NIS2-Richtlinie in Spanien — Compliance-Leitfaden | BMC

Wirtschaftsglossar

NIS2-Richtlinie

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen 2 (NIS2 — Richtlinie 2022/2555/EU) ist der aktualisierte Cybersicherheitsrahmen der EU, der die ursprüngliche NIS-Richtlinie von 2016 ablöst. Sie erweitert den Anwendungsbereich verbindlicher Cybersicherheitspflichten erheblich und erfasst mehr Sektoren und Einrichtungstypen in allen Mitgliedstaaten; Spanien befindet sich derzeit in der Umsetzung in nationales Recht.

Digital

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Richtlinie 2022/2555/EU) ist das aktualisierte Cybersicherheits-Rahmenwerk der EU, das die ursprüngliche NIS-Richtlinie von 2016 ablöst. Sie wurde verabschiedet, um auf die gestiegene Bedrohungslandschaft zu reagieren, einheitlichere Sicherheitsstandards in der EU zu schaffen und die erheblichen Unterschiede bei der Durchsetzung zwischen den Mitgliedstaaten zu beseitigen.

Spanien befindet sich in der Umsetzungsphase; die zuständigen Behörden sind das INCIBE (Instituto Nacional de Ciberseguridad) für wesentliche Privatunternehmen und das CCN-CERT für öffentliche Verwaltungen.

Erfasste Sektoren

Wesentliche Einrichtungen

Sektor	Beispiele
Energie	Strom, Öl, Gas, Fernwärme
Verkehr	Luft, Schiene, Wasser, Straße
Bankwesen	Kreditinstitute
Finanzmarktinfrastruktur	Handelsplätze, zentrale Gegenparteien
Gesundheit	Krankenhäuser, Labore, F&E, Pharmaunternehmen
Trinkwasser	Wasserversorgungsunternehmen
Abwasser	Abwasserbetreiber
Digitale Infrastruktur	Internet-Knotenpunkte, TLD-Registrierungen, DNS, Rechenzentren, Cloud
Öffentliche Verwaltung	Zentral- und Regionalverwaltungen
Raumfahrt	Raumfahrtinfrastruktur

Wichtige Einrichtungen

Sektor	Beispiele
Post- und Kurierdienste	Paketzustellung, Brief-Operatoren
Abfallwirtschaft	Abfallbetreiber
Chemikalien	Hersteller und Händler gefährlicher Stoffe
Lebensmittel	Großhändler und Verarbeiter
Verarbeitendes Gewerbe	Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge
Digitale Anbieter	Suchmaschinen, soziale Netze, Online-Marktplätze
Forschungseinrichtungen	Universitäten, Forschungsinstitute

Sicherheitsmaßnahmen

NIS2 schreibt einen risikobasierten Ansatz vor. Unternehmen müssen umsetzen:

Risikoanalyse und Sicherheitskonzepte für Netz- und Informationssysteme
Incident-Handling: Erkennung, Analyse, Eindämmung, Wiederherstellung
Business Continuity Management (BCM): Datensicherungen, Notfallpläne, Krisenmanagement
Sicherheit der Lieferkette: Bewertung der Cybersicherheitspraktiken von Lieferanten und Dienstleistern
Sicherheit bei Beschaffung, Entwicklung und Wartung von Systemen
Wirksamkeitsbewertung: Richtlinien und Verfahren zur Messung von Sicherheitsmaßnahmen
Schulung und Sensibilisierung: Programme für Mitarbeiter und Management
Kryptographie und Multi-Faktor-Authentifizierung (MFA)

Meldepflichten bei Sicherheitsvorfällen

NIS2 schreibt ein dreistufiges Meldeverfahren für erhebliche Vorfälle vor:

Stufe	Frist	Inhalt
Frühwarnung	24 Stunden	Erste Benachrichtigung ohne vollständige Analyse
Vollständige Meldung	72 Stunden	Erste Bewertung: Auswirkungen, Schwere, Indikatoren
Abschlussbericht	1 Monat	Vollständige Analyse, ergriffene Maßnahmen, grenzüberschreitende Auswirkungen

In Spanien: Meldung an INCIBE-CERT (wesentliche Einrichtungen des Privatsektors) oder CCN-CERT (öffentliche Verwaltungen und kritische Infrastruktur).

Management-Haftung

NIS2 enthält ausdrückliche Bestimmungen zur persönlichen Haftung der Geschäftsleitung:

Das Management muss Cybersicherheitsrisikolösungen genehmigen und überwachen
Führungskräfte müssen NIS2-Schulungen absolvieren und sicherstellen, dass ausreichend Schulungen für Mitarbeiter angeboten werden
Haftung kann persönlich entstehen, wenn Verstöße auf Führungsversagen zurückzuführen sind
Für wesentliche Einrichtungen kann die zuständige Behörde die vorübergehende Amtsenthebung von Führungskräften beantragen

Sanktionen

Einrichtungstyp	Maximale Geldbuße
Wesentliche Einrichtungen	10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
Wichtige Einrichtungen	7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Darüber hinaus können zuständige Behörden anordnen: Einhaltungsnachweise, Sicherheitsaudits, spezifische Umsetzungsmaßnahmen sowie — bei anhaltenden Verstößen — die Aussetzung von Genehmigungen oder Zulassungen.

NIS2 und ISO 27001

ISO 27001 ist eine der bewährtesten Methoden zur Umsetzung der NIS2-Anforderungen:

Risikobasierter Ansatz: Beide Rahmenwerke erfordern eine formale Risikoanalyse
Richtlinien und Verfahren: ISO-27001-Kontrollen decken einen Großteil der NIS2-Sicherheitsmaßnahmen ab
Vorfallmanagement: ISO 27001 Annex A umfasst Informationssicherheits-Vorfallmanagement
Lieferkettensicherheit: Beide betonen Lieferantenrisikobewertung

ISO-27001-zertifizierte Organisationen sind gut positioniert, um die NIS2-Compliance nachzuweisen, obwohl die Zertifizierung nicht automatisch die vollständige Compliance gewährleistet — insbesondere bei Meldepflichten und Management-Haftungsanforderungen.

