NIS2-Compliance: Handeln Sie, bevor der Regulierer es tut

NIS2 — Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union — ersetzt die ursprüngliche NIS-Richtlinie und erweitert den Umfang obligatorischer Cybersicherheitspflichten in der EU erheblich. Sie klassifiziert Organisationen in 18 kritischen Sektoren als "wesentliche Einrichtungen" oder "wichtige Einrichtungen" und verpflichtet sie, Risikomanagementmaßnahmen zu implementieren (Artikel 21), erhebliche Vorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (formeller Bericht) den nationalen Behörden zu melden und sicherzustellen, dass ihre Lieferketten angemessene Sicherheitsstandards erfüllen. In Spanien wird die Umsetzung in nationales Recht bis Juni 2026 erwartet; zuständige Aufsichtsbehörden sind INCIBE (Instituto Nacional de Ciberseguridad) für die meisten privaten Einrichtungen und CCN (Centro Criptológico Nacional) für öffentliche Einrichtungen und ihre Anbieter. Bußgelder für wesentliche Einrichtungen erreichen 10 Mio. EUR oder 2 % des globalen Jahresumsatzes.

Unser NIS2-Compliance-Team verbindet Rechtsexpertise in der Technologieregulierung mit technischem Cybersicherheitswissen, was uns ermöglicht, sowohl die rechtliche Umfangsbewertung als auch die praktische Implementierung der von der Richtlinie geforderten Kontrollen anzugehen.

Die bedeutendste Cybersicherheitsverordnung in der EU-Geschichte

NIS2 ist keine inkrementelle Aktualisierung der ursprünglichen NIS-Richtlinie. Es ist eine grundlegende Neufassung, die Cybersicherheit von einem technischen Anliegen zu einer Governance-Pflicht auf Vorstandsebene transformiert — mit persönlicher Haftung für Direktoren, DSGVO-vergleichbaren Bußgeldern und einem Anwendungsbereich, der sich über 18 kritische Sektoren und ihre Lieferketten erstreckt. Die in Spanien bis Juni 2026 erwartete Umsetzung wird diese Pflichten in nationales Recht überführen, aber die kluge Reaktion ist, die Implementierung jetzt zu beginnen, anstatt zu warten, bis das Gesetz formal in Kraft tritt.

Anwendungsbereich: Breiter als die meisten Unternehmen erwarten

Die häufigste Quelle von NIS2-Überraschungen ist der Anwendungsbereich. Unternehmen, die sich im traditionellen Sinne nicht als Betreiber kritischer Infrastrukturen betrachten — Logistikplattformen, Cloud-Dienstleister, Lebensmittelhersteller, Medizingerätehersteller — werden durch die erweiterte Sektorliste der Richtlinie erfasst. Die Lieferkettenexponierung fügt eine weitere Schicht hinzu: Organisationen, die Dienstleistungen an wesentliche Einrichtungen erbringen, können von diesen Einrichtungen aufgefordert werden, NIS2-äquivalente Konformität als Vertragsbedingung nachzuweisen, weit bevor eine spanische Aufsichtsbehörde an die Tür klopft.

Unsere Umfangsbewertung ist eine formelle rechtliche und technische Analyse, keine Checklistenübung. Sie liefert eine dokumentierte Schlussfolgerung, die dem Vorstand, Kunden und Regulierern vorgelegt werden kann.

Artikel 21: Welche Kontrollen tatsächlich erforderlich sind

Die Gap-Analyse gegenüber den Anforderungen von Artikel 21 ist typischerweise der Punkt, an dem Organisationen den meisten Handlungsbedarf entdecken. Die meisten verfügen über eine gewisse Form von Cybersicherheitskontrollen, aber die Anforderungen von NIS2 gehen wesentlich weiter: ein formell dokumentiertes und vom Vorstand genehmigtes Risikomanagement-Rahmenwerk, ein Lieferkettensicherheitsprogramm mit vertraglicher Wirkung, Multi-Faktor-Authentifizierung und Verschlüsselung auf allen kritischen Systemen und — entscheidend — ein getestetes Vorfallsmeldungsprotokoll, das tatsächlich eine 24-Stunden-Frühwarnung an die Aufsichtsbehörde liefern kann, nicht nur theoretisch.

Für Organisationen, die gleichzeitig die ISO 27001-Zertifizierung anstreben, strukturieren wir das NIS2-Compliance-Projekt zur Maximierung der Überschneidungen zwischen beiden Rahmenwerken, um Doppelarbeit zu vermeiden und gleichzeitig sicherzustellen, dass die spezifischen NIS2-Anforderungen, die nicht durch die Norm abgedeckt werden — Governance-Rechenschaftsdokumentation, Vorfallsmeldungsfristen, Lieferkettenklauseln — vollständig adressiert werden.

Die Vorfallsmeldungspflicht

NIS2’s Vorfallsmeldungspflichten sind operativ anspruchsvoll. Eine Frühwarnung muss die Aufsichtsbehörde innerhalb von 24 Stunden nach Erkennung eines erheblichen Vorfalls erreichen — vor der vollständigen Analyse, vor der Ursachenbestimmung und oft bevor der Vorfall vollständig eingedämmt ist. Der 72-Stunden-Erstbericht erfordert mehr Substanz, und der Ein-Monats-Abschlussbericht erfordert eine umfassende Darstellung von Auswirkung, Ursache und Behebung.

Für Vorfälle, die personenbezogene Daten betreffen, laufen diese Fristen parallel zum 72-Stunden-Meldezeitraum der DSGVO an die AEPD. Unsere Datenschutz- und NIS2-Teams koordinieren diese Meldungen gemeinsam und stellen sicher, dass die verschiedenen Behörden konsistente Informationen erhalten und keine Frist in der Dringlichkeit der anderen verpasst wird.