Von NIS1 zu NIS2: Was sich geändert hat und warum es wichtig ist
Wer sollte das lesen: Jeder, der derzeit NIS1 einhält, jeder, der von NIS1 zu NIS2 wechselt, und jeder, der den regulatorischen Kontext von NIS2 verstehen möchte.
Die ursprüngliche Netzwerk- und Informationssystemrichtlinie (NIS1 oder Richtlinie 2016/1148) war selbst wegweisend. Zum ersten Mal hat die Europäische Union einen kohärenten, harmonisierten Rahmen für Cybersicherheit in kritischen Sektoren eingeführt. Damit wurden die Mitgliedstaaten verpflichtet, nationale Cybersicherheitsstrategien umzusetzen. Es führte das Konzept der „Betreiber wesentlicher Dienste“ ein und führte die obligatorische Meldung von Vorfällen ein.
Doch innerhalb weniger Jahre nach dem Inkrafttreten von NIS1 wurden seine Grenzen deutlich. Der Geltungsbereich der Richtlinie war zu eng. Die Mitgliedstaaten haben sie unterschiedlich umgesetzt — manchmal dramatisch. Die Kluft zwischen der regulatorischen Reichweite von NIS1 und der wachsenden Bedrohungslandschaft vergrößerte sich von Jahr zu Jahr. Bis 2020 räumte die Europäische Kommission ein, dass NIS1 „inhärente Mängel“ aufwies und neu auftretenden Cybersicherheitsproblemen nicht wirksam begegnen konnte.
NIS2 ist die Antwort. In diesem Leitfaden wird erklärt, was sich geändert hat, warum die Änderungen wichtig sind und was Unternehmen, die von NIS1 zu NIS2 wechseln, erwarten sollten.
Die ursprüngliche Vision: Was NIS1 erreicht hat
NIS1, das am 9. Mai 2018 in Kraft trat, war Europas erster Versuch, die Cybersicherheit europaweit zu regulieren. Ihre Beiträge waren real:
Es wurden verbindliche nationale Cybersicherheitsstrategien festgelegt. Die Mitgliedstaaten waren verpflichtet, ihre Cybersicherheitslandschaft zu bewerten und Strategien zur Erhöhung ihrer Widerstandsfähigkeit zu entwickeln.
Es hat die Kooperationsgruppe gegründet. Dieser institutionelle Mechanismus ermöglichte es den nationalen zuständigen Behörden, EU-weit zu koordinieren, Informationen auszutauschen und gemeinsame Konzepte zu entwickeln. Die Kooperationsgruppe ist nach wie vor von zentraler Bedeutung für die Verwaltung von NIS2.
Es führte ein Netzwerk nationaler Computer Security Incident Response Teams (CSIRTs) ein. Diese Teams wurden zum operativen Rückgrat für die Reaktion und Koordination von Vorfällen.
Es definierte „Betreiber wesentlicher Dienste“ — Unternehmen in den Bereichen Energie, Verkehr, Wasser, Gesundheit und digitale Dienste — und erlegte ihnen verbindliche Verpflichtungen zur Cybersicherheit und Meldung von Zwischenfällen auf.
Es richtete in jedem Mitgliedstaat eine zentrale Anlaufstelle ein, um die grenzüberschreitende Koordinierung und den Informationsaustausch bei Vorfällen zu erleichtern.
Im Zusammenhang mit 2016 (als NIS1 gesetzlich verankert wurde) waren diese Erfolge beachtlich. NIS1 schuf die regulatorischen Voraussetzungen dafür, dass die europäische Cybersicherheit über Fragmentierung und nationale Ad-hoc-Konzepte hinausgeht.
Warum NIS1 nicht genug war: Die Mängel
Anfang der 2020er Jahre war jedoch klar, dass NIS1 strukturelle Einschränkungen aufwies. Bei der Überprüfung durch die Europäische Kommission, die der Entwicklung von NIS2 zugrunde lag, wurden mehrere inhärente Mängel festgestellt.
