Home

Die NIS2-Richtlinie: Umsetzung und Auswirkungen auf Unternehmen mit Individualsoftware

Die NIS2-Richtlinie (EU) 2022/2555 ist die neue europäische Cybersicherheitsvorgabe, die Unternehmen verpflichtet, stärkere Sicherheitsmaßnahmen für ihre Netz- und Informationssysteme umzusetzen. Gerade für Unternehmen, die Individualsoftware entwickeln oder nutzen, ergeben sich hier spezielle Herausforderungen hinsichtlich der NIS2 Anforderungen und der sicheren Software Lieferkette.

Zielgruppe:

C-Level, CISOs, CTOs und technische Leiter:innen in Unternehmen, die Individualsoftware nutzen oder selbst entwickeln.

Warum ist das wichtig?

Ab Oktober 2024 (lt. EU) müssen betroffene Unternehmen konkrete Sicherheitsmaßnahmen umsetzen, um hohe Bußgelder zu vermeiden und ihre Cyber-Resilienz zu stärken. Dies gilt insbesondere auch für die sichere Entwicklung und den Betrieb von Individualsoftware im Kontext von NIS2, wobei Aspekte wie Dependency Management und die Transparenz durch eine Software Bill of Materials (SBOM) eine wichtige Rolle spielen.

Wer muss NIS2 umsetzen?

NIS2 betrifft alle Unternehmen, die:

Mehr als 50 Mitarbeiter oder über 10 Mio. € Umsatz haben
Kritische oder wichtige IT-Dienstleistungen erbringen
Individualsoftware entwickeln oder nutzen, wenn sie in einer NIS2-pflichtigen Branche tätig sind

Betroffene Sektoren

IT-Dienstleister & Softwareentwickler (auch Anbieter von Individualsoftware müssen die NIS2 Richtlinien erfüllen)
Cloud-Computing & Rechenzentren
Banken, Versicherungen & Fintechs
Gesundheitswesen & MedTech-Unternehmen
Produzierende Unternehmen mit vernetzten IT-Systemen

Wer ist ausgenommen?

Unternehmen, die weniger als 50 Mitarbeiter haben und keine kritischen digitalen Services bereitstellen, sind nicht direkt betroffen – es sei denn, sie sind ein wesentlicher Teil der Lieferkette eines NIS2-pflichtigen Unternehmens.

Die 10 wichtigsten Maßnahmen zur NIS2-Compliance für Individualsoftware und sichere Software Lieferketten

Die „Implementation Guidance on Security Measures“ (2) gibt konkrete Vorgaben für Unternehmen. Hier sind die wichtigsten Maßnahmen, die du in deinem Unternehmen umsetzen musst, speziell im Hinblick auf die Sicherheit von Individualsoftware und die Integrität der Software Lieferkette:

1. Sicheres Software Development Lifecycle (SDLC)

Sichere Entwicklung von Individualsoftware nach Standards wie OWASP SAMM (6), ISO 27034 oder NIST SSDF (5). Integriere Automated Code Refactoring und Code Migration Frameworks für mehr Sicherheit.
Code-Reviews, Penetrationstests und Bedrohungsanalysen in den Entwicklungsprozess von Individualsoftware integrieren.
Regelmäßige Sicherheitsupdates und Patching-Prozesse für Individualsoftware sicherstellen, inklusive eines effektiven Dependency Update Managements.

2. Schwachstellenmanagement & Patch-Management

Zentrale Patch-Strategie für deine Individualsoftware.
Solltest du die Software nicht selbst entwickeln, bist du dennoch für deine Zulieferer verantwortlich. Achte auf sichere Update-Mechanismen bei extern bezogener Individualsoftware und fordere idealerweise eine SBOM (Software Bill of Materials) an.
Regelmäßige Sicherheits-Scans und automatisierte Update-Prozesse
Kritische Sicherheitslücken innerhalb von 24 Stunden schließen

3. Sicherheitsüberwachung & Incident Response

Security Operations Center (SOC) oder Managed Detection & Response (MDR) nutzen, um Sicherheitsvorfälle im Zusammenhang mit deiner Individualsoftware zu erkennen und zu behandeln.
Meldepflicht: Sicherheitsvorfälle innerhalb von 24 bis 72 Stunden an Behörden melden
Forensische Analysen durchführen und Schwachstellen nachhaltig schließen

4. Identitäts- & Zugriffsmanagement (IAM & Zero Trust)

Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge
Zero-Trust-Strategie einführen: Prinzip der minimalen Rechtevergabe
Sichere API-Authentifizierung und OAuth2.0 / OpenID Connect verwenden

5. Lieferketten-Sicherheit (Supply Chain Risk Management)

Sicherheitsanforderungen an Drittanbieter definieren
Verträge mit Sicherheitsstandards (ISO 27001, NIST 800-53) absichern
Regelmäßige Audits und Risikoanalysen für Zulieferer durchführen

