-2-Pflichten neu bewertet.

Prozessmanager können dabei eine Schlüsselrolle übernehmen, indem sie die notwendigen Strukturen schaffen, die für Compliance und operative Sicherheit notwendig sind.

NIS-2 ist weniger Regulierung als strategischer Wendepunkt

Die neue EU-Richtlinie ist nicht einfach ein Werkzeug zur Erhöhung von Compliance-Aufwand. Sie markiert vielmehr einen strukturellen Wandel, bei dem Unternehmen ihre bisherige Sicht auf digitale Risiken grundlegend anpassen müssen.

Cybersicherheit wird damit nicht mehr als technisches Problem verstanden, sondern als wesentlicher Bestandteil des Prozessmanagements und der Unternehmensführung.

NIS-2 stärkt die Resilienz europäischer Unternehmen in einer Zeit, in der Angriffsflächen durch Digitalisierung, Cloud-Nutzung, IoT-Integration und vernetzte Lieferketten stetig wachsen. Wer frühzeitig in klare Sicherheitsstrukturen investiert, sichert sich langfristige Vorteile, und das nicht nur in Bezug auf Compliance, sondern auch im Wettbewerb.

Die verbleibende Zeit bis zum vollständigen Wirksamwerden der Richtlinie ist begrenzt. Unternehmen, die jetzt handeln, schaffen die Grundlage für nachhaltige Sicherheit in ihren Prozessen und stärken ihre Position in einem zunehmend anspruchsvollen digitalen Umfeld.