Umfang zu eng
NIS1 galt in erster Linie für „Betreiber grundlegender Dienste“ in fünf Sektoren: Energie, Verkehr, Wasser, Gesundheit und digitale Dienste. Diese Liste war eng zugeschnitten und ließ wachsende Bereiche mit kritischer Bedeutung außen vor. Die Definition digitaler Dienste war veraltet — sie war älter als das explosionsartige Wachstum des Cloud-Computing, der Aufstieg von Netzwerken zur Bereitstellung von Inhalten, der Dominanz von Social-Media-Plattformen und der Ausweitung verwalteter Sicherheitsdienste.
Noch wichtiger ist, dass bei NIS1 riesige Teile der Wirtschaft ungeregelt waren. Hersteller, Chemiehersteller, Lebensmittelversorgung, Abfallentsorgung, Postdienste und Raumfahrtoperationen — allesamt wichtige Faktoren für die Widerstandsfähigkeit Europas — fielen weitestgehend aus dem Geltungsbereich. Ein einziger Cyberangriff auf einen Pharmahersteller oder einen Lieferanten von Chemikalien für die Wasseraufbereitung könnte sich über die gesamte Wirtschaft ausbreiten, aber NIS1 erreichte diese Sektoren nicht.
Das war kein Versehen. Beim Geltungsbereich handelte es sich um einen bewussten Kompromiss, der den politischen Konsens von 2016 widerspiegelte. Doch als sich die Bedrohungslandschaften weiterentwickelten und die digitale Vernetzung zunahm, wurde der Kompromiss hinfällig.
Fragmentierte Umsetzung in den Mitgliedstaaten
Artikel 4 des Erwägungsgrunds 4 fasst das Kernproblem zusammen: „Die Cybersicherheitsanforderungen, die Unternehmen auferlegt werden, die Dienstleistungen erbringen oder wirtschaftlich bedeutsame Tätigkeiten ausüben, unterscheiden sich von Mitgliedstaat zu Mitgliedstaat erheblich, was die Art der Anforderungen, ihren Detaillierungsgrad und die Art der Beaufsichtigung anbelangt. Diese Unterschiede sind mit zusätzlichen Kosten verbunden und stellen Unternehmen, die Waren oder Dienstleistungen grenzüberschreitend anbieten, vor Schwierigkeiten.“
NIS1 räumte den Mitgliedstaaten einen enormen Ermessensspielraum ein. Wer gilt als „Betreiber wesentlicher Dienste“? Die Mitgliedstaaten entschieden individuell. Welche Maßnahmen sollten sie ergreifen? Die Richtlinie legte Grundsätze fest, überließ jedoch vieles der nationalen Beurteilung. Wie sollten Vorfälle gemeldet werden? Jeder Mitgliedstaat hat seinen eigenen Prozess, seine eigenen Zeitpläne und Definitionen der Bedeutung festgelegt.
Das Ergebnis war eine Fragmentierung. Ein Cloud-Anbieter, der in zehn Mitgliedstaaten tätig ist, sah sich mit zehn verschiedenen Compliance-Regelungen konfrontiert. Derselbe Vorfall könnte in einem Land meldepflichtig sein und in einem anderen nicht. Ein Mitgliedstaat könnte jährliche Prüfungen vorschreiben, ein anderer könnte Stichprobenkontrollen durchführen. Dies führte zu Kosten, Verwirrung und Lücken bei der Einhaltung der Vorschriften.
