Implikationen für Unternehmen und Institutionen
Ihr Experte für Fragen
André Glenzer
Partner, Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 160 94470376
E-Mail
Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und ist am 16. Januar 2023 in Kraft getreten. Sie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten diese in nationales Recht überführen.
Die NIS-2-Richtlinie erweitert die Cyber-Sicherheitsanforderungen und die Sanktionen, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und zu verbessern und enthält strengere Anforderungen für verschiedene Sektoren. Unternehmen und Organisationen müssen sich unter anderem mit den Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen. Darüber hinaus erweitert die Richtlinie die Zahl der Organisationen, die in den Anwendungsbereich fallen. Für die Geschäftsleitung der betroffenen Organisationen werden strengere Haftungsregeln gelten.
NIS-2 Umsetzungsgesetz: In Deutschland wurde das NIS-2 Umsetzungsgesetz („Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung”) am 13.11.2025 im Bundestag beschlossen. Das Inkrafttreten ist Anfang 2026 avisiert.
Für Geschäftsleitungen besonders relevant: Das Gesetz sieht eine verpflichtende Schulung der Unternehmensführung (§ 38 Abs. 3 BSIG-E) vor. Ziel ist, das Verständnis für Cyberrisiken und das Risikomanagement auf Vorstandsebene zu stärken. Das BSI gibt hierfür eine Mindestdauer von vier Stunden innerhalb von drei Jahren vor – Umfang und Inhalte richten sich nach der individuellen Risikoexposition des Unternehmens.
„In Deutschland wirkte die KRITIS-Gesetzgebung bislang insbesondere auf größere Institutionen. Mit NIS-2 wird Cybersicherheit und -Resilienz nun auch für die breite Masse der Unternehmen in Europa und damit auch in Deutschland zum Top Thema.“
Gemeinsam beurteilen wir, ob Sie von der NIS-2-Richtlinie betroffen sind und setzen die Grundlage für Ihre NIS-2-Readiness.
Im zweiten Schritt zeigen wir Abweichungen von den NIS-2-Anforderungen auf und empfehlen geeignete Maßnahmen zur Schließung dieser Lücken.
Wir helfen Ihnen, die NIS-2-Anforderungen für all Ihre EU-Entities zu klären und Maßnahmen effizient und harmonisiert vorzubereiten.
Wir begleiten Sie bei der Implementierung strategischer, organisatorischer, prozessualer und technischer Maßnahmen.
Wir unterstützen Sie mit einem Risk Exposure Assessment (REA) und entwickeln ein zielgerichtetes Schulungskonzept.
Compliance als Service – jederzeit konform, audit-ready, nachhaltig abgesichert.
Die Führungskräfte in Ihrem Unternehmen müssen gemäß § 38 BSIG-E mit den Anforderungen der Richtlinie und den Maßnahmen zum Risikomanagement vertraut sein. Sie sind direkt dafür verantwortlich, dass Cyberrisiken erkannt und angegangen werden und dass die Anforderungen erfüllt werden.
Verschaffen Sie sich Orientierung zu Ihrer individuellen Risikoexposition mit unserem Fragebogen zum Risk Exposure Assessment (REA).
Mit der Einführung der NIS-2-Richtlinie stehen Unternehmen vor der Herausforderung, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu melden. Diese Anforderung hat weitreichende Auswirkungen auf die Geschäftsabläufe und verlangt schnelle, präzise Entscheidungen.
Der NIS-2 Incident Severity Indicator ist ein KI-Tool, das genau dafür entwickelt wurde. In einem Umfeld, in dem bei Nichteinhaltung hohe Geldstrafen drohen und der enge Zeitrahmen keine Verzögerungen zulässt, liefert die KI die notwendige Sicherheit und Geschwindigkeit. Sie unterstützt Teams dabei, Vorfälle zügig und reproduzierbar zu bewerten, Meldepflichten eindeutig zu klären und Entscheidungen belastbar zu dokumentieren.
Die integrierte, KI-basierte Entscheidungsunterstützung mit detaillierter, prüffähiger Dokumentation schafft Transparenz und Nachvollziehbarkeit. Gleichzeitig sorgen strukturierte Workflows dafür, dass der Aufwand für die Berichterstellung deutlich sinkt und Meldungen schnell, konsistent und ressourcenschonend erstellt werden.
Setzen Sie auf den NIS-2 Incident Severity Indicator, um Ihr Incident-Management zu beschleunigen, die Einhaltung der 24-Stunden-Meldepflicht effektiv zu unterstützen und Ihre Cybersicherheitslage nachhaltig zu stärken.
NIS-2 verpflichtet betroffene Unternehmen insbesondere zum Cyber-Risikomanagement. Dazu gehört die Pflicht, Cybersicherheit in der Lieferkette zu verankern – einschließlich spezifischer Sicherheitsanforderungen an unmittelbare Zulieferer und Dienstleister. Betroffene Unternehmen müssen daher in ihren Verträgen mit Zulieferern und Dienstanbietern hinreichende Cyber-Sicherheitspflichten vereinbaren. Das ist herausfordernd, weil die Vertragsentwürfe in der Regel von den Zulieferern und Anbietern gestellt werden.
Schnelle, ressourcensparende und präzise Prüfung aller relevanten Verträge auf NIS-2-Lieferketten-Compliance:
In der Deutschen Umsetzung wird zwischen „Besonders wichtige Einrichtung“ und „Wichtige Einrichtung“ unterschieden. Der Hauptunterschied zwischen besteht darin, dass für „Wichtige Einrichtungen“ geringere Geldstrafen vorgesehen sind und sie einer reaktiven Aufsicht durch die Behörden unterliegen, im Gegensatz zur proaktiven Aufsicht, die der „Besonders wichtigen Einrichtung“ vorbehalten ist.
