NIS2-Richtlinie 2025: Digitale Souveränität wird Pflicht
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert deren Geltungsbereich erheblich. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.
Die wichtigste Änderung: Statt weniger hundert Unternehmen sind nun geschätzt 29.000 bis 40.000 Unternehmen in Deutschland betroffen - darunter viele Mittelständler, die bisher keine besonderen IT-Sicherheitsanforderungen erfüllen mussten.
Wer ist betroffen?
NIS2 unterscheidet zwischen “wesentlichen” und “wichtigen” Einrichtungen in 18 Sektoren:
Wesentliche Einrichtungen (Annex I)
- Energie (Strom, Gas, Öl, Fernwärme)
- Transport (Luft, Schiene, Wasser, Strasse)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser- und Abwasserversorgung
- Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
- Öffentliche Verwaltung
- Weltraum
Wichtige Einrichtungen (Annex II)
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Erzeugnisse
- Lebensmittel
- Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kfz)
- Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Die Schwellenwerte: Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in diesen Sektoren fallen unter NIS2.
NIS2 und digitale Souveränität
Die NIS2-Richtlinie fordert in Artikel 21 umfassende Risikomanagementmassnahmen. Drei Anforderungen stehen in direktem Zusammenhang mit digitaler Souveränität:
1. Sicherheit der Lieferkette (Art. 21 Abs. 2d)
Unternehmen müssen die Sicherheit ihrer gesamten Lieferkette bewerten - einschliesslich der Beziehungen zu Cloud-Anbietern und SaaS-Dienstleistern. Das bedeutet konkret: Wer AWS, Azure oder Google Cloud nutzt, muss die Abhängigkeit von diesen US-Anbietern dokumentieren und das damit verbundene Risiko bewerten.
Die Lieferketten-Anforderung geht über den direkten Vertragspartner hinaus. Auch Subprozessoren und deren Abhängigkeiten müssen betrachtet werden. Wenn ein europäischer SaaS-Anbieter auf US-Infrastruktur aufbaut, ist das ein Lieferketten-Risiko.
2. Kryptographie und Verschlüsselung (Art. 21 Abs. 2h)
NIS2 fordert den Einsatz von Kryptographie und Verschlüsselung. Für die digitale Souveränität ist relevant: Wer kontrolliert die Verschlüsselungsschlüssel? Bei vielen US-Cloud-Anbietern liegt die Schlüsselkontrolle beim Anbieter, nicht beim Kunden. Das bedeutet: Der Anbieter kann die Daten entschlüsseln - und bei einer Behördenanfrage unter dem CLOUD Act herausgeben.
Digitale Souveränität erfordert kundenseitige Schlüsselkontrolle (Customer Managed Keys, CMK) oder idealerweise externe Schlüsselverwahrung (External Key Management, EKM).
3. Business Continuity und Krisenmanagement (Art. 21 Abs. 2c)
Unternehmen müssen sicherstellen, dass sie auch bei Ausfall eines Cloud-Anbieters handlungsfähig bleiben. Das schliesst Szenarien ein wie:
- US-Sanktionen gegen EU-Unternehmen
- Politische Entscheidungen, die den Zugang zu US-Diensten einschränken
- Technische Störungen bei Hyperscalern
Wer seinen gesamten Stack auf einem einzigen US-Hyperscaler betreibt, hat ein Konzentrationsrisiko, das unter NIS2 adressiert werden muss.
Die fünf Souveränitäts-Dimensionen
Die Bewertung digitaler Souveränität umfasst fünf Dimensionen, die alle für die NIS2-Compliance relevant sind:
| Dimension | Beschreibung | NIS2-Bezug |
|---|---|---|
| Data Sovereignty | Kontrolle über Speicherort und Zugriff | Art. 21 Abs. 2d, 2h |
| Technical Sovereignty | Technische Unabhängigkeit und Portabilität | Art. 21 Abs. 2c |
| Operational Sovereignty | Betriebliche Kontrolle und Verfügbarkeit | Art. 21 Abs. 2c |
| Assurance Sovereignty | Zertifizierungen und Transparenz | Art. 21 Abs. 2a |
| Open Source Awareness | Offene Standards und Community | Art. 21 Abs. 2e |
Diese Dimensionen werden auch von Initiativen wie dem SUSE Cloud Sovereignty Framework und dem Red Hat Sovereignty Readiness Assessment verwendet. SUSE bewertet dabei auf einer Skala von SEAL-0 (keine Souveränität) bis SEAL-4 (vollständige EU-Kontrolle).
Gaia-X und die EU-Zertifizierung
Das von Deutschland und Frankreich initiierte Gaia-X-Projekt arbeitet an einem vierstufigen Zertifizierungssystem für Cloud-Dienste:
- Gaia-X Compliant: Technische Kompatibilität
- Level 1: Basis-Compliance
- Level 2: Automatisierte Verifikation mit manüller Prüfung
- Level 3: Höchste Souveränitätsstufe (nur EU-ansässige Anbieter)
Level 3 schliesst US-Hyperscaler explizit aus. Mit über 600 Diensten im Katalog wächst das Ökosystem, auch wenn die Marktdurchdringung noch gering ist.
Praktische Schritte für NIS2-Compliance
Bestandsaufnahme der Cloud-Abhängigkeiten
Erfassen Sie alle genutzten Cloud- und SaaS-Dienste. Kategorisieren Sie nach:
- Anbieter-Jurisdiktion (EU, US, andere)
- Datentyp (personenbezogen, geschäftskritisch, öffentlich)
- Ersetzbarkeit (Alternativen vorhanden, Vendor Lock-in)
Risikobewertung nach Souveränitäts-Dimensionen
Bewerten Sie jeden Dienst entlang der fünf Souveränitäts-Dimensionen. Hohe Risiken bestehen bei:
- US-Anbieter mit geschäftskritischen Daten ohne CMK
- Single-Vendor-Abhängigkeit ohne Exit-Strategie
- Fehlende Transparenz über Subprozessoren
Technische Massnahmen implementieren
- Ende-zu-Ende-Verschlüsselung mit kundenseitiger Schlüsselkontrolle
- Multi-Cloud-Strategie zur Vermeidung von Konzentrationsrisiken
- Datenexport-Fähigkeit für alle kritischen Dienste sicherstellen
Dokumentation und Nachweis
NIS2 verlangt eine nachweisbare Dokumentation. Automatisierte Prüftools können regelmässige Reports generieren, die als Compliance-Nachweis dienen.
Die Meldepflichten nicht vergessen
NIS2 führt strenge Meldepflichten ein:
- 24 Stunden: Erstmeldung bei erheblichem Sicherheitsvorfall
- 72 Stunden: Detaillierte Folgemeldung
- 1 Monat: Abschlussbericht
Bei Verstaossen gegen die NIS2-Anforderungen drohen Bussgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen.
Fazit
Die NIS2-Richtlinie macht digitale Souveränität von einem strategischen Vorteil zu einer rechtlichen Pflicht. Die Anforderungen an Lieferketten-Sicherheit, Kryptographie und Business Continuity erfordern eine systematische Prüfung aller Cloud-Abhängigkeiten. Unternehmen, die jetzt handeln, verschaffen sich nicht nur Rechtssicherheit, sondern auch einen Wettbewerbsvorteil.
Prüfen Sie jetzt Ihren Stack: Der DASC Souveränitäts-Check bewertet Ihre Cloud-Abhängigkeiten automatisiert entlang der fünf Souveränitäts-Dimensionen — kostenlos und NIS2-relevant.