NIS-2 – die EU-Cybersicherheitsrichtlinie
Die NIS-2-Richtlinie (Directive (EU) 2022/2555) ist die Nachfolgerin der NIS-1-Richtlinie und verschärft die Anforderungen an Cybersicherheit für tausende Unternehmen in der EU. Sie ist seit Ende 2022 in Kraft, die nationale Umsetzung in Deutschland (NIS2UmsuCG) verzögert sich – die Anforderungen gelten dennoch.
Wer fällt unter NIS-2?
Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio EUR Umsatz in einer der „wesentlichen" oder „wichtigen" Sektoren – darunter Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, Wasser, öffentliche Verwaltung, Post, Lebensmittel, Chemie, Industrie, IT-Dienste und Forschung. In Deutschland sind 30.000 bis 40.000 Unternehmen betroffen.
Pflichten unter NIS-2
- Risikomanagement: dokumentiertes IT-Sicherheits-Risikomanagement
- Meldepflicht: erhebliche Sicherheitsvorfälle binnen 24 Stunden melden
- Lieferketten-Sicherheit: Sub-Auftragnehmer prüfen
- Geschäftsleiter-Verantwortung: persönliche Haftung bei Pflichtverletzung
- Mitarbeiter-Schulungen: regelmäßige Awareness-Trainings
- Business Continuity Management: dokumentierte Pläne
Auswirkungen auf ERP-Anwender
ERP-Systeme sind Kernziele für Cyberangriffe – sie enthalten Stamm-, Transaktions- und Finanzdaten und sind oft mit dutzenden Drittsystemen verbunden. NIS-2-konforme ERP-Strategie umfasst:
- Zertifizierte Cloud-Rechenzentren in der EU
- SBOM (Software Bill of Materials) für Module und Konnektoren
- Patch-Management mit klaren SLAs
- Identity- und Access-Management mit MFA
- Audit-Logs und unveränderliche Protokollierung
- Penetration-Tests mindestens jährlich
Häufige Fragen
- Welche Strafen drohen bei NIS-2-Verstoß?
Bis zu 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes – höher als die DSGVO. Zusätzlich Anordnungen und persönliche Haftung der Geschäftsleitung.
- Wann muss ich NIS-2 umgesetzt haben?
Die EU-Frist war Oktober 2024. Die deutsche Umsetzung verzögert sich, die Anforderungen gelten dennoch faktisch.