Seite wählen

NIS-2 Umsetzung in Sachsen: Fristen, Pflichten und Haftung für Geschäftsführer

von | März 5, 2026 | Allgemein | 0 Kommentare

Die Europäische Union hat mit der NIS-2-Richtlinie (Network and Information Security) die Anforderungen an die Cybersicherheit drastisch verschärft. Im Gegensatz zur ersten NIS-Richtlinie, die vor allem große Betreiber kritischer Infrastrukturen (KRITIS) betraf, trifft NIS-2 nun zehntausende Unternehmen in ganz Europa – und damit auch massiv den Mittelstand in Sachsen und Dresden.

Wer ist von NIS-2 betroffen?

Die NIS-2-Richtlinie erweitert den Anwendungsbereich gegenüber der ersten NIS-Richtlinie massiv. Die Betroffenheit ergibt sich aus zwei Kriterien: dem Sektor und der Unternehmensgröße.

Betroffene Sektoren

NIS-2 unterscheidet zwischen Sektoren mit hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II):

Sektoren mit hoher Kritikalität (Anhang I):

  • Energie (Strom, Fernwärme, Öl, Gas, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharma, Medizinprodukte)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentren, Cloud-Dienste, DNS, TLD-Registries)
  • IKT-Dienstleistungsmanagement (Managed Services, Managed Security Services)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang II):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe / Herstellung von Waren (Medizinprodukte, DV-Geräte, elektronische und optische Erzeugnisse, elektrische Ausrüstung, Maschinenbau, Kraftfahrzeuge und Anhänger, sonstiger Fahrzeugbau)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Besonders der Sektor Verarbeitendes Gewerbe ist für Sachsen hochrelevant. Maschinenbauer, Automobilzulieferer, Hersteller elektronischer Bauteile und Medizinproduktehersteller in Dresden, Chemnitz und Leipzig fallen in den Anwendungsbereich.

Größenkriterien

Innerhalb der genannten Sektoren unterscheidet NIS-2 nach Unternehmensgröße:

  • Wesentliche Einrichtungen (Essential Entities): Große Unternehmen in Anhang-I-Sektoren mit mindestens 250 Mitarbeitern oder mehr als 50 Mio. € Jahresumsatz und mehr als 43 Mio. € Bilanzsumme
  • Wichtige Einrichtungen (Important Entities): Mittlere Unternehmen in Anhang-I- oder Anhang-II-Sektoren mit mindestens 50 Mitarbeitern oder mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme

Wichtig für sächsische Unternehmen: Die Schwelle von 50 Mitarbeitern oder 10 Millionen Euro Umsatz bedeutet, dass viele mittelständische Unternehmen erstmals reguliert werden. Auch Unternehmen, die als Teil einer Gruppe die Schwellenwerte überschreiten, können betroffen sein. Im Zweifelsfall empfehlen wir eine professionelle NIS-2-Beratung zur Klärung der Betroffenheit.

Fristen der NIS-2-Umsetzung in Deutschland

Die EU-Mitgliedstaaten waren verpflichtet, die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das eine umfassende Novellierung des BSI-Gesetzes (BSIG) vornimmt.

Der aktuelle Zeitplan:

  • EU-Frist (17.10.2024): Von Deutschland nicht eingehalten – das Gesetz durchlief ein aufwendiges parlamentarisches Verfahren
  • Verabschiedung des NIS2UmsuCG: Das Gesetz wurde im Laufe des Jahres 2025 finalisiert und trat in Kraft
  • Registrierungspflicht: Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren
  • Umsetzungsfrist: Es gibt keine Übergangsfrist für die Umsetzung der Sicherheitsmaßnahmen. Ab Inkrafttreten des Gesetzes gelten die Pflichten unmittelbar

Für sächsische Unternehmen in Dresden, Chemnitz, Leipzig und ganz Sachsen bedeutet das: Wer noch nicht mit der Vorbereitung begonnen hat, muss jetzt dringend handeln. Die Implementierung eines ISMS, die Einführung von Meldeprozessen und die Schulung der Geschäftsleitung benötigen mehrere Monate Vorlaufzeit.

Pflichten nach NIS-2

Die NIS-2-Anforderungen umfassen drei zentrale Pflichtenkreise: Risikomanagement, Meldepflichten und Supply-Chain-Sicherheit.

Risikomanagementmaßnahmen (Art. 21)

NIS-2 fordert einen gefahrenübergreifenden Ansatz zum Schutz der Netz- und Informationssysteme. Mindestens folgende Maßnahmen müssen implementiert werden:

  • Risikoanalyse und Sicherheitskonzepte: Systematische Identifikation und Bewertung von Risiken für Netz- und Informationssysteme
  • Bewältigung von Sicherheitsvorfällen: Dokumentierte Prozesse für Erkennung, Analyse, Eindämmung und Wiederherstellung
  • Betriebskontinuität und Krisenmanagement: Business-Continuity-Pläne, Backup-Management und Wiederanlaufplanung
  • Sicherheit der Lieferkette: Bewertung und Management der Sicherheitsrisiken in der gesamten Zulieferkette
  • Sicherheit bei Erwerb, Entwicklung und Wartung: Secure-by-Design-Prinzipien und Schwachstellenmanagement
  • Bewertung der Wirksamkeit: Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch Audits und Penetrationstests
  • Cyberhygiene und Schulungen: Grundlegende Sicherheitspraktiken und regelmäßige Schulungen für alle Mitarbeiter
  • Kryptographie und Verschlüsselung: Angemessene Verschlüsselungsmaßnahmen für Daten in Übertragung und Speicherung
  • Personalsicherheit und Zugangskontrollen: Identitäts- und Zugriffsmanagement, Multi-Faktor-Authentifizierung
  • Sichere Kommunikation: Verschlüsselte Sprach-, Video- und Textkommunikation für Notfälle

Der effizienteste Weg, alle diese Anforderungen systematisch umzusetzen, ist der Aufbau eines ISMS nach ISO 27001. Die Maßnahmen der ISO 27001 decken die NIS-2-Anforderungen nahezu vollständig ab.

Meldepflichten (Art. 23)

NIS-2 verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich. Bei einem erheblichen Sicherheitsvorfall gelten folgende Fristen:

  1. Frühwarnung innerhalb von 24 Stunden: Erste Meldung an die zuständige Behörde (BSI) mit der Angabe, ob der Vorfall vermutlich auf eine rechtswidrige oder böswillige Handlung zurückzuführen ist
  2. Vorfallmeldung innerhalb von 72 Stunden: Detaillierte Meldung mit erster Bewertung des Vorfalls, Schweregrad und Auswirkungen
  3. Abschlussbericht innerhalb eines Monats: Umfassender Bericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen

Diese engen Fristen erfordern vorab definierte Prozesse und klare Verantwortlichkeiten. Ein Unternehmen, das erst im Krisenfall nach dem richtigen Ansprechpartner sucht, wird diese Fristen nicht einhalten können.

Supply-Chain-Sicherheit

Eine der bedeutendsten Neuerungen von NIS-2 ist die explizite Forderung nach Sicherheit in der Lieferkette. Unternehmen müssen:

  • Die Cybersicherheitsrisiken ihrer direkten Zulieferer und Dienstleister bewerten
  • Sicherheitsanforderungen vertraglich mit Lieferanten vereinbaren
  • Die Einhaltung dieser Anforderungen regelmäßig überprüfen
  • Kritische Abhängigkeiten identifizieren und Alternativstrategien entwickeln

Für sächsische Zulieferer bedeutet das auch umgekehrt: Selbst wenn das eigene Unternehmen nicht direkt unter NIS-2 fällt, können Kunden in regulierten Sektoren Sicherheitsnachweise verlangen. Ein nachweisbares Informationssicherheitsmanagement wird damit zum Wettbewerbsvorteil.

Geschäftsführerhaftung: Ein persönliches Risiko

Das wohl schärfste Schwert der NIS-2-Richtlinie ist die Haftung. Die Geschäftsleitung (C-Level) ist persönlich haftbar für die Umsetzung und Überwachung der Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Die Richtlinie sieht explizit vor, dass Leitungsorgane haftbar gemacht werden können, wenn Pflichtverletzungen zu Vorfällen führen. Die Ausrede „Die IT macht das schon“ ist rechtlich nicht mehr haltbar.

Konkret bedeutet das:

  • Die Geschäftsleitung muss die Risikomanagementmaßnahmen genehmigen und deren Umsetzung überwachen
  • Führungskräfte müssen an Schulungen zur Cybersicherheit teilnehmen
  • Bei Pflichtverletzungen können Geschäftsführer persönlich mit ihrem Privatvermögen haften
  • Die Haftung kann nicht auf die IT-Abteilung oder einen externen Dienstleister delegiert werden

Bußgelder bei Verstößen

NIS-2 sieht empfindliche Bußgelder vor, die sich an der Systematik der DSGVO orientieren:

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Zusätzlich zu den Bußgeldern können die Aufsichtsbehörden weitere Maßnahmen anordnen: verbindliche Anweisungen zur Umsetzung von Sicherheitsmaßnahmen, Anordnung von Sicherheitsaudits, vorübergehende Untersagung der Geschäftstätigkeit und öffentliche Bekanntmachung von Verstößen.

Umsetzungsfahrplan für sächsische Unternehmen

Die Umsetzung der NIS-2-Anforderungen ist ein mehrmonatiges Projekt. Der folgende Fahrplan gibt eine Orientierung für sächsische Mittelständler:

Phase 1: Betroffenheitsanalyse (2–4 Wochen)

Prüfen Sie, ob Ihr Unternehmen in den Anwendungsbereich fällt. Berücksichtigen Sie dabei Konzernzugehörigkeiten, Tochtergesellschaften und die konkreten Tätigkeiten Ihres Unternehmens. Im Zweifelsfall holen Sie eine fachkundige Beratung ein.

