Die NIS2-Richtlinie
Standard für Cybersicherheit und Meldepflichten in der EU
Standard für Cybersicherheit und Meldepflichten in der EU
Digitale Abhängigkeiten sind heute allgegenwärtig: Kernprozesse, Produktions- und Logistikketten, Kundeninteraktionen sowie der Austausch mit Dienstleistern laufen über vernetzte IT- und, je nach Branche, auch OT-Systeme. Gleichzeitig steigt die Bedrohungslage durch Ransomware, Supply-Chain-Angriffe und systemische Schwachstellen. Vorfälle wirken dadurch häufig weit über das einzelne Unternehmen hinaus – bis hin zu Versorgungsstörungen und Kettenreaktionen in vernetzten Ökosystemen.
NIS2 (Directive (EU) 2022/2555) ist die europäische Antwort auf diese Entwicklung. Ziel ist ein hohes gemeinsames Cybersicherheitsniveau in der EU, mit klaren Mindestanforderungen an Sicherheitsmaßnahmen, Governance und Incident Reporting. Die Richtlinie unterscheidet dabei zwischen „wesentlichen“ und „wichtigen“ Einrichtungen und stärkt Aufsicht und Durchsetzung – inklusive spürbarer Sanktionsmechanismen.
NIS2 verfolgt das Ziel, Cyberrisiken messbar zu reduzieren und die Reaktionsfähigkeit bei Vorfällen zu erhöhen. Im Zentrum stehen drei Leitgedanken: Erstens soll Cybersicherheit nicht mehr als reine IT-Aufgabe verstanden werden, sondern als Management- und Governance-Thema, das strategisch gesteuert und nachweisbar umgesetzt wird.
Zweitens sollen betroffene Organisationen angemessene technische und organisatorische Maßnahmen etablieren, um Risiken zu beherrschen, Betriebsunterbrechungen zu vermeiden und Wiederanlaufzeiten zu reduzieren.
Drittens stärkt NIS2 die europäische Zusammenarbeit und schafft verbindliche Meldeprozesse für signifikante Sicherheitsvorfälle, um Lagebilder zu verbessern und Folgeschäden zu begrenzen
Als EU-Richtlinie muss NIS2 in nationales Recht umgesetzt werden. Die Umsetzungsfrist für die Mitgliedstaaten endete am 17. Oktober 2024.
Für Deutschland ist die nationale Umsetzung mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ im Bundesgesetzblatt am 5. Dezember 2025 veröffentlicht worden.
Unabhängig von der konkreten nationalen Ausgestaltung ist die Stoßrichtung von NIS2 für betroffene Organisationen klar: Es braucht belastbare Sicherheits- und Kontrollmechanismen, eine klare interne Verantwortungsstruktur sowie Prozesse, die im Ernstfall eine fristgerechte Meldung, abgestimmte Kommunikation und eine dokumentierte Aufarbeitung ermöglichen. Besonders relevant ist dabei das in NIS2 vorgesehene, gestufte Incident Reporting mit Frühwarnung innerhalb von 24 Stunden, einer weiteren Meldung innerhalb von 72 Stunden sowie einem Abschlussbericht innerhalb eines Monats (ggf. ergänzt um Fortschrittsberichte).
Ob und in welchem Umfang NIS2 für Ihr Unternehmen gilt, lässt sich nicht allein über die Branche beantworten. Entscheidend ist die Kombination aus Sektorzuordnung, Größe (insbesondere das „size-cap“-Prinzip für mittlere und große Unternehmen) sowie möglichen Ausnahmen, durch die auch kleinere Organisationen erfasst werden können – etwa, wenn sie alleinige Anbieter kritischer Leistungen sind oder wenn ihre Störung erhebliche Auswirkungen auf öffentliche Sicherheit, Gesundheit oder die Wirtschaft hätte.
Darüber hinaus unterscheidet NIS2 zwischen wesentlichen und wichtigen Einrichtungen. Diese Einordnung ist praktisch relevant, weil sie Einfluss darauf hat, wie Aufsicht und Durchsetzung ausgestaltet sind und welche Erwartungen an Nachweisführung und Reifegrad gestellt werden.
Im ersten Schritt ist zu prüfen, ob Ihre Tätigkeiten einem Sektor zugeordnet werden, der in NIS2 erfasst ist. Die Richtlinie unterscheidet dabei Sektoren mit hoher Kritikalität (Annex I) und weitere kritische Sektoren (Annex II). Typische Beispiele sind u. a. Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und bestimmte digitale Dienste; hinzu kommen weitere Industrien wie etwa Teile der verarbeitenden Industrie, Post-/Kurierdienste oder Abfallwirtschaft.
Im zweiten Schritt folgt die Einordnung nach Größenkriterien (i. d. R. mindestens mittelgroß) – ergänzt um Sondertatbestände, durch die bestimmte Einrichtungen unabhängig von der Größe erfasst sein können (z. B. bestimmte digitale Kernfunktionen wie DNS/TLD, Trust Services oder Fälle besonderer Versorgungsrelevanz).
NIS2 adressiert Organisationen dort, wo ein Cybervorfall „wirkungsvoll“ schaden kann: bei der Erbringung kritischer oder breit genutzter Dienste, bei zentralen Daten- und Kommunikationsstrukturen sowie an Knotenpunkten in Lieferketten. Betroffenheit entsteht daher nicht nur bei klassischer kritischer Infrastruktur, sondern auch bei Unternehmen, die digital gestützte Dienste in einem NIS2-Sektor erbringen, die für Kunden oder Partner geschäftskritisch sind oder deren Ausfall erhebliche Folgeschäden auslösen kann.
