Die Richtlinie (EU) 2022/2555, bekannt als NIS-2, stellt einen wesentlichen Meilenstein in der europäischen Cybersicherheitsstrategie dar. Im Mittelpunkt steht die Frage, wie grundlegende Versorgungs- und Dienstleistungsbereiche besser vor digitalen Angriffen geschützt werden können. Cybervorfälle führen heute nicht nur zu erheblichen finanziellen Verlusten, sondern zunehmend auch zu direkten Gefahren für Gesundheit und Sicherheit. Fälle wie der Angriff auf den irischen Gesundheitsdienst HSE im Jahr 2021, die NotPetya-Welle 2017 oder die Attacke auf die Colonial Pipeline in den USA machen deutlich, dass Einrichtungen wie Krankenhäuser, Energie- und Wasserversorger oder Verkehrsinfrastrukturen das Rückgrat moderner Gesellschaften bilden. Werden sie gestört, kann dies katastrophale Folgen haben.
NIS-2 ersetzt die erste NIS-Richtlinie von 2016 und erweitert deren Geltungsbereich erheblich. Neben den bisher betroffenen Sektoren wie Energie, Transport, Banken und digitaler Infrastruktur sind nun insgesamt 18 Branchen erfasst, darunter auch öffentliche Verwaltungen, Abfallwirtschaft, Raumfahrt, Postdienste und Hersteller kritischer Güter. Unternehmen und Einrichtungen werden in „wesentliche“ und „wichtige“ Akteure eingeteilt, wobei die Anforderungen an die ersteren besonders streng sind.
Kern der neuen Vorgaben ist das verpflichtende Risikomanagement. Alle betroffenen Stellen müssen technische und organisatorische Maßnahmen ergreifen, die sich an international anerkannten Standards wie ISO/IEC 27001 orientieren. Dazu gehören Prävention, Notfallvorsorge, Vorfallsbehandlung, Absicherung von Lieferketten und Krisenmanagement. Hervorzuheben ist zudem die gesteigerte Verantwortung der Leitungsebene: Manager müssen Sicherheitskonzepte nicht nur formell absegnen, sondern deren Umsetzung auch aktiv überwachen – unter Androhung persönlicher Sanktionen bei Pflichtverletzungen.
Von zentraler Bedeutung sind die neuen Meldepflichten. Cybervorfälle müssen binnen 24 Stunden angezeigt und anschließend detailliert dokumentiert werden. Diese engen Vorgaben stellen erhebliche organisatorische Anforderungen, zwingen die Einrichtungen aber gleichzeitig zu einer schnelleren und strukturierteren Reaktion.
Die Aufsicht über die Umsetzung liegt bei nationalen Behörden, die weitreichende Kompetenzen erhalten. Sie können Prüfungen anordnen, konkrete Maßnahmen verlangen und empfindliche Bußgelder verhängen. Für wesentliche Einrichtungen sind Strafen bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes vorgesehen. Damit orientiert sich der Sanktionsrahmen bewusst an der Logik der DSGVO.
Ein weiterer Schwerpunkt ist die Förderung der europäischen Zusammenarbeit. Über Netzwerke wie die CSIRTs, die NIS-Kooperationsgruppe und das EU-CyCLONe sollen Mitgliedstaaten Informationen austauschen und gemeinsam auf grenzüberschreitende Krisen reagieren. Ziel ist ein koordiniertes Vorgehen gegen Angriffe, die nicht an Landesgrenzen haltmachen.
Die Umsetzung der Richtlinie bringt erhebliche Schwierigkeiten mit sich. Nationale Unterschiede bei der Transposition gefährden die Harmonisierung, kleine und mittlere Betriebe geraten unter Druck, da ihnen finanzielle Mittel und spezialisiertes Personal fehlen. Unklarheiten entstehen zudem bei der Abgrenzung, wann ein Vorfall meldepflichtig ist, bei der Absicherung komplexer Lieferketten und beim Zusammenspiel mit anderen Rechtsrahmen wie der DSGVO.
Deutlich wird, dass Cybersicherheit nur im Zusammenspiel von Recht, Technik und Organisation erfolgreich sein kann. Internationale Normen wie ISO 27001 oder branchenspezifische Standards wie IEC 62443 bieten Orientierung, entfalten ihre Wirkung aber nur bei konsequenter Anwendung. Zudem erfordert die Umsetzung einen Kulturwandel: Digitale Sicherheit muss auf derselben Ebene wie Finanz- oder Arbeitsschutzrisiken zur Chefsache werden.
Mehrere Fallstudien verdeutlichen die Notwendigkeit der NIS-2-Regeln. Beim Angriff auf den irischen Gesundheitsdienst hätte eine bessere Vorbereitung Ausfälle begrenzen können, im Fall NotPetya wäre ein unionsweites Frühwarnsystem von Vorteil gewesen. Der Vorfall am Düsseldorfer Universitätsklinikum im Jahr 2020, bei dem ein Patient infolge ausgefallener Systeme starb, zeigt, wie unmittelbar Cyberattacken Menschenleben betreffen.
Die Richtlinie ist zudem Teil eines größeren europäischen Normengeflechts. Sie ergänzt die CER-Richtlinie zur physischen Resilienz, die DORA-Verordnung für Finanzinstitute und den Cyber Resilience Act, der die Produktsicherheit digitaler Güter reguliert. Zusammen bilden diese Regelwerke ein dichtes Sicherheitsnetz, das Europas digitale Souveränität langfristig stärken soll.