In der EU soll es keine unterschiedlichen Mindestschwellenwerte mehr geben, sondern Betroffenheit nach „uniformen Kriterien“ ermittelt werden. Unter die Regulierung sollen mittlere und große Unternehmen fallen:
Dadurch wird der Anwendungsbereich in Deutschland enorm ausgeweitet.
Für besonders wichtige Einrichtungen können Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag maßgeblich ist. Bei wichtigen Einrichtungen belaufen sich die Bußgelder auf bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, wobei auch hier der höhere Betrag entscheidend ist.
Die betroffenen Unternehmen und Organisationen müssen angemessene Maßnahmen in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Business Continuity Management, Verschlüsselung, Zutrittsbeschränkungen sowie Berichterstattung an die Behörde und Abhilfemaßnahmen ergreifen.
Wichtiger Hinweis: Gem. des Entwurfs des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften. Die Obergrenze für diese Bußgelder entspricht 2 % des globalen Jahresumsatzes des Unternehmens.
Fest steht: Der Anwendungsbereich geht weit über die bekannten kritischen Infrastrukturen hinaus. Im Energiesektor beispielsweise war der Anwendungsbereich der NIS immer auf Unternehmen beschränkt, die Energie im Strom- und Gassektor erzeugen, liefern oder regulieren. Im Rahmen von NIS-2 erwarten wir, dass auch die Lieferkette, z. B. die Hersteller von Windturbinen und die Betreiber von Ladestationen für Elektrofahrzeuge, von den Anforderungen erfasst werden.
Lieferung, Verteilung, Übertragung und Verkauf von Strom, Gas, Öl, Heizung/Kühlung, Wasserstoff, Betreiber von Ladestationen für Elektrofahrzeuge
Einschließlich Reedereien und Hafenanlagen
Kredit, Handel, Markt und Infrastruktur; Neu: laut Referentenentwurf des NIS-2UmsuCG auch Versicherungswesen
Gesundheitsdienstleister, Forschungslabors, Pharmazeutika, Herstellung medizinischer Geräte
Trinkwasserversorger und Abwasserentsorger
Bereitstellung von DNS und TLD-Registern
Welche Auswirkungen hat die NIS-2 für die öffentliche Verwaltung? Für wen gilt die NIS-2 in der Bundesverwaltung? Wir beleuchten Anforderungen der NIS-2 an das Informationssicherheitsmanagement sowie die Pflichten und Sanktionsrisiken.
Betreiber bodengeschützter Infrastrukturen
Abfallsammlung, -transport, -behandlung und -entsorgung
Cyber-Vorfälle in der Abfallentsorgung und -verwertung können das öffentliche Leben stark beeinträchtigen. Ab Januar 2024 gilt der Sektor daher als Kritische Infrastruktur und muss besonders geschützt werden. Unternehmen fallen zudem in den Anwendungsbereich von NIS-2 ab Oktober 2024, selbst wenn sie die KRITIS Schwellenwerte nicht überschreiten.
Produktion, Herstellung und Handel
Produktion, Verarbeitung und Vertrieb
Medizin-/Diagnosegeräte, Computer, Elektronik, Optik, Maschinen, Kraftfahrzeuge, Anhänger, Sattelanhänger, sonstige Transportmittel
Online-Marktplätze, Suchmaschinen, soziale Plattformen
Produktion und Vertrieb
PwC hat länderübergreifend ein umfassendes NIS-2 Kompetenz-Netzwerk aufgebaut. Dieses besteht aus Expert:innen aus den Bereichen Cyber Security, Risikomanagement, Incident Response, Governance, Compliance und Recht. Über 150 Spezialist:innen in der EMEA-Region unterstützen Unternehmen bei der Umsetzung der NIS-2-Richtlinie. Wir helfen ihnen, die Betroffenheit der NIS-2-Richtlinie für ihre Organisation zu ermitteln, ihre Fähigkeiten zur Erfüllung der Anforderungen zu bewerten oder Lücken zu identifizieren und sie dabei zu unterstützen, die regulatorischen Vorgaben auf lokaler und EU-Ebene angemessen und kosteneffizient zu erfüllen.
Lesen Sie in diesem Whitepaper, wie mittelständische Unternehmen jetzt ihre Cyberabwehr aufbauen müssen, um die Anforderungen der NIS-2 zu erfüllen und für die aktuellen Bedrohungslage gewappnet zu sein. Dabei zeigen wir auf, wie Cyberkriminelle, einschließlich staatlicher Akteure, gezielt KMU angreifen und geben praxisnahe Empfehlungen, wie Ihr Unternehmen seine Widerstandsfähigkeit gegen Cyberangriffe stärken kann.
„NIS-2 wird ein echter ,Game Changer‘ und die Cyber-Regulatorik in Europa nachhaltig verändern.“
André Glenzer, Partner bei PwC DeutschlandFinden Sie mit Hilfe unserer kurzen Betroffenheitsanalyse heraus, ob auch Ihr Unternehmen in die NIS-2-Richtlinie fällt.
In unserem Flyer erfahren Sie mehr über die Richtlinie, wer betroffen ist und erhalten exklusiven Zugang zu unserer Checkliste zur Vorbereitung auf NIS-2.
Senior Manager, Cyber Security & Privacy, PwC Germany
Tel.: +49 160 8976282
