NIS2-Richtlinie im Arbeitsrecht: Alles was Sie wissen müssen.
Die NIS2-Richtlinie (Network and Information Security Directive 2) bezeichnet eine EU-Richtlinie (EU 2022/2555) zur Cybersicherheit, die einen gemeinsamen Rechtsrahmen für alle Mitgliedstaaten schafft. Sie zielt darauf ab, ein hohes Niveau an Informationssicherheit in Wirtschaft und Verwaltung zu gewährleisten. Die NIS2-Richtlinie wurde Ende 2022 auf EU-Ebene beschlossen und musste bis Oktober 2024 in nationales Recht umgesetzt werden.
Geltung in Deutschland: Die Umsetzung erfolgte durch das NIS2-Umsetzungsgesetz, das am 6. Dezember 2025 in Kraft getreten ist. In Deutschland wurden die Vorgaben insbesondere im BSI-Gesetz (BSIG) verankert. Die Aufsicht obliegt dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Anders als viele andere Richtlinien wurde NIS2 ohne Übergangsfristen gültig – d.h. Unternehmen mussten sich ab diesem Datum an die neuen Regeln halten.
Wer ist betroffen? NIS2 erweitert den Kreis der verpflichteten Unternehmen erheblich. Erfasst sind öffentliche und private Einrichtungen in kritischen und wichtigen Sektoren. Beispiele: Energie, Gesundheit, Trinkwasser, Finanzwesen, Digitale Infrastruktur, Transport, Lebensmittelproduktion, Abfallwirtschaft, Herstellung bestimmter Industriegüter, Forschungsinstitute u.v.m. Kleine Unternehmen sind ausgenommen, aber ab 50 Beschäftigten oder 10 Mio. € Jahresumsatz (je nach Branche) greift die NIS2-Pflicht. Größere Unternehmen ab 250 Beschäftigten oder 50 Mio. € Umsatz gelten als „besonders wichtige Einrichtungen“ und unterliegen teils strengeren Aufsichtsregeln.
Wesentliche Pflichten:
– IT-Risikomanagement: Verpflichtung, technische und organisatorische Sicherheitsmaßnahmen nach Stand der Technik umzusetzen. Das Gesetz nennt zehn Bereiche, u.a. Risikoanalyse, Incident Response (Vorfallsbehandlung), Notfall- und Wiederherstellungspläne, Lieferkettensicherheit, sichere Systementwicklung, regelmäßige Schulung der Mitarbeiter (Security Awareness) und Zugriffsschutz (z.B. Multi-Faktor-Authentifizierung). Unternehmen müssen praktisch ein Informationssicherheits-Managementsystem (ISMS) etablieren. Alle Maßnahmen sind zu dokumentieren (§ 30 BSIG).
– Meldepflichten: Schwere Cybervorfälle (z.B. erfolgreiche Hackerangriffe mit erheblichem Schaden) müssen dem BSI gemeldet werden. Fristen: binnen 24 Stunden eine erste Meldung, binnen 72 Stunden ein detaillierter Bericht, und nach Abschluss der Analysen ein Abschlussbericht (spätestens nach einem Monat). Auch die Benachrichtigung betroffener Kunden oder Partner kann vorgeschrieben sein.
– Registrierung: Betroffene Unternehmen müssen sich beim BSI in ein zentrales Register eintragen (§§ 33, 34 BSIG). Diese Registrierung umfasst Basisdaten des Unternehmens, Ansprechpersonen sowie Sektorzuordnung. Für neue Unternehmen gilt die Pflicht ab Aufnahme der Tätigkeit. In Deutschland erfolgt die Registrierung elektronisch über ein Portal, verknüpft mit dem ELSTER-Unternehmenskonto zur Authentifizierung.
– Verantwortung der Geschäftsleitung: Erstmals wird ausdrücklich die Geschäftsführung in die Pflicht genommen(§ 38 BSIG). Sie muss die Einhaltung der Cybersicherheitsanforderungen steuern und überwachen. Zudem besteht eine Schulungspflicht für Management – Führungskräfte müssen sich regelmäßig in IT-Sicherheitsrisiken und -praktiken fortbilden, um ihre Aufgaben wahrnehmen zu können.
Sanktionen bei Verstößen: NIS2 sieht empfindliche Bußgelder vor. Je nach Schwere und Unternehmensgröße können Strafen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden (bzw. 7 Mio./1,4% bei kleineren verpflichteten Unternehmen). Zusätzlich drohen aufsichtsrechtliche Maßnahmen: Das BSI kann Prüfungen und Audits anordnen, bei gravierenden Missständen sogar die Abberufung von verantwortlichen Managern oder Stilllegung von Betriebsteilen anregen. Zivilrechtlich können Geschäftsführer haftbar gemacht werden, wenn sie NIS2-Pflichten verletzen (Innenhaftung gegenüber der Gesellschaft bei Schaden, gemäß § 43 GmbHG / § 93 AktG).
Hintergrund und Ziel: Die NIS2-Richtlinie reagiert auf die steigenden Cyberbedrohungen für kritische Infrastruktur und wichtige Unternehmen. Sie soll EU-weit einheitliche Mindeststandards schaffen, damit ein hohes Sicherheitsniveau gewährleistet ist. Dadurch sollen gesellschaftlich wichtige Dienste (Energie, Gesundheit, Versorgung etc.) vor Ausfällen durch Cyberangriffe geschützt werden. Gleichzeitig fördert NIS2 die Zusammenarbeit der EU-Staaten bei der Abwehr von Cyberangriffen und sieht einen besseren Informationsaustausch vor. Für Unternehmen bedeutet NIS2 eine Herausforderung, aber auch einen Anlass, die eigene IT-Sicherheit auf den neuesten Stand zu bringen und so die Betriebsresilienz zu erhöhen.
Praxis-Tipp: Unternehmen, die unter NIS2 fallen, sollten frühzeitig ein Compliance-Projekt starten. Empfohlen wird die Einführung eines anerkannten ISMS (z.B. nach ISO 27001 oder dem neuen VdS 10100) und die enge Zusammenarbeit zwischen IT-Fachabteilung, Geschäftsführung und – falls nötig – externen Experten. So kann man die vielfältigen Pflichten effizient umsetzen. NIS2 ist kein einmaliges Projekt, sondern erfordert laufende Pflege: regelmäßige Risikoanalysen, Updates der Sicherheitsmaßnahmen und Schulungen. Die Investition in Cybersicherheit zahlt sich jedoch aus, da sie neben der Erfüllung gesetzlicher Vorgaben auch das Unternehmen selbst vor Schäden schützt.