NIS2 · europäische Cybersicherheitsrichtlinie für spanische KMU
Unabhaengige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) fuer ganz Spanien.
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.
NIS2 ist die EU-Richtlinie 2022/2555, die NIS (2016) ersetzt. Seit 2026 verpflichtet sie wesentliche und wichtige KMU in kritischen Sektoren (Energie, Wasser, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur) in der gesamten EU.
Executive Summary · TL;DR
NIS2 (Richtlinie EU 2022/2555) ist die zweite europäische Cybersicherheitsrichtlinie. Sie ersetzt NIS aus dem Jahr 2016 und wurde im Jahr 2026 in spanisches Recht umgesetzt. Im Unterschied zu ihrem Vorgänger erfasst diese Fassung auch kleine und mittlere Unternehmen, die als wesentlich oder wichtig in erweiterten Sektoren eingestuft werden: Lebensmittel, Chemie, Herstellung medizinischer Geräte und Abfallwirtschaft. Die Sanktionen reichen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Die Vorgabe verlangt technische und organisatorische Massnahmen zur Risikosteuerung, eine Meldepflicht für Sicherheitsvorfälle innerhalb von 24 Stunden und die persönliche Verantwortung der Geschäftsleitung. Die Normen ISO 27001 und ISO 22301 decken rund 75 % der Anforderungen ab und bilden den schnellsten Weg zur Konformität für ein KMU mit bestehendem Managementsystem.
Für welche spanischen KMU gilt NIS2?
NIS2 unterscheidet zwischen wesentlichen und wichtigen Einheiten und überträgt diese Klassifizierung auch auf KMU. Als wesentliche Einheiten gelten Unternehmen mit mehr als 250 Beschäftigten oder mehr als 50 Millionen Euro Umsatz in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur und Raumfahrt. Als wichtige Einheiten gelten Unternehmen mit 50 bis 250 Beschäftigten oder 10 bis 50 Millionen Euro Umsatz in erweiterten Kategorien: kritische Lebensmittelproduktion, Chemie, Postdienste, Abfallwirtschaft und Herstellung medizinischer Geräte. Bestimmte Kleinunternehmen im Bereich digitale Infrastruktur (Vertrauensdiensteanbieter, DNS-Anbieter, TLD-Registrierungsstellen) fallen ungeachtet ihrer Grösse ebenfalls unter die Richtlinie. Die nationale Umsetzung in Spanien sieht ausserdem ein behördliches Register vor, in dem sich die betroffenen Einheiten innerhalb der gesetzten Fristen identifizieren müssen.
Welche technischen Pflichten verlangt NIS2?
Die Richtlinie verlangt ein verhältnismässiges Cybersicherheitskonzept in zehn Schlüsselbereichen: eine genehmigte Sicherheitspolitik für Informationssysteme; ein Vorfallmanagement mit Meldung an INCIBE und CCN-CERT innerhalb von 24 Stunden ab Kenntnis; Geschäftskontinuität mit Wiederherstellungsfähigkeit nach schwerwiegenden Ereignissen; Bewertung der Lieferkette einschliesslich Anbietern und Abhängigkeiten; Sicherheit bei Beschaffung, Entwicklung und Wartung von Systemen; periodische Überprüfung der Wirksamkeit der Massnahmen; grundlegende Cyberhygiene mit Schulung des gesamten Personals; Verschlüsselung sensibler Daten bei der Speicherung und Übertragung; Zugriffskontrolle mit Mehrfaktor-Authentifizierung für Konten mit Zugang zu kritischen Systemen; und gesicherte Sprach-, Video- und Textkommunikation. Jede Massnahme muss am Risikoprofil der konkreten Einheit ausgerichtet sein.
Was passiert, wenn ein KMU NIS2 nicht erfüllt?
Die Richtlinie sieht Verwaltungssanktionen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, wobei der höhere Betrag gilt. Mitglieder der Geschäftsleitung können persönlich haftbar gemacht werden, wenn sie die geforderten Massnahmen nicht in angemessener Weise umsetzen oder überwachen. In besonders schweren Fällen kann die zuständige spanische Behörde sogar die vorübergehende Aussetzung der Tätigkeit anordnen oder Führungskräften die Ausübung ihrer Funktion vorübergehend untersagen. Über die Geldbusse hinaus muss der Reputationsschaden bedacht werden: Vorfälle wesentlicher Einheiten werden öffentlich bekannt gegeben, was sich unmittelbar auf das Vertrauen von Kunden und Geschäftspartnern auswirkt. Aus diesem Grund sollten betroffene KMU die Compliance nicht als verzichtbaren Kostenfaktor, sondern als strategische Investition in das Fortbestehen ihres Geschäfts begreifen.
Wie kann ein KMU heute beginnen?
Der pragmatische Einstieg besteht in einer Lückenanalyse gegen die zehn Bereiche der Richtlinie und der Priorisierung der Massnahmen mit dem grössten Risiko-Nutzen-Verhältnis: Mehrfaktor-Authentifizierung, geprüfte Backups, Verschlüsselung mobiler Geräte, formelles Vorfallmanagement und Lieferantenbewertung. Bei vorhandener ISO-27001-Zertifizierung lassen sich die meisten Anforderungen ableiten. Ohne diese ist ein Implementierungszeitraum von sechs bis zwölf Monaten realistisch.
Offizielle Quellen
- EUR-Lex · Richtlinie EU 2022/2555 NIS2
- INCIBE · NIS2 Ressourcen für Unternehmen
- CCN-CERT · spanisches Computer Emergency Response Team
- ENISA · europäische Agentur für Cybersicherheit
Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.