In Erwägungsgrund 5 wird dies betont: „All diese Unterschiede führen zu einer Fragmentierung des Binnenmarkts und können sich nachteilig auf sein Funktionieren auswirken, was sich insbesondere auf die grenzüberschreitende Erbringung von Dienstleistungen und die Cyberresistenz aufgrund der Anwendung einer Vielzahl von Maßnahmen auswirken kann.“
Unangemessene Unternehmensführung und Rechenschaftspflicht
NIS1 verlangte nicht ausdrücklich eine Beteiligung der Geschäftsleitung oder des Vorstands an der Cybersicherheits-Governance. Es behandelte Cybersicherheit als ein technisches Problem, das an die IT- und Sicherheitsteams delegiert werden sollte. Dies erwies sich als unzureichend. Verwaltungsräte, die häufig von Cybersicherheitsrisiken abgeschnitten waren, übten keine angemessene Aufsicht aus. Entscheidungen über Cyberrisiken wurden getroffen, ohne dass sich die Geschäftsleitung oder der Vorstand dessen bewusst waren.
Der SolarWinds-Angriff und die großen Ransomware-Vorfälle von 2019-2021 unterstrichen diese Lücke. Die Vorstände hätten die Cybersicherheitsstrategie verstehen und genehmigen müssen. NIS1 hat dies jedoch nicht vorgeschrieben.
Schwache Durchsetzung
Für NIS1 gab es Strafen, die jedoch in den einzelnen Mitgliedstaaten uneinheitlich angewendet wurden. In einigen Ländern wurden Verstöße energisch verfolgt, in anderen nur selten. Die Höchststrafe (100.000 EUR oder den entsprechenden Gegenwert) fiel im Vergleich zur wirtschaftlichen Bedeutung der betroffenen Sektoren bescheiden aus. Es gab keine wirksame Harmonisierung der Durchsetzung.
Die NIS2-Antwort: Was hat sich geändert
NIS2 (Richtlinie 2022/2555) wurde im Dezember 2022 erlassen und trat am 12. November 2023 in Kraft. Es behebt jeden der oben genannten Mängel.
Erweiterter Anwendungsbereich mit Size-Cap-Regel
NIS2 erstreckt sich auf elf Sektoren (Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Chemie, Lebensmittel, Fertigung, Post). Dies deckt einen weitaus größeren Teil der Wirtschaft ab als NIS1.
Die größere Innovation ist jedoch die Size-Cap-Regel. Das NIS2 stützt sich bei der Bestimmung wesentlicher Betreiber nicht auf den Ermessensspielraum der Mitgliedstaaten, sondern verwendet ein objektives Kriterium: Unternehmen mittlerer oder größerer Größe (über 250 Mitarbeiter oder über 50 Mio. EUR Umsatz) in einem beliebigen Sektor gemäß Anhang I oder Anhang II fallen in den Geltungsbereich. Dadurch wird die subjektive Benennung eines Mitgliedstaats durch eine automatische, auf Formeln beruhende Regel ersetzt.
In Erwägungsgrund 7 heißt es: „Es sollte ein einheitliches Kriterium festgelegt werden, anhand dessen bestimmt wird, welche Unternehmen in den Anwendungsbereich dieser Richtlinie fallen. Dieses Kriterium sollte in der Anwendung einer Größenobergrenze bestehen, nach der alle Unternehmen, die als mittlere Unternehmen gelten... und in den Sektoren tätig sind..., in den Anwendungsbereich dieses Kriteriums fallen.“
Dies ist eine grundlegende Änderung. Es beseitigt Ermessensspielräume, schafft Rechtssicherheit und dehnt die Compliance-Verpflichtungen automatisch auf weitaus mehr Organisationen aus.
Harmonisierte Verpflichtungen mit Durchführungsrechtsakten
NIS1 spezifizierte Prinzipien. NIS2 legt in Artikel 21 Absatz 2 zehn Mindestmaßnahmen fest: Richtlinien in den Bereichen Risikoanalyse, Umgang mit Vorfällen, Geschäftskontinuität, Sicherheit der Lieferkette, sichere Entwicklung, Effektivitätsbewertung, Cyberhygiene, Kryptografie, Zugangskontrolle und Multifaktor-Authentifizierung. Diese sind vorgeschrieben, nicht optional.
