Skip to content
DE

NIS2: Warum Security-Governance zur Aufgabe für die Führungsebene wird

Die NIS2-Richtlinie markiert einen grundlegenden Wandel in der Art und Weise, wie die Europäische Union die Cybersicherheit regelt. Was einst ein vorwiegend technisches Anliegen war, ist nun zu einer strategischen Verpflichtung im Bereich Governance, Risk und Compliance (GRC) geworden, für die die Führungsebene direkt verantwortlich ist.

Picture of Jean-Didier Zotna By  1 5 min read

Für Risikomanager, CISOs, IT-Führungskräfte und Compliance-Experten bringt NIS2 strengere Anforderungen, einen grösseren Geltungsbereich, kürzere Fristen und eine grössere persönliche Haftung mit sich. Die Frage ist nicht mehr, ob Ihr Unternehmen handeln muss, sondern wie schnell Sie die Vorschriften nachweislich einhalten können.

  • 18 verschiedene Branchen, von der EU definierte Sektoren, sind betroffen

  • Bei Nichterfüllung drohen Sanktionen bis zu 10 Mio. € 

  • Sie haben nur 24 Stunden Zeit, um einen Vorfall zu melden

  • Das Managements ist 100 % verantwortlich


NIS2 als neue regulatorische Realität für Organisationen


NIS2 erweitert die ursprüngliche NIS-Richtlinie erheblich und betrifft 18 als kritisch und wichtig eingestufte Sektoren in der gesamten EU - von Energie, Verkehr, Finanzen und Gesundheitswesen bis hin zu digitalen Dienstleistern, Produktion und öffentlicher Verwaltung.

Im Vergleich zu ihrer Vorgängerin legt die NIS2 die Messlatte in vier entscheidenden Punkten höher:

Obligatorisches Risikomanagement für Cybersicherheit

Unternehmen müssen strukturierte und dokumentierte Massnahmen für das Risikomanagement umsetzen, einschliesslich einer Risikobewertungen für die Lieferkette und für Drittanbietern.

Strenge, verbindliche Fristen für die Meldung von Vorfällen

Wichtige Vorfälle müssen innerhalb von 24 Stunden gemeldet werden (Frühwarnung), gefolgt von einer Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb von 30 Tagen.

Führungskräfte sind direkt zur Rechenschaft verpflichtet

Die Geschäftsleitung trägt die ausdrückliche Verantwortung für die Einhaltung der Vorschriften. Die Behörden können eine persönliche Haftung geltend machen, einschliesslich einer vorübergehenden Suspendierung von Führungsaufgaben.

Hohe Geldstrafen

Systemrelevante Unternehmen müssen mit Geldbussen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes rechnen – je nachdem, welcher Betrag höher ist.

 

Kurz gesagt: Cybersecurity-Governance ist nicht mehr optional und nicht mehr delegierbar.

 

Warum die Einhaltung von NIS2 ein geschäftskritisches Thema ist


Aus der GRC-Perspektive ist NIS2 nicht nur eine weitere Vorschrift. Sie überschneidet sich direkt mit dem Risikomanagement von Unternehmen, der betrieblichen Widerstandsfähigkeit und der Geschäftskontinuität. Viele Firmen kämpfen mit den folgenden Punkten:

  • Umsetzung der rechtlicher Anforderungen in betriebliche Kontrollen
  • Verwaltung der funktionsübergreifenden Verantwortlichkeit zwischen IT, Sicherheit, Risiko Management und Führung
  • Entwicklung von Workflows für die Reaktion auf Vorfälle und die Berichterstattung, die auch unter Druck funktionieren müssen
  • Umgang mit Risiken in der Lieferkette über Tier-1-Anbieter hinaus
  • Nachweis der Konformität gegenüber Aufsichtsbehörden - nicht nur die mündliche Behauptung der Konformität

Viele Unternehmen stellen fest, dass ihre bestehenden ISO 27001 oder Sicherheitskontrollen zwar notwendig, aber nicht ausreichend für NIS2 sind.

 

Von der Verordnung zur Realität: Wie effektive NIS2-Konformität aussieht


Um für NIS2 gerüstet zu sein, braucht es mehr als Richtlinien und Dokumente. Es erfordert einen strukturierten, durchgängigen Ansatz, der Governance, Risikomanagement und technische Ausführung aufeinander abstimmt. Eine solide NIS2-Compliance-Reise umfasst diese Wegpunkte: 

1. Festlegung des Geltungsbereichs und Auslegung der Vorschriften

Hier wird ermittelt, welche juristischen Personen, Dienste, Systeme und Prozesse in den Geltungsbereich von NIS2 fallen und wo genau die Vorgaben in der Praxis umzusetzen sind.