6. Sichere Cloud- & SaaS-Nutzung

Cloud Security Posture Management (CSPM) einsetzen, wenn deine Individualsoftware in der Cloud gehostet wird oder Cloud-Dienste nutzt.
Datenverschlüsselung in der Cloud und Zugriffskontrollen implementieren
Zero-Knowledge-Architektur für vertrauliche Daten nutzen

7. Betriebskontinuität & Notfallplanung (BCM & DRP)

Business Continuity Management (BCM) und Disaster Recovery Plan (DRP) regelmäßig testen
Redundante Systeme und Backup-Strategien gemäß 3-2-1-Regel umsetzen
Sicherstellen, dass Individualsoftware auch bei Cyberangriffen betriebsfähig bleibt

8. Sensibilisierung & Cybersecurity-Trainings für Mitarbeiter:innen

Regelmäßige Schulungen zu Phishing und Social Engineering
Awareness-Programme für Entwickler:innen, Admins und Führungskräfte
Live-Hacking-Demos und Tabletop-Exercises für Incident Response

9. Logging & Monitoring gemäß SIEM-Standards

Security Information & Event Management (SIEM) für zentralisierte Logs nutzen
Echtzeitüberwachung von Anomalien und Angriffsmustern sicherstellen
Retention Policy für Logs: Mindestens sechs Monate

10. Datenschutz & Compliance mit DSGVO & NIS2

End-to-End-Verschlüsselung (E2EE) und Pseudonymisierung von Daten
NIS2-konformes Datenschutzkonzept gemäß Art. 32 DSGVO umsetzen
Zusammenarbeit mit Datenschutzbehörden bei Cybervorfällen sicherstellen

Wer haftet bei NIS2-Verstößen?

Unternehmen

Unternehmen sind direkt haftbar, wenn sie:

Unzureichende Cybersicherheitsmaßnahmen haben
Sicherheitsvorfälle nicht rechtzeitig melden
Pflichten zur Risikobewertung oder Lieferkettensicherheit vernachlässigen

Mögliche Konsequenzen:

Wesentliche Unternehmen: Bis zu 10 Mio. € oder 2 % des Jahresumsatzes
Wichtige Unternehmen: Bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes

Regulatorische Sanktionen (z. B. Betriebsbeschränkungen, Lizenzentzug)

Geschäftsführung & C-Level-Verantwortliche

Führungskräfte haften persönlich, wenn sie ihre Pflichten zur Cybersicherheit vernachlässigen.
Dazu gehören:

Fehlende Überwachung und Steuerung der Sicherheitsstrategie
Ignorieren von bekannten Sicherheitsrisiken
Unzureichende Reaktion auf Vorfälle

Mögliche Konsequenzen:

Persönliche Geldbußen
Temporäres Berufsverbot für IT- und Sicherheitsverantwortliche
Zivil- und strafrechtliche Verfahren in besonders schweren Fällen

IT-Dienstleister & Lieferanten

Externe Dienstleister haften mit, wenn sie:

Sicherheitslücken in ausgelagerter IT-Infrastruktur verursachen
Vertragliche Sicherheitsanforderungen nicht einhalten

Unternehmen müssen daher in Verträgen mit Lieferanten klare Sicherheitskriterien (ISO 27001, NIST 800-53) festlegen.

Wie kann dein Unternehmen Haftungsrisiken minimieren?

Nachweisbare Cybersicherheitsstrategie auf Basis von NIS2 Richtlinien
Regelmäßige Sicherheitsüberprüfungen & Audits, einschließlich Software Composition Analysis.
Klare Verantwortlichkeiten für IT-Sicherheit & Incident Response
Sichere Lieferkettentransparenz & vertragliche Sicherheitsvorgaben

Warum du jetzt handeln solltest

Unternehmen mit Individualsoftware müssen dringend ihre Sicherheitsstrategie überarbeiten, um NIS2-konform zu werden.

Obwohl das NIS2 Gesetz in Österreich (4) und Deutschland (3) Stand März 2025 noch nicht in Kraft sind, ist das nur eine Frage von wenigen Monaten.

Softwareentwickler müssen Secure by Design & Secure by Default umsetzen
CISOs und CTOs brauchen klare Risikomanagement- und Compliance-Strategien
IT-Abteilungen müssen Security Monitoring und Incident Response optimieren und Tools für Dependency Scanning implementieren.

Jetzt ist der richtige Zeitpunkt, um eine umfassende NIS2-Strategie für deine Individualsoftware zu entwickeln.

Hier kann gepardec’s Auto-Update Service unterstützen, da es das Update von Individualsoftware automatisiert.

Du möchtest NIS2 für deine Individualsoftware umsetzen?

Wir helfen dir bei der praktischen Umsetzung deiner Updates deiner Individualsoftware.