Wer ist von der neuen NIS-2-Richtlinie betroffen, welche Änderungen stehen an und warum verzögert sich die Umsetzung in Deutschland? In diesem Artikel erfährst du, wie sich die Bedrohungslage seit der ersten NIS-Richtlinie (2016) gewandelt hat, welche Unternehmen nun besonders im Fokus stehen – und was das Ganze für Betriebsräte und Mitbestimmungsrechte bedeutet.
Einleitung
Die NIS-2-Richtlinie (Network and Information Security Directive) der Europäischen Union bildet die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016. Ihr Hauptziel: Cyberangriffe und andere Bedrohungen der IT-Sicherheit wirksamer abzuwehren – in einer Welt, die zunehmend von Digitalisierung und Vernetzung geprägt ist.
In vielen Wirtschaftszweigen sind digitale Prozesse heute unverzichtbar, ob in der Produktion, im Dienstleistungssektor oder in staatlichen Institutionen. Gleichzeitig mehren sich gezielte Angriffe auf Infrastrukturen, Datennetze und Lieferketten. Beispiele reichen von Ransomware-Attacken auf internationale Konzerne bis zu Hackangriffen auf staatliche Stellen. Genau in diesem Kontext soll NIS2 einen einheitlichen, europaweiten Sicherheitsstandard schaffen.
NIS2 tritt an die Stelle ihrer Vorgängerin, der NIS-Richtlinie von 2016 (EU 2016/1148). Während die alte Fassung einen Fokus auf Energieversorgung, Banken und Gesundheitswesen legte, reagiert die Neufassung auf aktuelle Entwicklungen und nimmt weit mehr Branchen in den Blick. Trotz klarer Dringlichkeit steht die nationale Umsetzung in Deutschland jedoch noch aus. Unternehmen, Betriebsräte und staatliche Stellen warten auf ein NIS-2-Umsetzungsgesetz, das die neuen Vorgaben konkretisiert.
Rückblick auf NIS (2016)
Die ursprüngliche NIS-Richtlinie galt als Reaktion auf vermehrte Angriffe auf kritische Infrastrukturen und staatliche Institutionen. Ein markantes Beispiel dafür ist der große Hackerangriff auf den Deutschen Bundestag von 2015. Mehr Details zum Angriff in einem ausführlichen Tagesschau-Bericht. Dieses Ereignis weckte Politik und Öffentlichkeit auf und führte mit zur Verabschiedung von NIS (2016).
Damals konzentrierte sich die Richtlinie vor allem auf „Betreiber wesentlicher Dienste“: Versorgungsunternehmen (Strom, Wasser, Gas, Öl), große Krankenhäuser im Gesundheitswesen, systemrelevante Banken sowie den Transport- und Verkehrssektor. Hinzu kamen einige digitale Dienste (Online-Marktplätze, Cloud-Computing-Plattformen, Suchmaschinen). Das Ziel: einheitliche Meldepflichten und Sicherheitsstandards für alle EU-Mitgliedstaaten.
Allerdings stieß NIS (2016) rasch an Grenzen. Die Digitalisierung schritt voran, Cyberangriffe wurden immer raffinierter. Ransomware-Wellen trafen ganze Unternehmen oder öffentliche Verwaltungen. Einprägsame Beispiele sind Angriffe auf Logistikbetriebe, die zu Lieferengpässen führten. Dabei zeigte sich, dass viele dieser Firmen nicht als „wesentliche Dienste“ galten und somit weniger strengen Vorgaben unterlagen. Hier entstand eine Grauzone: Ihre Leistungen sind für Gesellschaft und Wirtschaft durchaus relevant, aber rechtlich kaum erfasst.
NIS-2-Richtlinie – Hintergrund: Größerer Geltungsbereich
Wer ist neu dabei?
Genau hier setzt NIS-2 an. Mehr Organisationen werden in die Pflicht genommen, darunter Post- und Kurierdienste, Teile der Lebensmittelproduktion, große Entsorger in der Abfallwirtschaft sowie verschiedene Hightech-Unternehmen. Auch Mittelständler oder größere Familienbetriebe, die bisher mit behördlichen Sicherheitsauflagen kaum Berührung hatten, müssen prüfen, ob sie unter den neuen Geltungsbereich fallen.