Praktische Schritte zur NIS2-Vorbereitung

Auch wenn Spaniens nationales Umsetzungsgesetz noch aussteht, sollten betroffene Unternehmen bereits jetzt:

Ermitteln, ob sie unter NIS2 fallen (Sektor + Größenschwellenwerte prüfen)
Bestandsaufnahme der aktuellen Cybersicherheitspraktiken gegenüber den NIS2-Anforderungen
Governance-Struktur für Cybersicherheit auf Vorstandsebene einrichten
Incident-Response-Verfahren mit den dreistufigen Meldefristen umsetzen
Lieferantenbewertungen um Cybersicherheits-Kriterien erweitern
Management-Schulungsprogramm zu Cybersicherheitsrisiken aufbauen

Wie BMC helfen kann

Wir begleiten Unternehmen bei der Einschätzung, ob NIS2 auf ihre Tätigkeiten in Spanien anwendbar ist, bei der Analyse des Compliance-Status gegenüber den NIS2-Anforderungen und bei der Umsetzung der Governance- und Dokumentationsstruktur, die für die Compliance und den Nachweis der Management-Aufsicht erforderlich ist.

Häufig gestellte Fragen

Welche Unternehmen fallen unter die NIS2-Richtlinie in Spanien?

Die NIS2-Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen umfassen Betreiber in den Bereichen Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (Internet-Knotenpunkte, TLD-Registrierungen, DNS, Rechenzentren, Cloud-Dienste), öffentliche Verwaltung und Raumfahrt. Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge), digitale Anbieter (Suchmaschinen, soziale Netze, Online-Marktplätze) sowie Forschungseinrichtungen. Sobald die spanische Umsetzung abgeschlossen ist, werden die Schwellenwerte für Größe und Bedeutung gelten — voraussichtlich Einrichtungen ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Mio. EUR in erfassten Sektoren.

Welche Cybersicherheitspflichten schreibt NIS2 vor?

NIS2 schreibt risikobasierte Sicherheitsmaßnahmen vor, darunter: Risikoanalyse und Sicherheitskonzepte für Informationssysteme, Incident-Handling (Erkennung, Analyse, Eindämmung, Wiederherstellung), Business Continuity und Krisenmanagement (Backups, Notfallpläne, BCM), Sicherheit der Lieferkette (Bewertung von Lieferanten und Dienstleistern), Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, Richtlinien zur Wirksamkeitsbewertung von Cybersicherheitsmaßnahmen, Schulungs- und Sensibilisierungsprogramme sowie Einsatz von Kryptographie und Multi-Faktor-Authentifizierung.

Welche Meldefristen sieht die NIS2-Richtlinie für Sicherheitsvorfälle vor?

NIS2 schreibt ein dreistufiges Meldeverfahren vor: Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls an die zuständige nationale Behörde (in Spanien: INCIBE für wesentliche Einrichtungen des privaten Sektors; CCN-CERT für öffentliche Verwaltungen). Innerhalb von 72 Stunden ist eine vollständige Meldung mit erster Bewertung der Auswirkungen, Schwere und Indikatoren einer Kompromittierung einzureichen. Ein abschließender Bericht mit vollständiger Analyse, ergriffener Maßnahmen und grenzüberschreitenden Auswirkungen ist innerhalb eines Monats vorzulegen.

Welche Sanktionen drohen bei Verstößen gegen die NIS2-Richtlinie?

Bei wesentlichen Einrichtungen können Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes verhängt werden (je nachdem, welcher Betrag höher ist). Bei wichtigen Einrichtungen sind es bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes. Darüber hinaus sieht die Richtlinie eine persönliche Haftung des Managements vor: Führungskräfte können persönlich haftbar gemacht werden, wenn Sicherheitsversäumnisse auf fehlende Genehmigung oder Überwachung zurückzuführen sind. NIS2 schreibt ausdrücklich vor, dass das Management Risikolösungen billigen und Schulungen absolvieren muss.

Was ist der aktuelle Stand der NIS2-Umsetzung in Spanien?

Die NIS2-Umsetzungsfrist für die Mitgliedstaaten war der 17. Oktober 2024. Spanien hatte bis zu diesem Datum kein vollständiges Umsetzungsgesetz verabschiedet. Spanische Unternehmen in erfassten Sektoren sollten jedoch nicht auf die abschließende nationale Umsetzung warten — die Richtlinienanforderungen sind hinreichend klar, und die zuständigen Behörden (INCIBE für den Privatsektor, CCN-CERT für den öffentlichen Bereich) leiten Audits und Bewertungen ein. Bestehende Sicherheitsnormen wie ISO 27001 bieten einen guten Ausgangspunkt und decken viele NIS2-Anforderungen bereits ab.

Fordern Sie eine persönliche Beratung an

Unsere Experten analysieren Ihre Situation und bieten maßgeschneiderte Lösungen.

Kostenlose Erstberatung

Beratung

Bewertung und Analyse

Transformation

Governance und Übergang

Steuerstrategie

Compliance

Sonderregelungen

Vermögen und Streitigkeiten

Handels- und Gesellschaftsrecht

Insolvenz und Restrukturierung

Personal und Compliance

Streitigkeiten und Beilegung

Cybersicherheit

Datenschutz und KI

Finanzen und Berichtswesen

Gesellschaftsservices

Wachstum

Risiko und Resilienz

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen