Die NIS-2-Richtlinie erfasst deutlich mehr Unternehmen, konkretisiert Pflichten und verschärft Sanktionen.
Cyberangriffe wie Ransomware-Attacken haben in den vergangenen Jahren verstärkt zugenommen. Für Unternehmen bedeutet dies, dass sie angemessene und vor allem ausreichende Cybersecurity-Vorkehrungen treffen müssen.
Angesichts der steigenden Bedrohungslage hat sich die EU im Rahmen ihrer Cybersicherheitsstrategie zu einer Verschärfung der Vorgaben des Informationssicherheitsrechts entschieden. Mit der Richtlinie (EU) 2022/2555 („NIS-2“) hat der europäische Gesetzgeber den Ordnungsrahmen für Cybersicherheit erheblich ausgeweitet. Die NIS-2 ersetzt die bisherige NIS-1-Richtlinie. Sie verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Anders als ihr Vorgänger erfasst sie deutlich mehr Unternehmen, konkretisiert Pflichten und verschärft Sanktionen. In Deutschland ist das Gesetz zur Umsetzung der NIS-2-Richtlinie seit dem 06.12.2025 in Kraft.
Der Anwendungsbereich von NIS-2 richtet sich nach dem Sektor, in dem das Unternehmen tätig ist, sowie nach bestimmten Schwellenwerten, die das Unternehmen überschreiten muss, um erfasst zu werden. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale und zuständige Behörde für die Überprüfung und Durchsetzung der NIS-2-Richtlinie. Die vom Anwendungsbereich von NIS-2 erfassten Unternehmen müssen sich beim BSI registrieren und erhebliche Sicherheitsvorfälle binnen 24 Stunden anzeigen.
Mitgliedsunternehmen können nähere Informationen, insbesondere den Link zur NIS-2-Registrierung, dem A-Rundschreiben zum gleichen Thema entnehmen, das im ArbeitgeberNet unter „A-Rundschreiben“ und dort unter „Aktuelles“ gespeichert ist.