Umsatz- oder Mitarbeitergrenzen spielen oft eine Rolle.
Relevanz für die Versorgungssicherheit in Deutschland oder Europa ist entscheidend.
Ein Beispiel: Ein Lebensmittelhersteller kann als „wichtige Einrichtung“ eingestuft werden, wenn er die Versorgung mit Grundnahrungsmitteln maßgeblich beeinflusst. Kommt es dort zu einer Ransomware-Attacke, könnte das Verfügbarkeitsprobleme in der Lieferkette auslösen. NIS2 schreibt daher technische und organisatorische Maßnahmen vor, inklusive Meldepflicht bei schwerwiegenden IT-Sicherheitsvorfällen.
Neu ist die Unterteilung in „wesentliche Einrichtungen“ und „wichtige Einrichtungen“:
Wesentliche Einrichtungen ähneln den bisherigen Betreibern kritischer Infrastrukturen, mit teils verschärften Anforderungen.
Wichtige Einrichtungen sind erstmals erfasst, haben aber dennoch einen hohen Stellenwert für die Allgemeinheit.
Da die genauen Kriterien oft national präzisiert werden, bleibt abzuwarten, wie das in Deutschland konkret ausgestaltet wird.
Schärfere Vorgaben für alle
Auch jene, die bereits von NIS (2016) betroffen waren, sind nicht ausgenommen. Es kommen striktere Anforderungen auf sie zu:
Verbindlichere Sicherheitsstandards: z. B. ausführliche Risikoanalysen, Notfallpläne, umfangreiche Penetrationstests, verpflichtende Sensibilisierungsschulungen.
Lieferketten- und Partnermanagement: Höhere Verantwortung für die gesamte Wertschöpfungskette. Möglicherweise neue, vertraglich fixierte Sicherheitsauflagen für Lieferanten.
Meldepflicht bei Sicherheitsvorfällen: Innerhalb kurzer Fristen müssen gravierende Vorfälle an Behörden (z. B. BSI) gemeldet werden.
Höhere Bußgelder: Sicherheitsversäumnisse und unterlassene Meldungen werden teils härter geahndet.
Für Unternehmen, die NIS-1 bereits kannten, entsteht durch diese Vertiefungen ein zusätzlicher Dokumentations- und Nachweisaufwand. Neueinsteiger hingegen müssen erst einmal grundlegende Sicherheitskultur etablieren.
Politischer Stillstand bei der Umsetzung
Obwohl NIS-2 seit Januar 2023 auf EU-Ebene in Kraft ist, hat Deutschland die Richtlinie noch nicht in nationales Recht überführt. Eine eigentliche Frist bis Mitte Oktober 2024 schreibt vor, dass der Bundestag ein Umsetzungsgesetz erlassen muss. Darin werden etwa Erfassungsgrenzen, Rollen der Aufsichtsbehörden und Aufgabenverteilungen konkretisiert.
Doch es gibt Verzögerungen bei der Umsetzung der NIS-2-Richtlinie – Hintergrund für das Verstreichen der Frist ist vermutlich der Bruch der Ampel-Koalition (SPD, Grüne, FDP), und angesichts der Neuwahlen wird sich die Umsetzung in nationales Recht wohl noch weiter verschieben. Die Union (CDU/CSU) kritisierte in der Vergangenheit bereits mehrmals das Vorgehen der Ampel bei der Umsetzung von IT-Gesetzen. Bei einem Regierungswechsel nach der Bundestagswahl, drohen also weitere Verzögerungen, da bereits ausgearbeitete Entwürfe wieder umgeschrieben werden könnten.
Ergebnis: Ohne ein entsprechendes Umsetzungsgesetz haben Unternehmen und Behörden keinen klaren Handlungsrahmen. Zudem riskiert Deutschland ein Vertragsverletzungsverfahren auf EU-Ebene, sollte die Frist verstreichen.