Darüber hinaus wird die Kommission gemäß Artikel 21 Absatz 5 angewiesen, Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen für bestimmte Unternehmenstypen zu erlassen. Dies war unter NIS1 nicht möglich. Wenn Sie nun ein Cloud-Anbieter, ein DNS-Betreiber oder ein Rechenzentrumsanbieter sind, werden Sie mit Umsetzungsmaßnahmen konfrontiert, die genau festlegen, was „Cloud-Sicherheit“ oder „DNS-Sicherheit“ unter NIS2 bedeutet.
Dies reduziert die Fragmentierung. Alle Mitgliedstaaten müssen dieselben technischen Anforderungen umsetzen und dürfen sie nicht einzeln auslegen.
Obligatorische Rechenschaftspflicht auf
In Artikel 20 von NIS2 ist ausdrücklich vorgeschrieben, dass die Leitungsorgane wesentlicher und wichtiger Stellen Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und persönlich für Verstöße haftbar gemacht werden können. Dies war nicht in NIS1 enthalten.
Das ist eine grundlegende Veränderung. Es macht Cybersicherheit von einem technischen Problem zu einer strategischen Governance-Verpflichtung. Verwaltungsräte können die Rechenschaftspflicht nicht an Dritte delegieren; sie müssen Maßnahmen verabschieden und die Kompetenz innerhalb der Führungsstruktur sicherstellen.
Stärkeres Rahmenwerk für die Meldung von
NIS1 verlangte eine Meldung des Vorfalls „ohne unangemessene Verzögerung“. Das war vage. Einige Mitgliedstaaten interpretierten es als 72 Stunden, andere als Wochen.
NIS2 Artikel 23 harmonisiert die Zeitpläne: für Vertrauensdiensteanbieter 24 Stunden, für alle anderen 72 Stunden. Es besteht keine Unklarheit. Die Richtlinie sieht auch ein zweistufiges Verfahren vor: eine frühzeitige Meldung innerhalb des engen Zeitrahmens, gefolgt von Zwischen- und Abschlussberichten. Dies ermöglicht es den Aufsichtsbehörden, schnell auf Vorfälle zu reagieren, und gibt den Behörden gleichzeitig Zeit, Nachforschungen anzustellen.
Eskalierte Durchsetzungsbefugnisse
Die NIS1-Strafen beliefen sich auf bis zu 100.000 EUR. NIS2 (Artikel 34-35) verhängt Verwaltungsstrafen von bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei systematischen Verstößen gegen die Verpflichtungen nach Artikel 21 oder Artikel 23 erhöht sich die Strafe auf 20 Mio. EUR oder 4% des weltweiten Umsatzes.
Das ist keine bloße Haushaltsführung. Eine Geldbuße von 20 Millionen Euro wirkt wirklich abschreckend. Es stellt sicher, dass die Geschäftsleitung die Einhaltung der Vorschriften ernst nimmt.
Zeitplan und Übergang
NIS1 galt weiterhin bis zum 18. Oktober 2024. Die Organisationen wechselten daraufhin zu den NIS2-Verpflichtungen. Die vollständige Frist für die Einhaltung von NIS2 ist jedoch der 12. Mai 2025.
Dieser gestaffelte Zeitplan ist wichtig:
Am 17. Oktober 2024 wurden die Verpflichtungen nach Artikel 20 (Unternehmensführung) gemäß NIS2 verbindlich, noch vor Ablauf der allgemeinen Einhaltungsfrist.
Bis zum 12. Mai 2025 müssen alle Verpflichtungen gemäß Artikel 21 (Maßnahmen) und Artikel 23 (Meldung von Zwischenfällen) vollständig erfüllt sein.
Die Mitgliedstaaten hatten bis zum 18. Oktober 2024 (achtzehn Monate nach Inkrafttreten) Zeit, NIS2 in nationales Recht umzusetzen.
Organisationen sollten bereits mit der Compliance-Arbeit begonnen haben. Die Übergangszeit soll den Organisationen Zeit geben, sie ist jedoch nicht unbefristet.
