Ir al contenido

NIS2 in Spanien: Alles, was Ihr Unternehmen zur Einhaltung der Cybersicherheitsrichtlinie wissen muss

Die NIS2-Richtlinie betrifft ca. 40.000 Einrichtungen in Spanien und führt persönliche Haftung für Geschäftsführer ein. Alles, was Ihr Unternehmen zur NIS2-Compliance wissen muss.

Bewerten, ob mein Unternehmen von NIS2 betroffen ist

Das Problem

Die NIS2-Richtlinie (EU-Richtlinie 2022/2555) stellt die bedeutendste Überarbeitung des europäischen Cybersicherheitsrahmens seit 2016 dar. Sie erweitert den Geltungsbereich der verpflichteten Einrichtungen erheblich — von einigen hundert Betreibern wesentlicher Dienste unter NIS1 auf ca. 40.000 Einrichtungen in Spanien — und führt ein völlig neues Sanktionsregime ein mit Bußgeldern von bis zu 10 Millionen Euro oder 2% des globalen Umsatzes für wesentliche Einrichtungen und bis zu 7 Millionen Euro oder 1,4% für wichtige Einrichtungen. Was Rechts- und Compliance-Beauftragten am meisten Sorgen bereitet, ist der Rahmen der persönlichen Haftung für Leitungsorgane. NIS2 legt fest, dass Geschäftsführer und leitende Führungskräfte persönlich haftbar gemacht werden können, wenn die Einrichtung keine angemessenen Cybersicherheits-Risikomanagementmaßnahmen implementiert hat. Das ist nicht theoretisch: Europäische Aufsichtsbehörden haben damit begonnen, die Compliance aktiv zu untersuchen. In Spanien wurde die Umsetzung von NIS2 — die bis zum 17. Oktober 2024 hätte erfolgen müssen — verzögert, aber viele Verpflichtungen der Richtlinie sind nach EU-Rechtsgrundsätzen unmittelbar anwendbar, und das nationale Umsetzungsgesetz wird im ersten Halbjahr 2026 erwartet. Viele Unternehmen, die NIS2 einhalten müssen, wissen immer noch nicht, ob sie betroffen sind, welche technischen und organisatorischen Maßnahmen sie implementieren müssen oder wie sie die neue 24-Stunden-Vorfallmeldepflicht verwalten sollen.

Unsere Lösung

BMC bietet ein umfassendes NIS2-Compliance-Programm, das alle Dimensionen der Richtlinie abdeckt: anfängliche Geltungsbereichsbewertung, Lückenanalyse gegenüber dem geforderten Sicherheitsmaßnahmenstandard, Implementierungs-Fahrplan, Risikomanagementrichtlinien und -verfahren sowie laufende Compliance-Unterstützung und Vorfallreaktion. Unser Team kombiniert auf technologische Regulierungs-Compliance spezialisierte Juristen mit Cybersicherheitsexperten, die sowohl die rechtliche als auch die technische Dimension der NIS2-Compliance beurteilen können. Wir agieren als Virtual CISO für Einrichtungen, die keinen eigenen Chief Information Security Officer haben, und beraten Leitungsorgane zu ihren persönlichen Verantwortlichkeiten und wie sie die Compliance mit ihren Aufsichtspflichten dokumentieren können. Wir integrieren die NIS2-Compliance mit der DSGVO (insbesondere bezüglich der Sicherheitsverletzungsmeldung), mit europäischen Cybersicherheitszertifizierungsschemata und mit ISO 27001, wo das Unternehmen bereits nach diesem Standard arbeitet.

Vorgehen

Wie wir vorgehen

1

Geltungsbereichsbewertung

Wir bestimmen, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung in den NIS2-Geltungsbereich fällt, basierend auf dem Tätigkeitssektor, der Unternehmensgröße und seiner Relevanz für kritische Infrastrukturen. Wir identifizieren die spezifischen Untersektoren nach Anhang I und II der Richtlinie, die anwendbar sind, und die Implikationen für das Aufsichtsregime.

