NIS-2: Konsequenzen für Banken, Versicherungen und IT-Partner

NIS-2 ist eine EU-Richtlinie, die auf dem ersten Network and Information Security Directive (NIS-1) aufbaut und die bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Mit der Einführung von NIS-2 durch die EU wurden die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen (wie Banken und Versicherungen) und digitale Diensteanbieter erheblich verschärft. Diese neuen Vorschriften haben nicht nur direkte Auswirkungen auf die betroffenen Unternehmen selbst, sondern auch auf die von ihnen beauftragten Lieferanten und Dienstleister. NIS-2 zielt darauf ab, die EU und ihre Mitgliedstaaten widerstandsfähiger gegen Cyberangriffe und digitale Bedrohungen zu machen und so das Vertrauen in digitale Dienste und den Online-Bereich insgesamt zu stärken. In diesem Blogartikel werden wir uns genauer mit den Konsequenzen von NIS-2 für Gini als Partner für Banken und Versicherungen auseinandersetzen.

Was bedeutet die Einführung von NIS-2 für Banken und Versicherungen?

Die NIS-2 gilt für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste, worunter zweifelsohne auch Banken und Versicherungen fallen (siehe Anhang I, NIS-2). Die Richtlinie legt dabei Anforderungen fest, die grundsätzlich die Sicherheit der Netzwerk- und Informationssysteme betreffen. Es sind Maßnahmen zur Vorbeugung von Sicherheitsvorfällen, der Umsetzung von Sicherheitsrichtlinien, dem Betreiben eines wirksamen Risikomanagements (Identifizieren von Risiken, die Bewertung dieser nach ihren Auswirkungen, das Implementieren und Überwachen von Risiko-mindernden Maßnahmen) und der Einführung von regelmäßigen Sicherheitskontrollen inkludiert. Wesentlich für NIS-2 ist auch die Pflicht zur Meldung von erheblichen Sicherheitsverletzungen innerhalb von 24 Stunden und damit einhergehend die Verpflichtung zur Zusammenarbeit mit den nationalen Behörden zur Bewältigung von bedeutenden Sicherheitsvorfällen. Im Detail geht es neben der Meldepflicht und das Zurverfügungstellen von Informationen sowie die Unterstützung bei der Aufklärung.
Die nationalen Behörden wiederum sind dafür verantwortlich, dass die NIS-2-Vorgaben von den betroffenen Organisationen eingehalten werden. Sie haben somit eine Überwachungs- und Sanktionspflicht bei Verstößen.
Von NIS-2 betroffene Unternehmen sind gut beraten, sich frühzeitig mit den Anforderungen auseinanderzusetzen und ein auditierbares Managementsystem zu implementieren.

Was bedeutet die Einführung von NIS-2 für Gini?

1. Erweiterte Sicherheitsanforderungen

Mit NIS-2 werden die Sicherheitsanforderungen für betroffene Unternehmen erheblich erhöht. Dies bedeutet, dass auch ihre Lieferanten und Dienstleister, wie zum Beispiel Gini, nun verstärkt in die Pflicht genommen werden, um sicherzustellen, dass ihre Produkte und Dienstleistungen den neusten Standards zur Sicherheit der Datenverarbeitung entsprechen. Zulieferer müssen zum Beispiel ihre eigenen Sicherheitsmaßnahmen beim Netzwerk und der Server-Infrastruktur überprüfen und dauerhaft sicherstellen, dass sie angemessene technische und organisatorische Maßnahmen implementiert sind, um die Sicherheit der bereitgestellten Produkte und Dienstleistungen nachhaltig zu gewährleisten.

2. Vertragsbedingungen und Anpassungen

Mit NIS-2 werden betroffene Unternehmen ihre Verträge mit Lieferanten und Dienstleistern überarbeiten müssen, um den neuen Sicherheitsanforderungen gerecht zu werden. Lieferanten und Dienstleister müssen zusätzliche Klauseln in ihre Verträge aufnehmen, die sie dazu verpflichten, bestimmte Sicherheitsstandards einzuhalten und regelmäßige Sicherheitsaudits durchzuführen. Dies kann dazu führen, dass Lieferanten und Dienstleister ihre Geschäftspraktiken und internen Prozesse anpassen müssen, um den Anforderungen gerecht zu werden.

3. Prüfung der Lieferkette

Im Rahmen von NIS-2 werden betroffene Unternehmen verpflichtet, die Sicherheit ihrer gesamten Lieferkette zu bewerten und zu überwachen. Das bedeutet, dass sie nicht nur ihre eigene Netzwerksicherheit verbessern müssen, sondern auch sicherstellen müssen, dass ihre Lieferanten und Dienstleister angemessene Sicherheitsmaßnahmen implementiert haben und diese regelmäßig hinsichtlich ihrer Wirksamkeit überprüfen. Das führt dazu, dass Unternehmen ihre Lieferanten und Dienstleister genauer überprüfen und von ihnen verlangen müssen, ihre Sicherheitsmaßnahmen offenzulegen oder entsprechende Zertifizierungen nachzuweisen.