Was das für Ihr Unternehmen bedeutet
Wenn Sie NIS1 eingehalten haben, fallen Sie mit ziemlicher Sicherheit in den Geltungsbereich von NIS2. Der Geltungsbereich von NIS2 ist weiter gefasst, und aufgrund der Größen-Cap-Regel wird der Geltungsbereich für viele NIS1-konforme Organisationen weiterhin gelten.
Ihre bestehenden NIS1-Maßnahmen erfüllen möglicherweise die NIS2-Anforderungen, aber Sie können nicht davon ausgehen. Die zehn Maßnahmen nach Artikel 21 Absatz 2 sind detaillierter und anspruchsvoller als die Grundsätze von NIS1. Sie müssen eine Lückenanalyse anhand von Artikel 21 Absatz 2 durchführen und etwaige Mängel beheben.
NIS2 führt neue Anforderungen ein, die es in NIS1 nicht gab: Die Sicherheit der Lieferkette ist jetzt verpflichtend und wird nicht empfohlen. Eine mehrstufige Authentifizierung ist erforderlich. Die Unternehmensführung auf Vorstandsebene und die persönliche Haftung sind verpflichtend.
Wenn Ihr Vorstand nicht an der Cybersicherheitssteuerung gemäß NIS1 beteiligt war, muss er unter NIS2 tätig sein. Dies erfordert organisatorische Veränderungen, nicht nur technische Patches.
Der Zeitplan für die Meldung von Vorfällen ist enger. Sie müssen schwerwiegende Vorfälle erkennen und innerhalb von 72 Stunden (oder 24 Stunden, wenn Sie ein Vertrauensdienstanbieter sind) benachrichtigen. Dies erfordert ausgereifte Fähigkeiten zur Reaktion auf Vorfälle.
Wichtige Erkenntnisse
- NIS1 war wegweisend, hatte aber einen engen Anwendungsbereich, galt nur für wichtige Dienstebetreiber in fünf Sektoren und ließ den Mitgliedstaaten einen weiten Ermessensspielraum, was zu fragmentierten Umsetzungs- und Compliance-Problemen bei grenzüberschreitenden Geschäften führte.
- Zu den Unzulänglichkeiten von NIS1 gehörten Lücken im Anwendungsbereich (fehlende kritische Sektoren), eine fragmentierte Umsetzung durch die Mitgliedstaaten, schwache behördliche Anforderungen und eine unzureichende Durchsetzung, was zusammen zu Regulierungslücken führte, die nicht der modernen Bedrohungslage entsprachen.
- NIS2 behebt diese Lücken durch: Erweiterung des Anwendungsbereichs auf elf Sektoren plus digitale Dienste, eine Größenbegrenzungsregel, die den Ermessensspielraum der Mitgliedstaaten ersetzt, harmonisierte technische Anforderungen durch Durchführungsrechtsakte, verbindliche Rechenschaftspflicht auf Vorstandsebene mit persönlicher Haftung, strengere Fristen für die Meldung von Vorfällen und eskalierte Strafen (bis zu 20 Mio. EUR oder 4% des Umsatzes).
- Der Übergang erfolgt schrittweise: Die Governance-Verpflichtungen nach Artikel 20 gelten ab dem 17. Oktober 2024; die vollständige Einhaltung der Artikel 21 und 23 ist bis zum 12. Mai 2025 verpflichtend; Organisationen, die von NIS1 wechseln, müssen eine Lückenanalyse durchführen und neue Maßnahmen ergreifen, darunter die Sicherheit der Lieferkette und die Multifaktor-Authentifizierung.
- NIS2 ist eine regulatorische Neugestaltung, keine schrittweise Aktualisierung; es spiegelt die Lehren wider, die aus großen Cyberangriffen gezogen wurden, das Versagen von NIS1, Lieferkettenrisiken zu bekämpfen, und die Notwendigkeit einer harmonisierten europäischen Cybersicherheitssteuerung.