2

Lückenanalyse

Wir beurteilen die derzeit vorhandenen technischen und organisatorischen Cybersicherheits-Risikomanagementmaßnahmen und vergleichen sie mit den Anforderungen von Artikel 21 NIS2: Sicherheitsrichtlinien, Vorfallmanagement, Geschäftskontinuität, Lieferkettensicherheit, Systementwicklungssicherheit, Schwachstellenmanagement, Verschlüsselung und Mehrfaktor-Authentifizierung.

3

Implementierung und Dokumentation

Wir entwickeln und implementieren die Richtlinien, Verfahren und technischen Kontrollen, die zur Schließung identifizierter Lücken benötigt werden: Informationssicherheitsrichtlinie, Vorfallmeldeverfahren (24-Stunden-Meldung, 72-Stunden-Bericht, monatlicher Abschlussbericht), Kontinuitätsplan, Risikobewertungen wichtiger Lieferanten sowie Schulungs- und Sensibilisierungsprogramm.

4

Überwachung und Vorfallreaktion

Wir bieten laufende Compliance-Überwachung, Unterstützung bei der Meldung schwerwiegender Vorfälle an INCIBE-CERT oder CCN-CERT je nach Sektor, Rechtsbeistand bei Inspektionen der Aufsichtsbehörde sowie Aktualisierungen des Compliance-Programms nach regulatorischen Änderungen oder neuen ENISA-Leitlinien.

10 Mio. €
Maximales Bußgeld für wesentliche Einrichtungen (oder 2% des globalen Jahresumsatzes)
40.000+
Geschätzte betroffene Einrichtungen in Spanien
24 Stunden
Frist zur Meldung schwerwiegender Vorfälle an die zuständige Behörde

Unseren Leitfaden herunterladen

Laden Sie unseren Leitfaden herunter: 'NIS2 in 10 Schritten — Von der Geltungsbereichsbewertung bis zur Vorfallmeldung'

Die NIS2-Richtlinie: die größte Änderung in der europäischen Cybersicherheit seit 2016

Richtlinie (EU) 2022/2555, bekannt als NIS2, ersetzt die ursprüngliche NIS-Richtlinie von 2016 und stellt die ambitionierteste Überarbeitung des europäischen Cybersicherheitsrahmens dar. Ihr Ziel ist es, das gemeinsame Cybersicherheitsniveau in der gesamten Europäischen Union zu erhöhen, Divergenzen zwischen den Mitgliedstaaten zu reduzieren und den Geltungsbereich der sicherheitspflichtigen Einrichtungen erheblich zu erweitern.

Das Ausmaß der Änderung ist beträchtlich. Die ursprüngliche NIS-Richtlinie betraf eine begrenzte Anzahl von Betreibern wesentlicher Dienste und digitalen Diensteanbietern. NIS2 erweitert diesen Geltungsbereich auf alle Sektoren in Anhang I und II der Richtlinie — einschließlich Abfallwirtschaft, Chemikalienproduktion, Lebensmittelbranche und Maschinenherstellung, die zuvor aus cybersicherheitlicher Sicht unreguliert waren — und gilt für Unternehmen ab Größenschwellen, was ca. 40.000 betroffene Einrichtungen in Spanien entspricht.

Wesentliche vs. wichtige Einrichtungen: praktische Unterschiede

NIS2 unterscheidet zwei Kategorien betroffener Einrichtungen mit unterschiedlichen Verpflichtungs- und Sanktionsniveaus:

Wesentliche Einrichtungen (Anhang I): Energie (Strom, Gas, Öl, Wasserstoff), Verkehr (Luft, Schiene, See, Straße), Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser und Abwasser, digitale Infrastruktur (Internet Exchange Points, DNS, TLD-Register, Cloud Computing, Rechenzentren, CDNs, Vertrauensdiensteanbieter) und IKT-Dienstleistungsmanagement. Wesentliche Einrichtungen unterliegen einer Ex-ante-Aufsicht und Sanktionen von bis zu 10 Mio. € oder 2% des globalen Umsatzes.

Wichtige Einrichtungen (Anhang II): Post- und Kurierdienste, Abfallwirtschaft, Chemikalienherstellung, Lebensmittelproduktion, Herstellung (Medizingeräte, Elektronik, Maschinen, Kraftfahrzeuge) und digitale Dienstleister (Online-Marktplätze, Suchmaschinen, soziale Netzwerkplattformen). Wichtige Einrichtungen unterliegen einer Ex-post-Aufsicht und Sanktionen von bis zu 7 Mio. € oder 1,4% des globalen Umsatzes.