Konkrete Beispiele für Bedrohungsszenarien
1. Ransomware-Angriffe auf Kliniken und Gesundheitsdienste
Angriffe auf Krankenhäuser zeigten, wie gefährlich fehlende Cybersicherheit sein kann. Verschlüsselte Patientendaten, ausgefallene Systeme – die Folgen können lebensgefährlich werden, wie bspw. beim Hackerangriff auf die Uni-Klinik Düsseldorf.
2. Angriffe auf Logistik und Lieferketten
Im Dezember 2021 traf eine Ransomware-Welle ein großes europäisches Logistiknetz. Pakete blieben liegen, Lieferungen verzögerten sich massiv. Da das Unternehmen nicht als kritische Infrastruktur galt, waren Melde- und Sicherheitspflichten weniger strikt. Genau hier setzt NIS-2 an.
3. Bundestags-Hack (2015)
Als Auslöser für NIS (2016) war der Hackerangriff auf den Deutschen Bundestag ein Warnsignal. Zwar gelten für staatliche Einrichtungen teils andere Vorschriften, aber Angriffe auf Parlamente und Ministerien bleiben ein Sicherheitsrisiko, insbesondere wenn sie IT-Schnittstellen zu kritischen Sektoren nutzen.
Relevanz für Unternehmen und Betriebsräte
Ein zentrales Thema ist die Integration der nötigen Sicherheitsmaßnahmen in bestehende Strukturen. Das betrifft Investitionen in Technik, personelle Ressourcen und betriebliche Mitbestimmung:
Einführung technischer Einrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG): Intrusion Detection oder Monitoring-Tools dürfen nicht ohne Mitsprache eingesetzt werden, wenn Beschäftigtendaten erfasst werden.
Ordnung des Betriebs (§ 87 Abs. 1 Nr. 1 BetrVG): Neue Sicherheitsrichtlinien (z. B. verpflichtende Passwortregeln oder Zwei-Faktor-Authentifizierung) können das Verhalten der Beschäftigten regeln.
Datenschutz: NIS2 ist kein Datenschutz-Gesetz, aber die Abgrenzung zur DSGVO ist entscheidend, da personenbezogene Daten im Sicherheitskontext verarbeitet werden können.
Gerade Betriebe, die bisher keine strengen Compliance-Regeln kannten, müssen sich auf intensiven Austausch mit dem Betriebsrat vorbereiten. Auch HR-Abteilungen müssen neue Schulungsprogramme planen. Sensibilisierung ist wichtig: Phishing-Mails erkennen, sichere Passwörter wählen, Meldung verdächtiger Vorgänge.
Was ändert sich für jene, die bereits NIS (2016) einhalten?
Betreiber kritischer Infrastrukturen (etwa Stromnetzbetreiber, große Kliniken, Banken) kennen NIS bereits. Doch NIS-2 hebt das Niveau:
Spezifischere Vorgaben bei Vorfallsmanagement, Dokumentationspflicht und Lieferkettenanalyse.
Verstärkte Aufsicht und höhere Bußgelder.
Kürzere Meldefristen im Ernstfall.
Die endgültige Ausgestaltung hängt vom NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in Deutschland ab. Bis dahin bleibt manches im Vagen, doch klar ist: Die Anforderungen werden strenger.
Dringlichkeit und mögliche Verzögerungen
Die Europäische Kommission verlangt eine zeitnahe Umsetzung von NIS2. Geschieht dies nicht, droht Deutschland ein Vertragsverletzungsverfahren. Darüber hinaus brauchen viele Unternehmen dringend Planungssicherheit. Gerade der Mittelstand kann kaum vorhersehen, bis wann welche Bereiche nachzurüsten sind.
Mit der anstehenden Bundestagswahl könnte sich das Tempo zusätzlich verlangsamen. Eine neue Regierung, womöglich eine andere Koalition, müsste ihre Agenda erst definieren. Die Union betont, dass eine Verschleppung bei der Cybersicherheit "verantwortungslos" wäre, weil Deutschland seine internationale Wettbewerbsfähigkeit sichern müsse.
