Darauf zielt die NIS-2-Richtlinie ab
Die Richtlinie macht den EU-Mitgliedstaaten Vorgaben, um die IT-Sicherheit in der EU vor allem bei wesentlichen und wichtigen Einrichtungen zu erhöhen. So sollen alle besser gegen aktuelle und zukünftige Risiken gewappnet sein.
Weil es sich um eine Richtline handelt, bedarf es im Gegensatz zu einer Verordnung (z. B. wie bei der Datenschutz-Grundverordnung (DSGVO)) der Umsetzung in nationales Recht. Dazu hatten die Mitgliedstaaten bis Oktober 2024 Zeit.
Hier finden Sie das Regelwerk
Sie wollen sich ein eigenes Bild der NIS-2-RL machen? Die Richtlinie finden Sie auf den Seiten der EU in allen Amtssprachen, und zwar hier: https://t1p.de/txuvk.
In Deutschland noch nicht umgesetzt
Mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ sollen die Vorgaben der Richtlinie unter anderem in das BSI-Gesetz (BSIG) integriert werden. Wie schnell das Ganze geht, muss sich zeigen.
Deutschland steht hier noch immer ziemlich am Anfang des Gesetzgebungsverfahrens. Inzwischen gibt es einen Regierungsentwurf vom 25.7.2025 (https://t1p.de/m7w6u). Ob es also zum Jahresende noch etwas wird, kann niemand vorhersagen.
Über den Stand des Verfahrens können Sie sich beim Bundesinnenministerium informieren, und zwar hier: https://t1p.de/0z9vh.
Wie passt die NIS-2-RL zur DSGVO?
„Die NIS-2-RL hat mit Datenschutz nichts zu tun“ – diese Aussage ist an sich richtig, aber auch nicht so ganz. Zwar ist für den Umgang mit personenbezogenen Daten auch in Zukunft die DSGVO entscheidend.
Ergreift ein Unternehmen Schutzmaßnahmen, um etwa den Anforderungen auf Basis der NIS- 2-RL zu entsprechen, und werden dabei personenbezogene Daten verarbeitet, gelten hierfür jedoch die Rahmenbedingungen der DSGVO (Erwägungsgrund 14 zur NIS-2-RL).
Andererseits liegt auf der Hand: Viele Schutzmaßnahmen werden beide Bereiche abdecken, eben die Sicherstellung der IT-Sicherheit auf Basis der NIS-2-RL und zugleich die Gewährleistung der Umsetzung der DSGVO (z. B. Sicherheit der Verarbeitung nach Art. 32 DSGVO).
Entscheidende Frage: Ist Ihr Unternehmen betroffen?
Klar ist: Der Anwendungsbereich der NIS-2-RL bezieht mehr Unternehmen ein als die Vorgängerregelung. Unter Umständen wird der Anwendungsbereich in Deutschland mit dem NIS2UmsuCG ausgeweitet.
Weil es aber nicht klug ist, auf dieses Gesetz zu warten, sollte Ihr Unternehmen prüfen, inwieweit es schon nach den Vorgaben der NIS-2-RL die kommenden Anforderungen erfüllen muss.
Und jetzt wird es kompliziert: Entscheidend ist, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung gilt. Hierfür sind Art. 3 NIS-2-RL, die Anlagen zur NIS-2-RL sowie der Anhang der Empfehlung 2003/361/EG (https://t1p.de/q84il) zu Unternehmensgrößen entscheidend.
Außerdem wichtig: Im zukünftigen BSIG werden Festlegungen enthalten sein, was der deutsche Gesetzgeber unter besonders wichtigen Einrichtungen (entspricht dem Begriff der wesentlichen Einrichtung nach der NIS-2-RL) und wichtigen Einrichtungen versteht.
Allerdings gibt es bislang nur einen Regierungsentwurf für eine Regelung in Deutschland. Zur Betroffenheit dürfte in Deutschland wohl gelten:
Voraussetzungen für die Einstufung als besonders wichtige (= wesentliche) Einrichtung:
- mindestens 250 Mitarbeiter oder
- ein Jahresumsatz von mehr als 50 Mio. € und eine Jahresbilanzsumme von mehr als 43 Mio. € und
- Geschäftstätigkeit in einem Sektor, der in Anhang I zur NIS-2-RL aufgeführt ist. Das sind beispielsweise die Sektoren Energie, Verkehr, Bankwesen, Gesundheitswesen oder digitale Infrastruktur. Nach deutschen Vorgaben dürften das zudem kritische Anlagen sein sowie Einrichtungsarten nach der Anlage 1 zum zukünftigen BSIG.
Achtung: Manche Einrichtungen gelten generell als besonders wichtige Einrichtungen. Schauen Sie hierzu in Art. 3 NIS-2-RL bzw. in § 28 des Entwurfs zum zukünftigen BSIG. Beispielsweise bei kritischen Einrichtungen kommt es auf Mitarbeiterzahl und Umsatzzahlen nicht an.
Voraussetzungen für die Einstufung als wichtige Einrichtung:
- mindestens 50 Mitarbeiter oder
- ein Jahresumsatz von mehr als 10 Mio. € und eine Jahresbilanzsumme von mehr als 10 Mio. € und
- eine Geschäftstätigkeit in einem Bereich, der in Anhang I und II zur NIS-2-RL aufgeführt ist, die Voraussetzungen für eine wesentliche Einrichtung jedoch nicht gegeben sind (Art. 3 Abs. 3 NIS-2-RL). Zudem kann die relevante Geschäftstätigkeit in Anlage 1 und 2 des zukünftigen BSIG aufgeführt sein.
Die Folgen sind weitreichend
Ist Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung einzustufen, hat es viele Hausaufgaben zu erledigen, um die Sicherheit auf das nötige Niveau zu bringen. Das gilt erst recht, wenn Ihr Unternehmen bislang wenig in die IT-Sicherheit investiert hat.
Typische Aktivitäten sind etwa der Aufbau eines IT-Sicherheits- und Risikomanagements, das Etablieren von Standards zur Bewältigung von Zwischenfällen oder die Absicherung der Lieferketten.
Vorsicht: Anwendung durch die „Hintertür“
Auch wenn Ihr Unternehmen an sich nicht als besonders wichtige oder wichtige Einrichtung gilt, können die NIS- 2-RL bzw. die deutschen Vorgaben dennoch anzuwenden sein.
Das kann passieren, wenn Ihr Unternehmen beispielsweise IT-Dienstleister ist und ein Auftraggeber als besonders wichtige oder wichtige Einrichtung gilt.
Dann muss der Auftraggeber auch seine Lieferkette absichern. Das wiederum kann dazu führen, dass die Einhaltung der Vorgaben vertraglich vereinbart wird.
Hier heißt es also: Bei Vereinbarungen mit anderen Unternehmen genau hinschauen. Müssen umfassende Maßnahmen ergriffen werden, kann das auch für den Dienstleister aufwendig und teuer werden.
Unterstützen Sie im Rahmen Ihrer Aufgaben
Als Datenschutzbeauftragter haben Sie Ihren Fokus weiterhin auf dem Umgang mit personenbezogenen Daten. Allerdings können Sie den zuständigen Kollegen oder der Unternehmensleitung Tipps geben, wie man an die Sache herangehen kann. Wie wäre es mit den folgenden Schritten?