Die Risikomanagementmaßnahmen, die NIS2 verlangt

Artikel 21 von NIS2 legt die Mindestmaßnahmen fest, die betroffene Einrichtungen ergreifen müssen. Diese Maßnahmen müssen dem Risikoniveau der Einrichtung “angemessen und verhältnismäßig” sein und dabei die Unternehmensgröße, den Stand der Technik und sektorspezifische Schwachstellen berücksichtigen:

Risikoanalyse und Informationssystemsicherheitsrichtlinien: Die Einrichtung muss formale Cybersicherheits-Risikomanagementrichtlinien haben, die vom Leitungsorgan genehmigt wurden.

Vorfallbehandlung: Verfahren zur Erkennung, Analyse, Eindämmung und Kommunikation von Cybersicherheitsvorfällen innerhalb der in der Richtlinie festgelegten Meldezeiträume.

Geschäftskontinuität und Krisenmanagement: Kontinuitätspläne, die Cyberangriffszenarien abdecken, einschließlich Systemwiederherstellung und Krisenverfahren.

Lieferkettensicherheit: Risikobewertung von Lieferanten mit Zugang zu kritischen Systemen und vertragliche Sicherheitsklauseln.

Sicherheit in der Systementwicklung, -beschaffung und -wartung: Sicherheitspraktiken im Software- und Systemlebenszyklus, einschließlich Schwachstellenmanagement.

Richtlinien zur Bewertung der Maßnahmenwirksamkeit: Regelmäßige Evaluierung und Prüfung der implementierten Maßnahmen.

Grundlegende Cyber-Hygiene-Praktiken und Schulungen: Cybersicherheitsschulung für Mitarbeiter und Leitungsorgane.

Kryptographie und Verschlüsselung: Einsatz von Verschlüsselung für Daten im Transit und in der Ruhe, wo notwendig.

Mehrfaktor-Authentifizierung und sichere Kommunikation: MFA für kritische Systeme und verschlüsselte Kommunikation.

Die Schulungsdimension für das Management bei NIS2

NIS2 führt eine Personalmanagement-Dimension ein, die nicht unterschätzt werden sollte. Die Richtlinie verlangt von Leitungsorganen, regelmäßige Cybersicherheitsschulungen zu erhalten, die ausreichen, um Risiken zu verstehen und Risikomanagement-Entscheidungen zu beaufsichtigen. Das Ziel ist nicht, Führungskräfte zu Sicherheitstechnikern zu machen, sondern sicherzustellen, dass sie ihre Aufsichtsfunktion mit angemessenen Kenntnissen ausüben können.

Für das Personal im Allgemeinen verlangt die Richtlinie Cybersicherheitsschulungs- und Sensibilisierungsprogramme, die die Erkennung von Social-Engineering-Bedrohungen (Phishing, Vishing), die sichere Nutzung von Systemen und Daten sowie interne Vorfallmeldeverfahren abdecken.

BMC bietet NIS2-Schulungsprogramme für Vorstände und Prüfungsausschüsse an, die auf das technische Wissen der Teilnehmer zugeschnitten sind und auf die Aufsichtsverantwortlichkeiten ausgerichtet sind, die die Richtlinie ihnen zuweist.

NIS2 und Virtual CISO: wenn Sie keine Vollzeit-Sicherheitsleitung benötigen

Viele von NIS2 betroffene Einrichtungen — insbesondere mittelgroße Unternehmen — haben keinen Chief Information Security Officer (CISO) und benötigen auch keine Vollzeitkraft. Für diese Unternehmen bietet BMCs Virtual-CISO-Service die Informationssicherheitsmanagement-Funktion auf ausgelagerter Basis: Sicherheitsprogrammmanagement, Technologielieferantenaufsicht, Verbindung mit der Aufsichtsbehörde und Vertretung vor dem Leitungsorgan bei periodischen Cybersicherheitsüberprüfungen.