Handlungsempfehlungen für Unternehmen
Interne Bestandsaufnahme
Welche Systeme sind geschäftskritisch? Wo fehlen Dokumentationen?
Risikoanalyse
Potenzielle Angriffswege identifizieren, Gegenmaßnahmen planen.
Betriebsrat frühzeitig einbinden
Transparenz zu geplanten Überwachungs- oder Sicherheitstools verhindert Konflikte.
Lieferketten prüfen
Contract Management mit Partnern, Audit-Rechte und Sicherheitsklauseln können nötig werden.
Schulungen und Awareness
Gut informierte Mitarbeiter erkennen verdächtige Mails und Abläufe, bevor Schaden entsteht.
Fazit
NIS2 stellt eine konsequente Weiterentwicklung der IT-Sicherheitsanforderungen dar und soll Lücken schließen, die in der alten Richtlinie offengeblieben waren. Die Themen Ransomware, Lieferketten und digitale Abhängigkeiten haben gezeigt, dass europäische Unternehmen verwundbarer sind, als man lange annahm.
In Deutschland verzögert sich die konkrete Umsetzung. Das sorgt bei Unternehmen, Betriebsräten und Behörden für Unklarheiten, etwa bei der Frage nach Schwellenwerten und Verfahrensregeln. Ob sich die Koalition rasch einigt oder eine neue Regierung das Thema in Angriff nehmen muss, ist offen.
Fest steht jedoch: Wer rechtzeitig investiert, sichert nicht nur die eigene IT-Infrastruktur, sondern verringert auch wirtschaftliche Risiken. Eine stabile IT-Sicherheit kann zudem Wettbewerbsvorteile bringen, Vertrauen bei Kunden, Partnern und Beschäftigten steigern – und damit letztlich das Unternehmen zukunftsfähiger machen.
Wichtig bleibt der Einbezug der Beschäftigten. Sicherheitsmaßnahmen sind nur erfolgreich, wenn sie organisatorisch und kulturell verankert werden. Ein Betriebsrat, der früh informiert wird und im Prozess mitwirkt, kann viel zu einem reibungslosen Ablauf beitragen. So wird die Idee hinter NIS2 – ein hoher, gemeinsamer Sicherheitsstandard in der EU – auch in der betrieblichen Praxis bestmöglich umgesetzt.
Quellen & weiterführende Informationen:
ENISA: „The NIS2 Directive – A High Common Level of Cybersecurity in the EU“
Detaillierte Erläuterung der wichtigsten Neuerungen, Fokus auf praktische Auswirkungen für Organisationen.
BSI (Bundesamt für Sicherheit in der Informationstechnik): NIS2-Informationsseite
Direkter Überblick des BSI zu Zielen und aktuellen Entwicklungen, inkl. Hinweisen zum nationalen Umsetzungsprozess.
EU-Kommission: FAQ zur NIS2-Richtlinie
https://digital-strategy.ec.europa.eu/en/faqs/nis2-directive-questions-and-answers
Fragen-und-Antworten-Dokument, das Klarheit zu Geltungsbereich, Verpflichtungen und Umsetzung auf EU-Ebene schafft.
EU-Legislative Datenbank (EUR-Lex) – Volltext der NIS2-Richtlinie
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555
Rechtsverbindlicher Originaltext der Richtlinie (EU) 2022/2555, maßgeblich für juristische Details.
Wissenschaftliche Dienste des Deutschen Bundestages:
Ausarbeitung „NIS2“ (WD 9 – 100/22)
Gute Zusammenfassung zum Stand der Umsetzung in Deutschland, inklusive möglicher Problemstellungen und Perspektiven.
ENISA: Lagebericht zu Cyber Bedrohungen in der EU
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
Zwar nicht nur zu NIS2, aber sehr relevant für das Verständnis der aktuell wichtigsten Cyberbedrohungen, gegen die NIS2 ansteuern soll.