2. Assessment: Bestandesaufnahme vom Erfüllungsgrad und von noch vorhandenen Lücken
Hier erfolgt eine strukturierte Bewertung anhand der NIS2-Anforderungen einschliesslich folgender Punkte:

  • Bewertung des Reifegrades
  • Analyse der regulatorischen Lücken
  • Bereiche für Massnahmen priorisieren
  • Benchmarking mit Branchenkollegen

3. Risikomanagement und Governance-Design

  • Einführung oder Stärkung eines Cyber-Risikomanagements, das sich an ISO 27005, ISO 31000 und NIS2 Anhang I/II orientiert
  • Führungsstrukturen und Verantwortungsmodelle
  • Managementaufsicht und Entscheidungsprozesse
  • Risikoakzeptanz und Eskalationsmechanismen
4. Kontrolle und Prozessimplementierung
Umsetzung der Anforderungen in realistische Kontrollen einschliesslich:
  • Sicherheitsrichtlinien und -verfahren
  • Rahmenwerke für die Reaktion auf Vorfälle und das Krisenmanagement
  • Pläne zur Sicherstellung der Geschäftskontinuität und zur Wiederherstellung nach einem Notfall
  • Risikokontrollen für Lieferanten und Dritte

5. Berichterstattung über Vorfälle und Krisenmanagement
Der Entwurf von NIS2-konformen Berichten unterstützt durch:

  • Vorlagen für die regulatorische Kommunikation
  • Kriterien für die Klassifizierung von Vorfällen
  • Tabletop-Übungen und Krisensimulationen
  • Klare Rollen für Rechtsabteilung, Kommunikation, IT und Management

6. Validierung, Überwachung und kontinuierliche Einhaltung
NIS2 ist kein einmaliges Projekt, es erfordert nachhaltige Konformität.

  • Laufende Überwachung und Berichterstattung
  • Integration mit SOC- und Cyber-Defense-Center-Funktionen
  • Regelmässige Überprüfungen und Verbesserungszyklen

 

Warum NIS2 ohne GRC-Erfahrung scheitert

Einer der häufigsten Fehler, die wir beobachten, ist, dass Unternehmen NIS2 als rein technische Sicherheitsinitiative betrachten. In Wirklichkeit befindet sich NIS2 an der Schnittstelle von Regulierung, Governance, Risiko und Betrieb. Wirksame Compliance erfordert:

  • Erfahrene GRC-Berater, die den Sinn der Vorschriften verstehen
  • Praktische Umsetzungsfähigkeiten - keine theoretischen Rahmenwerke
  • Erfahrung in regulierten Sektoren wie Energie, Finanzen, Gesundheitswesen, Telekommunikation und kritische Infrastruktur
  • Die Fähigkeit, Gesetze in die Tat umzusetzen - schnell und realitätsnah
  • Bewährte Methoden: Vorgefertigte Frameworks, Vorlagen und Toolkits, die eine rasche Implementierung möglich machen und dafür sorgen, dass Sie die Vorschriften schon bald einhalten können.
  • Vollständiger Zugang zum MSSP-Ökosystem: Nahtlose Integration mit SOC, SIEM und 24/7-Überwachung für eine durchgängige Sicherheitsabdeckung gemäss den Vorschriften.

Ohne Erfahrung und Beachtung der Schnittstellen, riskieren Unternehmen, dass sie erhebliche Anstrengungen und Budgets aufwenden und dennoch die behördlichen Anforderungen nicht erfüllen.

 

Compliance in Cyberresilienz umwandeln

Wenn sie richtig gemacht wird, bietet die NIS2-Konformität weit mehr als nur die Einhaltung von Vorschriften. Sie stärkt:

  • die Widerstandsfähigkeit der Organisation gegenüber Cybervorfällen
  • das Verständnis des Managements für Cyberrisiken
  • die Reaktionsfähigkeit auf Krisen unter realem Druck
  • das Vertrauen bei Kunden, Partnern und Aufsichtsbehörden

NIS2 ist nicht nur eine Belastung (Einhaltung von Vorschriften) - es ist DIE Gelegenheit das "Management von Cyberrisiken" in die DNA des Unternehmens einzubetten.

 

Und zum guten Schluss ...

