I
Impetora
Antwort

NIS-2 und KI-Systeme

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) musste bis Oktober 2024 in nationales Recht überführt sein und wird in Deutschland durch das NIS2UmsuCG umgesetzt. KI-Systeme gelten dabei nicht als eigene Asset-Klasse, sondern als IKT-Bestandteil, der vollständig dem NIS-2-Regime unterliegt. Wer KI in einer wesentlichen oder wichtigen Einrichtung betreibt, ist 2026 in einem deutlich engeren Pflichten-Korsett unterwegs als noch unter NIS-1.

Wer fällt unter NIS-2

18 Sektoren, geteilt in wesentliche und wichtige Einrichtungen. Banken, Energie, Gesundheitswesen, digitale Infrastruktur, Lebensmittel, Abfallwirtschaft, Forschung, öffentliche Verwaltung und mehr. Schwellen ab 50 Beschäftigten oder 10 Mio EUR Umsatz, in kritischer Infrastruktur ohne Schwelle.

Risikomanagement-Pflichten

Zehn konkrete Mindestmaßnahmen nach Art. 21 NIS-2: Risikoanalyse, Vorfall-Behandlung, Krisenmanagement, Lieferketten-Sicherheit, Verschlüsselung, Authentifizierung, Schulung. Die Maßnahmen müssen dem Stand der Technik entsprechen und auf KI-Komponenten anwendbar sein.

Vorfall-Meldung in 24 Stunden

Frühwarnung an die zuständige Behörde innerhalb von 24 Stunden, vollständige Meldung in 72 Stunden, Abschlussbericht in einem Monat. Für KI-Systeme heißt das: Detektion und Eskalations-Pfade müssen produktiv laufen, nicht in PowerPoint stehen.

Lieferketten-Sicherheit

Direkte Verantwortung für die Sicherheit der eingesetzten KI-Anbieter. Verträge, Audit-Rechte, Penetrationstests, Code-Reviews bei kritischen Komponenten. Die Beweislast liegt bei der Einrichtung, nicht beim Anbieter.

Geschäftsführer-Haftung

NIS-2 macht Geschäftsführung persönlich haftbar für die Einhaltung der Maßnahmen. Schulungs-Pflicht für Leitungsorgane. Bußgelder bis 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis 7 Mio EUR oder 1,4 Prozent für wichtige Einrichtungen.

Bezug zur EU-KI-Verordnung

NIS-2 und EU-KI-Verordnung überschneiden sich bei Hochrisiko-KI in kritischer Infrastruktur. Beide Regelwerke müssen erfüllt werden. Praxis-Empfehlung: ein integriertes Managementsystem nach ISO/IEC 27001 plus 42001, das beide Regime adressiert.

Beratungsgespräch buchenVollständige englische Fassung lesen

Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.

Discovery-Gespräch

Discovery-Gespräch buchen

Erzählen Sie uns, was Sie bauen möchten. Wir antworten innerhalb eines Werktages.

30-minütiges Gespräch. Kostenfrei. Unverbindlich.