NIS2 und ISO 27001: auf bestehenden Rahmenwerken aufbauen

Für Unternehmen, die bereits nach ISO 27001 arbeiten, ist der Weg zur NIS2-Compliance kürzer, aber nicht automatisch. Das ISO-27001-Rahmenwerk bietet eine solide Grundlage — insbesondere die Risikobewertungsmethodik, die Informationssicherheitsrichtlinienstruktur und der Kontrollkatalog — aber es gibt NIS2-spezifische Anforderungen, die über ISO 27001 hinausgehen.

Die bedeutendsten Lücken für ISO-27001-zertifizierte Unternehmen betreffen typischerweise: die spezifischen NIS2-Vorfallmeldezeiträume und -verfahren (die präskriptiver sind als ISO 27001 verlangt), die Lieferkettensicherheits-Bewertungsverpflichtungen, die Schulungs- und formalen Genehmigungsanforderungen für das Leitungsorgan sowie die Registrierungs- und Selbstidentifizierungspflichten bei der nationalen zuständigen Behörde.

BMC führt NIS2-spezifische Lückenanalysen für ISO-27001-zertifizierte Unternehmen durch und identifiziert die inkrementellen Schritte, die erforderlich sind, um die NIS2-Compliance zu erreichen und dabei auf dem bestehenden Managementsystem aufzubauen.