Für europäische Unternehmen schliesst sich das Zeitfenster für die NIS2-Vorbereitung schnell.
Wer frühzeitig handelt, gewinnt Kontrolle, Klarheit und Widerstandsfähigkeit.
Wer zögert, riskiert Geldstrafen, Betriebsunterbrüche und persönliche Haftungsfälle (Verantwortung auf Führungsebene).

Mit NIS2 beginnt für Cybersecurity-Governance eine neue Ära. Erfolgreich werden die Unternehmen sein, die NIS2 nicht als ein Kästchen zum Ankreuzen betrachten, sondern als eine strategische Umstellung.

 

 

 

FAQ zu NIS2

Was ist NIS2?

Die NIS2-Richtlinie (EU 2022/2555) ist die aktualisierte Cybersecurity-Gesetzgebung der Europäischen Union, die darauf abzielt, das Niveau der Cyberresilienz zu erhöhen. Sie ersetzt die ursprüngliche NIS-Richtlinie und verschärft die Anforderungen in Bezug auf Security-Risikomanagement, Reaktion auf Vorfälle, Governance und behördliche Aufsicht erheblich.

NIS2 verlagert die Cybersicherheit von einem rein technischen Bereich in den Bereich des Unternehmensrisikomanagements und der Corporate Governance. Sie führt klare rechtliche Verpflichtungen, harmonisierte Aufsichtsmassnahmen in allen Mitgliedstaaten und durchsetzbare Sanktionen ein, wodurch Cybersicherheit zu einer regulierten unternehmerischen Verantwortung wird und nicht mehr nur eine freiwillige IT-Initiative ist.

Für wen gilt NIS2?

NIS2 gilt für ein breites Spektrum sicherheitskritischer Einrichtungen, die in der EU tätig sind, und deckt 18 Sektoren ab, die als entscheidend für die gesellschaftliche und wirtschaftliche Stabilität angesehen werden. Dazu gehören unter anderem Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur, IKT-Dienstleister, verarbeitendes Gewerbe und öffentliche Verwaltung.

Im Gegensatz zur vorherigen Richtlinie richtet sich die Anwendbarkeit weitgehend nach der Grösse und der Art der Tätigkeit, was bedeutet, dass viele mittlere und grosse Organisationen nun automatisch in ihren Anwendungsbereich fallen. Wichtig ist, dass NIS2 auch für Nicht-EU-Unternehmen gilt, wenn diese regulierte Dienste anbieten oder kritische Infrastrukturen innerhalb der EU betreiben.

Welche Vorgehensweise empfehlen Sie hinsichtlich Compliance?

Bei Swiss Post Cybersecurity empfehlen wir einen bewährten, praxisorientierten Ansatz, der messbare Ergebnisse liefert – und nicht nur theoretische Compliance. Dies sind unsere 5 Schritte für NIS2:

  1. Scoping & Discovery: Identifizierung von organisatorischen Einheiten, Assets und Festlegung des Geltungsbereichs gemäss NIS2.

  2. Gap Assessment: Vergleichen Sie Ihren den aktuellen Status-quo mit den NIS2-Anforderungen durch die Bewertung des Security-Reifegrades.

  3. Roadmap: Priorisieren Sie Massnahmen mit Zeitplänen, Verantwortlichkeiten und Aufwandsschätzungen.

  4. Unterstützung für die Implementierung: Führen Sie Kontrollen, Rahmenwerke und Prozesse mit praktischer Anleitung ein.

  5. Validierung & Monitoring: Laufende Compliance-Überwachung mit MSSP-Integration und Berichterstattung. 

Wie hoch ist die maximale Geldbuße nach NIS2 für systemrelevante Einrichtungen?

10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
Und vergessen Sie nicht die persönliche Haftung für Führungskräfte der obersten Ebene.

Seit wann ist NIS2 in Kraft?

  • In Deutschland ab Dezember 2025.

  •  

    In Österreich startet es im Oktober 2026.

  • In Luxemburg 2026.

  • In Frankreich 2026.

 

Weitere Informationen und offizielle Quellen zu NIS2

 

 

 

Das könnte Sie auch interessieren

Incident bell icon

Schnelle Reaktion

Benötigen Sie eine schnelle Reaktion auf einen Cyber-Angriff? Rufen Sie uns einfach an.
+41 21 519 05 01

Unser Support-Team ist von Montag bis Freitag von 8:00 bis 18:00 Uhr erreichbar. Kunden mit einem aktiven SLA profitieren von einem 24/7-Zugang. 

Bitte beachten Sie: Wir unterstützen ausschliesslich Unternehmen und Organisationen - Privatpersonen wenden sich bitte an ihren Dienstanbieter oder an die lokalen Behörden.