Phase 2: Gap-Analyse (4–6 Wochen)

Vergleichen Sie den Ist-Zustand Ihrer Informationssicherheit mit den NIS-2-Anforderungen. Identifizieren Sie die Lücken und priorisieren Sie die Maßnahmen nach Risiko und Aufwand.

Phase 3: ISMS-Aufbau (3–6 Monate)

Bauen Sie ein ISMS auf oder erweitern Sie ein bestehendes System. Dokumentieren Sie Richtlinien, Prozesse und Verantwortlichkeiten. Führen Sie eine systematische Risikoanalyse durch.

Phase 4: Technische Umsetzung (parallel zu Phase 3)

Implementieren Sie die technischen Maßnahmen: Netzwerksegmentierung, MFA, Patch-Management, Backup-Konzept, EDR-Lösung, Verschlüsselung und Monitoring.

Phase 5: Meldeprozesse und Schulung (4–6 Wochen)

Etablieren Sie die Meldeprozesse ans BSI, schulen Sie die Geschäftsleitung und alle Mitarbeiter, und führen Sie erste Übungen durch.

Phase 6: Registrierung und Nachweis (2 Wochen)

Registrieren Sie sich beim BSI und dokumentieren Sie die umgesetzten Maßnahmen als Nachweis Ihrer Compliance.

Der Lösungsansatz: Ein funktionierendes ISMS

Der sicherste Weg, den Anforderungen von NIS-2 zu entsprechen und die Haftungsrisiken des Managements zu minimieren, ist die Etablierung eines Information Security Management Systems (ISMS), idealerweise angelehnt an die ISO 27001. Dies umfasst systematische Risikoanalysen, dokumentierte Notfallpläne (Business Continuity), technische und organisatorische Zugriffskontrollen sowie regelmäßige Mitarbeiterschulungen und Awareness-Programme.

Häufig gestellte Fragen (FAQ)

Gilt NIS-2 auch für Unternehmen unter 50 Mitarbeitern?

Grundsätzlich sind Unternehmen unter 50 Mitarbeitern und unter 10 Mio. € Umsatz vom Anwendungsbereich ausgenommen. Es gibt jedoch wichtige Ausnahmen: Anbieter von DNS-Diensten, TLD-Registries, Cloud-Computing-Diensten, Rechenzentrumsdiensten, Vertrauensdiensten und Telekommunikationsdiensten fallen unabhängig von ihrer Größe unter NIS-2. Auch Unternehmen, die als einziger Anbieter eines Dienstes in einem Mitgliedstaat fungieren, können betroffen sein.

Wie hängen NIS-2 und ISO 27001 zusammen?

Die NIS-2-Richtlinie und die ISO 27001 verfolgen ähnliche Ziele, sind aber unterschiedliche Instrumente. NIS-2 ist eine gesetzliche Pflicht mit Bußgeldandrohung, ISO 27001 ist eine freiwillige Zertifizierung. In der Praxis deckt ein ISO-27001-konformes ISMS jedoch ca. 80–90 % der NIS-2-Anforderungen ab. Eine ISO-27001-Zertifizierung ist damit der effizienteste Weg zur NIS-2-Compliance und kann bei Audits als starker Nachweis dienen.

Was passiert, wenn mein Unternehmen die NIS-2-Anforderungen nicht rechtzeitig umsetzt?

Neben den Bußgeldern (bis zu 10 Mio. € bzw. 2 % des Jahresumsatzes) drohen weitere Konsequenzen: Die Aufsichtsbehörde kann verbindliche Anweisungen zur Umsetzung erteilen, regelmäßige Sicherheitsaudits auf Kosten des Unternehmens anordnen und bei schwerwiegenden Verstößen sogar die Geschäftstätigkeit vorübergehend untersagen. Für Geschäftsführer kommt die persönliche Haftung hinzu. Darüber hinaus drohen Reputationsschäden, wenn Verstöße öffentlich bekannt gemacht werden.

IT-Sicherheit für Ihr Unternehmen in Sachsen

Bedrohungen und Cyberangriffe zeigen täglich, wie wichtig ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) ist. Als zertifizierter externer Informationssicherheitsbeauftragter (ISB) und spezialisierter IT-Dienstleister in Dresden und ganz Sachsen unterstützt die DATUREX GmbH Sie bei der proaktiven Absicherung Ihrer Systeme. Wir bereiten Sie effizient auf Audits nach ISO 27001, TISAX und BSI IT-Grundschutz vor und helfen Ihnen bei der rechtssicheren Umsetzung der NIS-2-Richtlinie. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Die DATUREX GmbH vereint Datenschutzberatung, Informationssicherheit und KI-Lösungen unter einem Dach.

Neu: IT-Sicherheitskonzept | KRITIS-Beratung | Schwachstellenanalyse | IT-Notfallmanagement | IT-Sicherheitsaudit

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert