NIS2-Compliance für internationale Unternehmen in Deutschland: Was Sie wissen müssen

NIS2 ist seit Oktober 2024 in Deutschland durchsetzbar – und viele internationale Unternehmen mit deutschen Niederlassungen wissen noch nicht, dass sie betroffen sind. Die Richtlinie gilt unabhängig vom Hauptsitz des Unternehmens: Wer in Deutschland operiert und in einem der relevanten Sektoren tätig ist, hat Pflichten.

Was NIS2 für Ihr Unternehmen bedeutet

NIS2 (Network and Information Security Directive 2) ist die Nachfolgerin der NIS1-Richtlinie und wurde mit dem NIS2UmsuCG im Oktober 2024 in deutsches Recht umgesetzt. Sie erweitert den Anwendungsbereich erheblich: Statt der bisher rund 2.000 betroffenen Unternehmen in Deutschland fallen nun schätzungsweise 30.000 Unternehmen unter die Regelung.

Wer ist betroffen?

NIS2 unterscheidet zwischen „wesentlichen” und „wichtigen” Einrichtungen – mit unterschiedlichen Anforderungen und Bußgeldrahmen:

• Wesentliche Einrichtungen: Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, Finanzmarktinfrastruktur, öffentliche Verwaltung – ab 250 Mitarbeitern oder €50M Umsatz
• Wichtige Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, digitale Dienste – ab 50 Mitarbeitern oder €10M Umsatz

Für internationale Unternehmen ist entscheidend: Die Regeln gelten für Ihre deutschen Betriebsstätten und Niederlassungen, unabhängig davon, wo die Muttergesellschaft sitzt. Ein US-amerikanisches oder britisches Unternehmen mit einem Büro in Berlin, das 60 Mitarbeiter beschäftigt und im Bereich digitaler Dienste tätig ist, kann unmittelbar betroffen sein.

Welche technischen Anforderungen stellt NIS2?

Die technischen Mindestmaßnahmen nach NIS2 (§ 30 BSIG-neu) umfassen konkret:

• Risikoanalyse und Sicherheitskonzepte — dokumentierte Risikobeurteilungen für alle informationstechnischen Systeme
• Incident Management — definierte Prozesse zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen
• Business Continuity / Backup — nachweisbare Backup-Prozesse, RTO/RPO-Definitionen, getestete Wiederherstellung
• Supply Chain Security — Sicherheitsanforderungen an Dienstleister und Lieferanten, vertragliche Verankerung
• Sicherheit in der Entwicklung — sichere Konfiguration, Patch-Management, Schwachstellenmanagement
• Kryptographie — Verschlüsselung von Daten in Transit und at Rest
• Multi-Faktor-Authentifizierung — MFA für alle privilegierten Zugänge, zunehmend auch für Standard-Nutzer
• Schulung und Sensibilisierung — nachweisbare Security-Awareness-Trainings

Meldepflichten: Was wann gemeldet werden muss

NIS2 führt strikte Meldefristen für Sicherheitsvorfälle ein. An das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist zu melden:

• Innerhalb von 24 Stunden: Erstmeldung bei erheblichen Störungen und Vorfällen
• Innerhalb von 72 Stunden: Detailliertere Folgemeldung mit erstem Lagebericht
• Innerhalb von 1 Monat: Abschlussbericht mit Ursache, Auswirkungen und ergriffenen Maßnahmen

Das klingt handhabbar – ist es aber nur, wenn Sie vorher wissen, was einen „erheblichen Vorfall” ausmacht und wenn Ihre Meldeprozesse bereits aufgesetzt sind. Unternehmen, die im Ernstfall erst überlegen müssen, an wen sie sich wenden, verlieren kostbare Zeit.

Persönliche Haftung der Geschäftsführung

Das ist der Punkt, der in vielen Unternehmen die Aufmerksamkeit der Geschäftsführung weckt: NIS2 sieht explizit die persönliche Haftung von Leitungsorganen vor. Geschäftsführer und Vorstandsmitglieder können für Verstöße persönlich haftbar gemacht werden, wenn sie ihre Aufsichtspflichten vernachlässigt haben. Die Bußgelder betragen bis zu €10 Mio. oder 2% des weltweiten Jahresumsatzes.

Der praktische Einstieg: Was kleine und mittlere Unternehmen jetzt tun sollten

Für Unternehmen, die gerade erst beginnen, sich mit NIS2 zu beschäftigen, ist der strukturierte Einstieg entscheidend:

1. Betroffenheit klären — Sektor, Mitarbeiterzahl und Umsatz prüfen. Im Zweifelsfall Rechtsberatung hinzuziehen.
2. IST-Analyse — Welche Maßnahmen sind bereits umgesetzt? Dokumentationslücken identifizieren.
3. Gap-Analyse — Abgleich mit den technischen Mindestmaßnahmen nach § 30 BSIG-neu. Priorisierung nach Risiko.
4. Umsetzungsplanung — Ressourcen, Zuständigkeiten und Zeitplan festlegen. IT-Dienstleister einbinden, soweit intern kein Fachwissen vorhanden.
5. Dokumentation sicherstellen — NIS2 ist ein Dokumentationspflicht-Gesetz. Nichts hilft, was nicht belegt ist.

Wie wir Berliner Unternehmen bei der NIS2-Compliance unterstützen

IT Experts Berlin unterstützt internationale Unternehmen mit deutschen Betriebsstätten bei der technischen Umsetzung der NIS2-Anforderungen: von der IST-Analyse über die Implementierung der Sicherheitsmaßnahmen bis hin zur Dokumentation für Prüfzwecke.

Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen betroffen ist oder wo Ihre größten Lücken liegen, sprechen Sie uns an. Ein erstes Gespräch ohne Verkaufsdruck hilft Ihnen, den eigenen Status einzuschätzen.