Zwei regulatorische Wellen rollen gleichzeitig auf Unternehmen zu: NIS2 ist seit Oktober 2024 verbindlich, der EU AI Act tritt 2025/2026 stufenweise in Kraft. Gleichzeitig setzen Unternehmen vermehrt KI ein. Die Kombination dieser drei Trends schafft neue Compliance-Anforderungen – und Chancen für smarte Unternehmen.

NIS2: Was sich wirklich geändert hat

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfassendste Reform der EU-Cybersicherheitsgesetzgebung seit Jahren. Gegenüber NIS1 hat sich einiges geändert:

Erweiterter Anwendungsbereich

Rund 18 Sektoren sind jetzt betroffen – von Energie und Gesundheit über digitale Infrastruktur bis zu Post- und Kurierdiensten. Viele mittelständische Unternehmen sind erstmals reguliert.

Persönliche Haftung

Geschäftsführer und Vorstände haften persönlich für Verstöße gegen NIS2-Anforderungen. Schulungen sind nicht optional, sondern Pflicht.

Bin ich betroffen? Die Betroffenheitsprüfung

NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Grob vereinfacht gilt: Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in einem der 18 Sektoren sind potenziell betroffen. Die genaue Einordnung erfolgt durch eine Betroffenheitsprüfung anhand der BSI-Kriterien.

NIS2: Betroffene Sektoren (Auswahl) 
Wesentliche Einrichtungen (§ 28 BSIG):
  ✓ Energie (Strom, Gas, Öl, Wärme)
  ✓ Verkehr (Luft, Schiene, Wasser, Straße)
  ✓ Bankwesen & Finanzmarktinfrastruktur
  ✓ Gesundheitswesen
  ✓ Trinkwasser & Abwasser
  ✓ Digitale Infrastruktur (Cloud, DNS, TLD)
  ✓ Öffentliche Verwaltung

Wichtige Einrichtungen (§ 29 BSIG):
  ✓ Post- & Kurierdienste
  ✓ Abfallwirtschaft
  ✓ Chemikalien
  ✓ Lebensmittel
  ✓ Verarbeitendes Gewerbe (kritische Produkte)
  ✓ Digitale Dienste (Suchmaschinen, Marktplätze)
  ✓ Forschung

Die 10 Pflichtmaßnahmen nach § 30 BSIG

NIS2 schreibt konkrete technische und organisatorische Maßnahmen vor:

  1. Risikoanalyse und Sicherheitskonzepte für IT-Systeme
  2. Incident Management – Erkennung, Reaktion und Meldung von Vorfällen
  3. Business Continuity – Backup-Konzepte, Notfallpläne
  4. Supply Chain Security – Sicherheit der Lieferkette
  5. Sicherheit in Entwicklung und Beschaffung von IT-Systemen
  6. Schwachstellenmanagement und Patch-Prozesse
  7. Evaluierung und Wirksamkeitsprüfung der Maßnahmen
  8. Kryptografie und Verschlüsselung
  9. Identitäts- und Zugriffsmanagement (IAM, MFA)
  10. Mitarbeiterschulungen zur Cybersicherheit

KI-Systeme unter NIS2: Doppeltes Risiko

Unternehmen, die KI-Systeme einsetzen, müssen diese in ihre NIS2-Compliance einbeziehen. KI-Systeme stellen dabei ein doppeltes Risiko dar:

  • KI als Angriffsziel: KI-Modelle können durch Prompt Injection, Model Poisoning oder adversarielle Angriffe kompromittiert werden. NIS2 verlangt, dass auch KI-Systeme in das Risikomanagement einbezogen werden.
  • KI als Sicherheitslücke: KI-gestützte Entscheidungen können fehleranfällig sein. Unkontrollierter KI-Einsatz in kritischen Prozessen erhöht das Risiko von Sicherheitsvorfällen.

Der EU AI Act: Was kommt als nächstes?

Parallel zu NIS2 tritt der EU AI Act in Kraft. Für Unternehmen relevant sind vor allem die Risikoklassen:

Inakzeptables Risiko

Verboten: Soziales Scoring durch Behörden, manipulative KI-Systeme, biometrische Echtzeit-Überwachung im öffentlichen Raum.

Hohes Risiko

Strenge Anforderungen: KI in kritischer Infrastruktur, Bildung, Beschäftigung, Strafverfolgung, Kreditvergabe. Zertifizierung erforderlich.

Limitiertes / Minimales Risiko

Transparenzpflichten (z.B. Chatbots müssen sich als KI zu erkennen geben), aber keine Zertifizierung. Das betrifft die meisten Unternehmens-KI-Anwendungen.

Synergien: NIS2 und KI-Compliance kombinieren

Die gute Nachricht: Wer NIS2 ernstnimmt, hat bereits einen großen Teil der KI-Compliance-Grundlage geschaffen. Ein ISMS nach ISO 27001 deckt viele Anforderungen beider Regelwerke ab:

ISO 27001 + NIS2 + EU AI Act: Das ISMS nach ISO 27001 bildet das Fundament. NIS2-spezifische Maßnahmen (Incident Reporting, Supply Chain Security) erweitern es. KI-spezifische Controls (Model Risk Management, AI Transparency) werden als eigener Annex ergänzt. Drei Anforderungsrahmen, eine integrierte Governance-Struktur.

Handlungsempfehlungen: Was jetzt zu tun ist

  1. Betroffenheit prüfen: Sind Sie unter NIS2 als wesentliche oder wichtige Einrichtung eingestuft? Nutzen Sie den BSI-Betroffenheitscheck.
  2. Gap-Analyse durchführen: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den 10 NIS2-Pflichtmaßnahmen. Identifizieren Sie die größten Lücken.
  3. KI-Inventar erstellen: Welche KI-Systeme setzen Sie ein? Wie sind sie klassifiziert? Welche Daten verarbeiten sie?
  4. ISMS aufbauen oder anpassen: Ein dokumentiertes Informationssicherheits-Managementsystem (ISMS) ist die Basis für NIS2- und KI-Compliance.
  5. Geschäftsführung schulen: NIS2 verlangt explizit die Schulung der Leitungsebene. Dies ist keine optionale Maßnahme.
  6. BSI-Registrierung: Wesentliche Einrichtungen müssen sich beim BSI registrieren. Frist: 3 Monate nach Betroffenheitsfeststellung.