NIS2 und Mitarbeiter-Hintergrundprüfung: Wer jetzt prüfen muss und wie

Die NIS2-Richtlinie (EU 2022/2555) ist seit Oktober 2024 EU-weit umzusetzen. In Deutschland ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit Januar 2026 in Kraft. Der Scope ist dramatisch erweitert — tausende Unternehmen, die vorher nicht unter KRITIS fielen, sind jetzt betroffen. Artikel 21 Abs. 2 fordert „Sicherheit des Personals". Konkret: Background Checks für sensible Rollen.

NIS2-Scope: Wer ist jetzt betroffen?

NIS2 unterscheidet zwei Kategorien:

Wesentliche Einrichtungen (Annex I)

• Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)

• Transport (Luft, Schiene, Straße, Schifffahrt)

• Banken und Finanzmarkt-Infrastruktur

• Gesundheitswesen (inkl. pharmazeutische Hersteller)

• Trinkwasser und Abwasser

• Digitale Infrastruktur (Cloud, Rechenzentren, DNS, TLD-Registries)

• ICT-Service-Management (B2B)

• Öffentliche Verwaltung

• Raumfahrt

Wichtige Einrichtungen (Annex II)

• Post- und Kurierdienste

• Abfallbewirtschaftung

• Chemieindustrie (Herstellung, Produktion, Vertrieb)

• Lebensmittel (Produktion, Verarbeitung, Vertrieb)

• Maschinen- und Fahrzeugbau

• Digitale Anbieter (Online-Marktplätze, Suchmaschinen, Social-Media-Plattformen)

• Forschungseinrichtungen

Schwellenwerte: „mittlere" Unternehmen (über 50 Mitarbeiter oder über 10 Mio. € Umsatz) fallen grundsätzlich hinein, „große" Unternehmen (über 250 Mitarbeiter oder über 50 Mio. € Umsatz) automatisch.

Artikel 21 Abs. 2: Zehn Risk-Management-Maßnahmen

NIS2 fordert zehn Mindestmaßnahmen. Für Background Checks zentral ist lit. i) „Sicherheit des Personals, Zugangskontrolle und Asset-Management". Konkret:

• Pre-Employment Screening für Mitarbeiter mit Zugang zu kritischen Systemen

• Sicherheitsüberprüfung externer Dienstleister (Techniker, Consultants, Wartungspersonal)

• Laufende Überwachung — Sanktionslisten, PEP, Adverse Media

• Offboarding-Prozesse — Entzug aller Zugangsrechte bei Rollenwechsel oder Austritt

• Security Awareness Training für alle Mitarbeiter

Weitere Artikel-21-Anforderungen: Incident-Handling, Business Continuity, Sicherheit in der Lieferkette, Kryptographie, Zugangskontrollen, Meldung an CSIRT.

Welche Rollen brauchen Background Checks?

Pflicht

• Geschäftsleitung (persönliche Haftung nach § 30 NIS2UmsuCG)

• IT-Sicherheitsbeauftragte und CISO

• Systemadministratoren mit privilegierten Rechten

• Personen mit Zugang zu Krypto-Schlüsseln oder Produktivdaten

• Externe ICT-Dienstleister (Art. 21 Abs. 2 lit. d Supply-Chain-Security)

Empfohlen

• Mitarbeiter in sicherheitsrelevanten Betriebsbereichen

• Rechenzentrums-Personal

• Wartungstechniker mit physischem Zugang

Persönliche Haftung der Geschäftsleitung

Das ist der harte Hebel in NIS2: Geschäftsleitung haftet persönlich für mangelhafte Umsetzung (§ 30 NIS2UmsuCG). Das gilt ausdrücklich auch dann, wenn kein Schaden eingetreten ist. Aufsichtsbehörden können Bußgelder von bis zu 10 Mio. € oder 2 % des Jahresumsatzes verhängen — gegen die Firma und die Geschäftsführer.

Für „wesentliche Einrichtungen" ist die Strafe noch höher: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Aufsichtsbehörden können Geschäftsführer auch temporär von der Geschäftsführung ausschließen.

Was gilt in der Schweiz?

Die Schweiz hat NIS2 formal nicht umgesetzt. Inhaltlich gelten analoge Anforderungen über das Informationssicherheitsgesetz (ISG), die Cyberrisikenverordnung (CyRV) und FINMA-Rundschreiben für Finanzinstitute. Zuständige Behörde: Nationales Zentrum für Cybersicherheit (NCSC). Schweizer Unternehmen mit Tochtergesellschaften in der EU müssen NIS2 aber umsetzen.

Was gilt in Österreich?

Österreich hat NIS2 mit dem Netz- und Informationssystemsicherheitsgesetz (NIS-G) umgesetzt. Zuständige Behörden: GovCERT Austria und Fachbehörden pro Sektor (z. B. E-Control für Energie). Bußgeldrahmen entspricht DE.

Schnittstellen zu anderen Regulierungen

• DORA (Finanzsektor) — DORA ist lex specialis zu NIS2. Finanzinstitute folgen primär DORA-Anforderungen

• KRITIS-Dachgesetz (DE) — erweitert NIS2 um physische Sicherheit

• CER-Richtlinie (EU 2022/2557) — physische Resilienz kritischer Einrichtungen, parallel zu NIS2

• Cyber Resilience Act (CRA) — Produkt-Sicherheit, ergänzt NIS2 auf Produktebene

Implementierungs-Checkliste

1. Scope-Prüfung: Wesentliche oder wichtige Einrichtung? Dokumentation der Einstufung

2. Registrierung: bei der zuständigen Aufsichtsbehörde binnen 3 Monaten

3. Risk-Assessment: alle 10 Art. 21-Maßnahmen durchgehen, Gap-Analyse

4. Rollen-Risikomatrix: welche Rollen brauchen Background Checks?

5. Screening-Prozess: Pre-Employment plus laufendes Monitoring etablieren

6. Supplier-Management: auch externe Dienstleister einbeziehen

7. Incident-Reporting: 24h/72h/1m-Meldefristen an CSIRT implementieren

8. Geschäftsleitungs-Schulung: Nachweis dokumentieren (§ 30 NIS2UmsuCG)

Indicium für NIS2-Compliance

Indicium unterstützt NIS2-Umsetzung bei der personellen Sicherheit:

• Pre-Employment Screening mit revisionssicherer Dokumentation (CSIRT-Audit-fähig)

• Laufendes Sanktions-, PEP- und Adverse-Media-Monitoring

• Integration für externe Dienstleister (Supply-Chain-Security)

• DSGVO-konform mit Server-Lokalisierung in der EU

Fazit

NIS2 verwandelt Cybersecurity von IT-Disziplin zu Board-Thema. Geschäftsführer haften persönlich. Background Checks sind Teil der Pflicht-Maßnahmen. Wer die zehn Kategorien von Art. 21 nicht sauber umsetzt, riskiert Millionenbußen — und persönliche Amtsausübungsverbote.

Buche eine Demo und sprich mit uns über Deine NIS2-Umsetzung im HR- und Vendor-Management.