NIS2-Richtlinie: Neue Cybersicherheitspflichten für Unternehmen | InfoSwitch - Migration vers Infomaniak

Zurück zum Blog Neuigkeiten

NIS2-Richtlinie: Neue Cybersicherheitspflichten für Unternehmen

Das InfoSwitch-Team 26 mars 2026 11 Min. gelesen

Die NIS2-Richtlinie (Netz- und Informationssicherheit 2) trat 2024 in Kraft, mit nationaler Umsetzung 2025. Sie erweitert den Anwendungsbereich der Unternehmen, die Cybersicherheitspflichten unterliegen, erheblich. Sind Sie betroffen? Welche Pflichten haben Sie? Wie erreichen Sie Compliance?

Meine E-Mail absichern

NIS2: Was ist das?

NIS2 ist die Überarbeitung der europäischen NIS-Richtlinie (2016) zur Sicherheit von Netz- und Informationssystemen. Im Dezember 2022 verabschiedet, muss sie in nationales Recht der einzelnen Mitgliedstaaten umgesetzt werden.

Das Ziel: die Cyber-Resilienz der EU angesichts zunehmender Cyberangriffe zu stärken. Die ursprüngliche NIS-Richtlinie betraf nur eine begrenzte Anzahl kritischer Sektoren. NIS2 erweitert den Anwendungsbereich erheblich.

Wer ist betroffen?

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen:

Wesentliche Einrichtungen

Historisch kritische Sektoren:

  • Energie (Strom, Gas, Öl)
  • Verkehr (Luft, Schiene, See, Straße)
  • Banken und Finanzmarktinfrastruktur
  • Gesundheit (Krankenhäuser, Labore, Medizingerätehersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, Rechenzentren, Cloud-Anbieter)
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen

Neu erfasste Sektoren:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie (Herstellung und Vertrieb)
  • Lebensmittel (Produktion und Vertrieb)
  • Fertigung (Medizinprodukte, Elektronik, Maschinen)
  • Digitale Diensteanbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Größenkriterien

Innerhalb dieser Sektoren gilt NIS2 für Unternehmen nach ihrer Größe:

  • Großunternehmen (>250 Mitarbeiter oder Umsatz >50 Mio. €): erfasst
  • Mittelunternehmen (50–250 Mitarbeiter oder Umsatz 10–50 Mio. €): erfasst
  • Kleinunternehmen (<50 Mitarbeiter und Umsatz <10 Mio. €): generell ausgenommen, mit Ausnahmen

Auf Ausnahmen achten

Einige Kleinunternehmen sind erfasst, wenn sie kritische Lieferanten einer wesentlichen Einrichtung sind, Vertrauensdienste (elektronische Signaturen) anbieten oder in bestimmten spezifischen Sektoren tätig sind (DNS, Telekommunikation).

Welche Pflichten gibt es?

Betroffene Einrichtungen müssen Cyber-Risikomanagementmaßnahmen umsetzen und Meldepflichten einhalten.

Obligatorische Sicherheitsmaßnahmen

Die Richtlinie schreibt Mindestmaßnahmen vor:

  • Risikoanalyse und Sicherheitsrichtlinien
  • Incident-Management: Erkennung, Reaktion, Meldung
  • Geschäftskontinuität: Backups, Notfallwiederherstellung
  • Lieferkettensicherheit: Lieferantenbewertung
  • Netz- und Systemsicherheit: Beschaffung, Entwicklung, Wartung
  • Wirksamkeitsbewertung der Sicherheitsmaßnahmen
  • Cyber-Hygiene: Schulung, Sensibilisierung
  • Verschlüsselung und Zugangskontrolle
  • Multi-Faktor- oder kontinuierliche Authentifizierung
  • Sichere Kommunikation in Notfallsituationen

Meldepflichten

Bei einem erheblichen Vorfall:

  • Frühwarnung: innerhalb von 24 Stunden nach Erkennung
  • Vorfallmeldung: innerhalb von 72 Stunden
  • Abschlussbericht: innerhalb eines Monats nach Meldung

Meldungen erfolgen an die zuständige nationale Behörde (BSI in Deutschland).

Haftung der Geschäftsführung

Eine wichtige Änderung: Führungskräfte sind persönlich für die Compliance verantwortlich. Sie müssen Sicherheitsmaßnahmen genehmigen und sich einer Cybersicherheitsschulung unterziehen.

Sanktionen

NIS2 sieht erhebliche Strafen vor:

  • Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des globalen Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des globalen Jahresumsatzes

Führungskräfte können auch persönlich sanktioniert werden (Amtsenthebung, Bußgelder).

Was NIS2 für Ihre E-Mail bedeutet

E-Mail ist oft der primäre Angriffsvektor bei Cyberangriffen. NIS2 verschärft effektiv die Sicherheitsanforderungen für dieses kritische Tool.

Erweiterte Authentifizierung

Die Richtlinie erwähnt ausdrücklich Multi-Faktor-Authentifizierung. Für Ihre E-Mail bedeutet das:

  • 2FA für alle E-Mail-Konten aktivieren
  • Robuste Methoden bevorzugen (TOTP, physische Schlüssel) gegenüber SMS
  • 2FA vorschreiben, nicht nur anbieten

Kommunikationsverschlüsselung

Verschlüsselung wird als Basismassnahme genannt. Ihre E-Mail muss verwenden:

  • TLS für alle Austausche (im Transit)
  • Verschlüsselung im Ruhezustand auf Servern
  • Optional: Ende-zu-Ende-Verschlüsselung für die sensibelsten Kommunikationen

Lieferkettensicherheit

Sie müssen die Sicherheit Ihrer Lieferanten bewerten, einschließlich Ihres E-Mail-Hosting-Anbieters. Zu stellende Fragen:

  • Wo werden die Daten gehostet?
  • Welche Sicherheitszertifizierungen besitzen sie?
  • Wie gehen sie mit Vorfällen um?
  • Sind sie selbst NIS2-konform?

Infomaniak und NIS2

Infomaniak als Cloud-Hoster und digitaler Diensteanbieter ist selbst NIS2-pflichtig. Seine Rechenzentren sind ISO 27001 zertifiziert, seine Sicherheitsprozesse werden auditiert, und das Unternehmen kann die für Ihre Compliance-Prüfungen benötigten Nachweise liefern.

Aktionsplan für KMUs

Wenn Sie von NIS2 betroffen sind, sind hier die wichtigsten Compliance-Schritte.

1. Ihre Exposition bewerten

Sind Sie in einem betroffenen Sektor? Überschreiten Sie die Größenschwellen? Sind Sie Lieferant einer wesentlichen Einrichtung? Dieser erste Schritt bestimmt Ihre Pflichten.

2. Ihre Systeme kartieren

Identifizieren Sie Ihre kritischen Informationssysteme: E-Mail, ERP, Website, Kundendatenbanken. Bewerten Sie deren aktuelles Sicherheitsniveau.

3. Eine Risikoanalyse durchführen

Identifizieren Sie Bedrohungen (Phishing, Ransomware, Einbruch), Schwachstellen (schwache Passwörter, ungepatchte Systeme) und potenzielle Auswirkungen.

4. Technische Maßnahmen umsetzen

  • 2FA überall aktivieren
  • Systeme aktualisieren
  • Regelmäßig sichern
  • Benutzer schulen
  • E-Mail absichern

5. Dokumentieren

Schreiben Sie Ihre Sicherheitsrichtlinien, Vorfallmanagementverfahren und Geschäftskontinuitätsplan. Die Dokumentation ist entscheidend, um Compliance nachzuweisen.

6. Auf Meldungen vorbereiten

Richten Sie einen Prozess zur Vorfallserkennung und -meldung ein. Identifizieren Sie, wen Sie kontaktieren, wie und innerhalb welcher Fristen.

Fazit

NIS2 markiert einen Wendepunkt in der europäischen Cyber-Regulierung. Tausende von Unternehmen, die bisher nicht betroffen waren, müssen nun ihren Ansatz zur IT-Sicherheit strukturieren.

Auch wenn die Investition erheblich erscheint, ist sie auch eine Gelegenheit, Ihre Widerstandsfähigkeit wirklich zu stärken. Cyberangriffe kosten weit mehr als Compliance.

Beginnen Sie damit, Ihre grundlegenden Bausteine abzusichern: E-Mail, Identitäten, Backups. Mit einem vertrauenswürdigen Hosting-Anbieter wie Infomaniak legen Sie den Grundstein für eine konforme und sichere Infrastruktur.

Meine E-Mail absichern

Sind Sie bereit, zu Infomaniak zu migrieren?

Kontaktieren Sie uns für ein kostenloses 15-minütiges Audit. Wir analysieren Ihre Situation und erstellen Ihnen ein individuelles Angebot.

Fordern Sie ein kostenloses Audit an
Teilen Sie diesen Artikel:

Lesen Sie auch