NIS2 (NIS-2-Richtlinie)
NIS2 ist die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Richtlinie (EU) 2022/2555). Sie löst die erste NIS-Richtlinie ab und weitet Pflichten und Geltungsbereich deutlich aus.
Betroffen sind wesentliche und wichtige Einrichtungen aus 18 Sektoren – von Energie, Gesundheit und Transport bis zu digitaler Infrastruktur und produzierendem Gewerbe –, in der Regel ab mittlerer Unternehmensgröße, teils unabhängig davon. Zu den Kernpflichten gehören Risikomanagement-Maßnahmen (u. a. Zugriffskontrolle, Verschlüsselung, Backup- und Krisenmanagement, Sicherheit der Lieferkette), gestufte Meldepflichten für erhebliche Vorfälle (Erstmeldung binnen 24 Stunden, Folgebericht binnen 72 Stunden) sowie die persönliche Verantwortung der Geschäftsleitung für die Umsetzung.
Die Umsetzung in nationales Recht erfolgt je Mitgliedstaat – in Deutschland über das NIS-2-Umsetzungsgesetz. Organisatorisch läuft die Erfüllung der Anforderungen meist über ein ISMS, das Risikomanagement, Maßnahmen und Nachweise strukturiert; fachlich ist NIS2 damit ein zentraler Treiber für Investitionen in die IT Security.