4. Risikominderung und Zusammenarbeit

Lieferanten und Dienstleister sollten sich bewusst sein, dass die von NIS-2 betroffenen Kunden verlangen können, Risikominderungspläne zu entwickeln und vorzulegen. Dies könnte beispielsweise Maßnahmen zur Stärkung der Netzwerksicherheit und der Aufrechterhaltung des Geschäftsbetriebs, regelmäßige Sicherheitsüberprüfungen oder Schulungen für Mitarbeiter umfassen. Eine enge Zusammenarbeit zwischen betroffenen Unternehmen und ihren Lieferanten und Zulieferern ist entscheidend, um die Sicherheit entlang der gesamten Lieferkette zu gewährleisten.

5. Mitwirkungen bei Meldepflichten

Unternehmen und Organisationen, die von NIS-2 betroffen sind, werden verpflichtet, bedeutende Sicherheitsvorfälle und Störungen bei ihren Diensten an die zuständige nationale Behörde zu melden. Die Meldepflichten sind an streng festgelegte Zeiträume, die auch an den Wochenenden oder Feiertagen einzuhalten sind, gebunden. So muss bei bedeutenden Sicherheitsvorfällen eine Frühwarnung innerhalb von 24 Stunden und eine ausführliche Meldung innerhalb von 72 Stunden nach Bekanntwerden erfolgen. Ein abschließender Bericht über einen Sicherheitsvorfall ist innerhalb von einem Monat vorzulegen. Sind Unternehmen hier von Diensten, beziehungsweise der Unterstützung ihrer Lieferanten und Dienstleistern abhängig, sollten sie Ihre Lieferanten und Dienstleister vertraglich auf die Maßnahmen zur Sicherstellung der Meldepflichten verpflichten.

Dieses Fazit ziehen wir aus der neuen NIS-2 Richtlinie

NIS-2 hat nicht nur direkte Auswirkungen auf unsere Partner aus dem Banken- und Versicherungsumfeld, sondern auch auf uns als Gini. Wir müssen sicherstellen, dass wir den erhöhten Sicherheitsstandards gerecht werden, um die Sicherheit entlang des gesamten Netzwerks und der Liefer- und Dienstleistungskette zu gewährleisten. Glücklicherweise sichert Gini bereits von Beginn an seinen Kunden und Partner zu, ein sehr hohes Maß an Sicherheit für Systeme und Daten zu gewährleisten. Mit der Zertifizierung nach ISO 27001 und insbesondere durch die Anpassung der Prozesse und Dokumentationen an die neue Version der ISO 27001:2022, die die Cybersicherheit noch mehr in den Vordergrund stellt, sieht sich Gini bereits jetzt in der Lage, die strengen Sicherheitsvorgaben der NIS-2 zu erfüllen. Durch ständige Weiterentwicklung und Verbesserungen der internen Prozesse und Sicherheitseinrichtungen ist Gini weiterhin und in Zukunft ein verlässlicher Partner, wenn es um Cybersicherheit geht.

Update: Bundestag verabschiedet NIS-2-Umsetzungsgesetz – was das für Lieferanten wie Gini bedeutet

Am 21. November 2025 hat der Bundesrat den Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie verabschiedet. Damit rückt die nationale Umsetzung einen entscheidenden Schritt näher und für viele Unternehmen, insbesondere für digitale Dienstleister und deren Lieferketten, steigt die Verbindlichkeit der Anforderungen.
Für Banken, Versicherungen und weitere regulierte Organisationen bedeutet das: Sie müssen künftig noch stärker nachweisen, dass ihre Dienstleister Sicherheitsanforderungen auf NIS-2-Niveau erfüllen. Genau hier kommt Gini ins Spiel.

Was bedeutet NIS-2 konkret für Dienstleister?

Mit NIS-2 rückt die Sicherheit der Lieferketten in den Fokus. Unternehmen müssen dokumentieren, wie ihre kritischen Dienstleister geschützt sind, wie Risiken bewertet wurden und welche Sicherheitsmaßnahmen belegt werden können. Dienstleister wie Gini stehen damit noch stärker in der Verantwortung, den eigenen Sicherheitsstatus transparent, auditierbar und stets aktuell vorzuhalten.

Gini ist längst bereit.

Wir haben uns bereits frühzeitig auf die kommenden Anforderungen mit einem holistischen Sicherheitsansatz eingestellt. Folgende Punkte erfüllen wir:

• ISO 27001-Zertifizierung nach der aktuellen Norm als Fundament für strukturiertes Informationssicherheits-Management.
• Etabliertes Incident- und Risikomanagement, das die Melde- und Reaktionspflichten aus NIS-2 bereits heute erfüllt.
• Konsequentes Lieferantenmanagement, das sicherstellt, dass auch unsere Partner ein solides Sicherheitsniveau nachweisen können.
• Transparente Sicherheitsdokumentation, die es unseren Kunden erleichtert, ihre eigenen regulatorischen Pflichten zu erfüllen.

Mit der Verabschiedung steht fest: Die Umsetzung von NIS-2 wird nicht nur ein Thema für große Institutionen sein, sondern für alle Organisationen, die digitale Dienstleistungen einkaufen – inklusive deren Dienstleister.