Was ist die NIS-2-Richtlinie ‒ und wann sind ArbG betroffen?

In Deutschland ist das Gesetz zur Umsetzung der NIS-2-Richtlinie seit dem 6.12.25 in Kraft. Während sie primär als IT- und sicherheitsrechtliches Regelwerk wahrgenommen wird, entfaltet sie in der betrieblichen Praxis unmittelbare arbeitsrechtliche Relevanz: Organisations-, Schulungs- und Kontrollpflichten, Mitbestimmungsfragen, Haftung der Unternehmensleitung sowie Fragen der arbeitsvertraglichen Nebenpflichten rücken in den Vordergrund. Nachfolgend ein arbeitsrechtlicher Blick auf Pflichten und Risiken sowie auf die Beratungschancen für ArbG-Vertreter.

1. Die Einordnung der NIS-2-Richtlinie

Mit der Richtlinie (EU) 2022/2555 („NIS-2“) hat der europäische Gesetzgeber den Ordnungsrahmen für Cybersicherheit grundlegend verschärft und zugleich erheblich ausgeweitet. Die NIS-2 ersetzt die bisherige NIS-1-Richtlinie. Sie verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Anders als ihr Vorgänger erfasst sie deutlich mehr Unternehmen, konkretisiert Pflichten und verschärft Sanktionen ‒ mit spürbaren Folgewirkungen für ArbG und deren arbeitsrechtliche Compliance.

2. Anwendungsbereich: Wer fällt unter NIS-2?

NIS-2 unterscheidet zwischen „wesentlichen Einrichtungen“ (essential entities) und „wichtigen Einrichtungen“ (important entities). Erfasst werden Unternehmen aus 18 Sektoren, u. a.