FAQ

Häufig gestellte Fragen

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Anhang I) und wichtigen Einrichtungen (Anhang II). Wesentliche Einrichtungen sind Unternehmen in kritischen Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Wasser, digitale Infrastruktur und IKT-Dienstleistungsmanagement. Wichtige Einrichtungen sind Unternehmen in Sektoren wie Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittelproduktion, Medizingeräteherstellung, Maschinenherstellung, Kraftfahrzeugherstellung und digitale Dienstleister. In beiden Fällen sind Größenschwellen wichtig: Die Richtlinie gilt im Allgemeinen für mittlere (50+ Mitarbeiter oder 10 Mio. € Umsatz) und große Unternehmen. Mikro- und Kleinunternehmen sind außer in spezifischen Fällen für besonders kritische Sektoren ausgeschlossen.
Die NIS2-Richtlinie hätte bis zum 17. Oktober 2024 in spanisches Recht umgesetzt werden müssen. Spanien hat diese Frist wie mehrere andere Mitgliedstaaten nicht eingehalten. Der Gesetzentwurf für das nationale Cybersicherheitsgesetz, der NIS2 einbeziehen würde, wird im ersten Halbjahr 2026 erwartet. Viele Verpflichtungen der Richtlinie sind jedoch bereits aufgrund des EU-Prinzips der unmittelbaren Wirkung anwendbar, und spanische Behörden (INCIBE, CCN) haben Leitlinien zu Maßnahmen herausgegeben, die betroffene Einrichtungen implementieren sollten. Die Verzögerung befreit Unternehmen nicht von der Einhaltung der materiellen Verpflichtungen.
Für wesentliche Einrichtungen betragen die Höchststrafen 10 Millionen Euro oder 2% des gesamten globalen Jahresumsatzes (je nachdem, was höher ist). Für wichtige Einrichtungen beträgt das Maximum 7 Millionen Euro oder 1,4% des gesamten globalen Jahresumsatzes. Zusätzlich zu Geldstrafen sieht die Richtlinie die vorübergehende Aussetzung der Betriebsgenehmigung einer Einrichtung und das vorübergehende Verbot für natürliche Personen vor, Leitungsfunktionen auszuüben. Die Mitgliedstaaten können in ihrer nationalen Umsetzungsgesetzgebung zusätzliche Strafen festlegen.
Dies ist eine der bedeutendsten Neuerungen von NIS2. Die Richtlinie erlegt Leitungsorganen folgende Verpflichtungen auf: (1) Genehmigung von Cybersicherheits-Risikomanagementmaßnahmen; (2) Überwachung ihrer Implementierung; und (3) persönliche Verantwortung für Verstöße. Die Mitgliedstaaten müssen sicherstellen, dass Mitglieder von Leitungsorganen für die Nichteinhaltung ihrer Einrichtung haftbar gemacht werden können. Die Richtlinie sieht auch vor, dass zuständige Behörden öffentliche Erklärungen abgeben und vorübergehende Verbote für verantwortliche Personen zur Ausübung von Leitungsfunktionen verhängen. Für Führungskräfte bedeutet dies, dass Cybersicherheit nicht mehr vollständig an die IT-Abteilung delegiert werden kann: Es ist eine Corporate-Governance-Verantwortung.
NIS2 legt ein dreistufiges Vorfallmeldungssystem fest: (1) Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines schwerwiegenden Vorfalls, unter Angabe, ob er als vorsätzlich vermutet wird oder grenzüberschreitende Auswirkungen hat; (2) Vorfallmeldung innerhalb von 72 Stunden mit einer ersten Bewertung des Vorfalls, seines Schweregrads und seiner Auswirkungen sowie verfügbaren Kompromissindikatoren; und (3) Abschlussbericht innerhalb eines Monats mit einer detaillierten Beschreibung des Vorfalls, der Bedrohungsart, der Grundursache, der ergriffenen Maßnahmen und — bei grenzüberschreitenden Vorfällen — der Auswirkungen auf andere Mitgliedstaaten. Ein Vorfall ist 'schwerwiegend', wenn er schwere Betriebsstörungen, erhebliche finanzielle Verluste für die Einrichtung oder erhebliche materielle oder nicht-materielle Schäden für andere Personen verursacht.
ISO 27001 und NIS2 sind komplementär, aber nicht äquivalent. Die ISO-27001-Zertifizierung ist ein positiver Indikator für die Informationssicherheitsreife und kann die NIS2-Compliance erheblich vereinfachen, da viele ISO-27001-Kontrollen NIS2-Anforderungen erfüllen. Eine ISO-27001-Zertifizierung garantiert jedoch nicht automatisch die NIS2-Compliance, weil: (1) NIS2 spezifische Anforderungen an die Vorfallmeldung, Lieferkettensicherheit und Managementschulung hat, die über den ISO-Standard hinausgehen; und (2) der ISMS-Geltungsbereich möglicherweise nicht alle Systeme im NIS2-Geltungsbereich abdeckt. Wir empfehlen eine NIS2-spezifische Lückenanalyse auch für Unternehmen, die bereits nach ISO 27001 zertifiziert sind.
Wenn ein Cybervorfall auch eine Verletzung personenbezogener Daten darstellt, muss das Unternehmen gleichzeitig die Meldepflichten nach NIS2 (an die Cybersicherheitsbehörde: INCIBE-CERT oder CCN-CERT) und DSGVO (an die Datenschutzbehörde: AEPD in Spanien) erfüllen. Beide Verordnungen haben 72-Stunden-Fenster für die primäre Meldung, aber die Empfänger, der erforderliche Inhalt und die Konsequenzen unterscheiden sich. NIS2 kann auch ausgelöst werden, ohne dass personenbezogene Daten betroffen sind (z.B. ein Denial-of-Service-Angriff). BMC koordiniert beide Meldepflichten, um sicherzustellen, dass sie korrekt und konsistent erfüllt werden, wenn ein Vorfall beide Rahmenwerke gleichzeitig auslöst.
NIS2 führt erstmals explizite Verpflichtungen zur Lieferkettensicherheit ein: Betroffene Einrichtungen müssen Cybersicherheitsrisiken von ihren Lieferanten und Dienstleistern bewerten, insbesondere diejenigen mit Zugang zu ihren Systemen oder Daten, und müssen vertragliche Klauseln einschließen, die angemessene Sicherheitsstandards in der gesamten Lieferkette gewährleisten. Dies schafft einen Kaskadeneffekt: Ein Unternehmen, das eine NIS2-Einrichtung beliefert, wird Sicherheitsanforderungen von seinem Kunden erhalten, selbst wenn es nicht direkt im NIS2-Geltungsbereich liegt. Die Europäische Kommission und ENISA haben spezifische Leitlinien zur Lieferantenrisikobewertung veröffentlicht.

Verwandte Leistungen

Compliance 50 Employees Hub Csrd Sustainability Hub Ai Act Regulation
Alle Leistungen in diesem Bereich

Machen Sie den ersten Schritt

Fordern Sie eine unverbindliche Beratung an und entdecken Sie, was wir für Ihr Unternehmen tun können.

Kostenlose Beratung
Anrufen Kontakt