Praktisch zeigt sich das häufig in Konstellationen, in denen externe Dienstleister (z. B. Cloud/Managed Services) eine große Rolle spielen, OT-Umgebungen mit IT vernetzt sind oder Produkte und Plattformen viele angeschlossene Nutzer und Systeme haben. Genau hier setzt NIS2 an: Es verlangt, Cyberrisiken in Betrieb, Organisation und Lieferkette aktiv zu steuern und im Vorfall eine schnelle, belastbare Reaktion sicherzustellen.
Der Umfang der Anforderungen ergibt sich im Kern aus der Frage, welche Rolle Ihr Unternehmen im betroffenen Sektor spielt, wie kritisch die angebotenen Dienste sind und ob Sie als „wesentliche“ oder „wichtige“ Einrichtung gelten. Inhaltlich verlangt NIS2 ein angemessenes und verhältnismäßiges Cyber-Risikomanagement sowie die Fähigkeit, signifikante Vorfälle schnell zu erkennen, zu steuern und zu melden.
Mit Blick auf die Durchsetzung sieht NIS2 zudem vor, dass Verstöße gegen zentrale Pflichten (insbesondere Sicherheitsmaßnahmen und Meldepflichten) mit hohen Geldbußen belegt werden können – für wesentliche Einrichtungen mindestens bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen mindestens bis 7 Mio. EUR oder 1,4 % (je nachdem, welcher Betrag höher ist; nationale Umsetzungen konkretisieren die Anwendung).
NIS2 erwartet, dass Cybersecurity als unternehmensweite Fähigkeit betrieben wird. Das schließt technische Mindestmaßnahmen (z. B. Schutz- und Detektionsmechanismen, Zugriffskontrollen, Verschlüsselung, Backup/Restore), organisatorische Regelwerke (z. B. Richtlinien, Rollenmodelle, Schulungen) und operative Prozesse (z. B. Schwachstellenmanagement, Change-/Patch-Prozesse, Krisenkommunikation) ebenso ein wie die strukturierte Zusammenarbeit mit externen Providern.
Ein zentraler Teil ist außerdem die Meldefähigkeit: Für „signifikante“ Vorfälle müssen Organisationen so vorbereitet sein, dass sie innerhalb sehr kurzer Zeit belastbare Informationen konsolidieren, intern eskalieren, externe Meldungen fristgerecht absetzen und parallel die technische Eindämmung vorantreiben können. Die in NIS2 vorgegebene Taktung (24h/72h/1 Monat) macht deutlich, dass Meldung und Incident Handling in der Praxis parallel laufen müssen – und dass dies ohne klare Verantwortlichkeiten, Playbooks und vordefinierte Datenpunkte kaum verlässlich funktioniert.
In der Praxis bedeutet NIS2 meist keinen „einzelnen“ Maßnahmenpunkt, sondern ein konsistentes Zielbild aus Governance, Prozessen und Technik. Betroffene Organisationen müssen typischerweise nachweisen können, dass sie Cyberrisiken systematisch identifizieren, priorisieren und behandeln – inklusive Kontrollmechanismen, Wirksamkeitsprüfung und kontinuierlicher Verbesserung.
Besonders häufig entsteht Handlungsbedarf in drei Bereichen: Erstens in der End-to-End-Verankerung von Incident Management (von Detection bis Post-Incident-Review), zweitens in der Steuerung von Dienstleistern und Lieferketten (inkl. vertraglicher Anforderungen und Kontrollrechten) und drittens in der Management-Governance (Verantwortlichkeiten, Reporting, Entscheidungen und Nachweise).
NIS2 steht nicht isoliert. Je nach Branche und Geschäftsmodell greifen parallel weitere Regelwerke und Standards, die ähnliche Schutzziele verfolgen, aber unterschiedliche Schwerpunkte setzen. DORA (Digital Operational Resilience Act) adressiert beispielsweise die digitale operationelle Resilienz im Finanzsektor, während der CRA (Cyber Resilience Act) Anforderungen an die Sicherheit von Produkten mit digitalen Elementen entlang des Produktlebenszyklus etabliert.
In der Umsetzungspraxis ist es daher entscheidend, Überschneidungen bewusst zu nutzen: Viele Bausteine – etwa Governance, Risiko- und Maßnahmensteuerung, Lieferkettenkontrollen, Incident-Handling und -Reporting lassen sich so aufbauen, dass sie mehrere Regime gleichzeitig bedienen. Gleichzeitig müssen Unterschiede sauber getrennt werden, etwa wenn CRA produktbezogene Pflichten (Konformität/CE, produktbezogenes Schwachstellenmanagement) fordert, während NIS2 stärker den sicheren Betrieb und die Organisation von Netz- und Informationssystemen adressiert.
Wir unterstützen Sie ganzheitlich auf Ihrem Weg zur Compliance – pragmatisch, strukturiert und auf Ihre Organisation zugeschnitten. Gemeinsam stellen wir sicher, dass Sie nicht nur formale Anforderungen erfüllen, sondern nachhaltige Resilienz aufbauen.
Gerne treten wir mit Ihnen in den Dialog und zeigen Ihnen unverbindlich Ihre individuelle „Road to Compliance“ auf.