Die NIS 2-Richtlinie (EU 2022/2555) ist die neue europäische Grundlage für Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie und zielt darauf ab, das Sicherheitsniveau in der EU zu vereinheitlichen und zu erhöhen. Die Richtlinie ist am 16. Januar 2023 in Kraft getreten und soll bis Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland geschieht dies durch das NIS2UmsuCG, das sich derzeit im Gesetzgebungsverfahren befindet.
1. Wer ist von NIS 2 betroffen?
Die Richtlinie erweitert den Anwendungsbereich erheblich. Während zuvor nur Betreiber kritischer Infrastrukturen (KRITIS) betroffen waren, richtet sich NIS 2 nun auch an viele mittelständische und große Unternehmen verschiedener Branchen. Betroffen sind Einrichtungen aus den Bereichen Energie, Verkehr, Finanzen, Gesundheit, Abwasser, Post- und Kurierdienste, Digitale Dienste, Cloud, Rechenzentren, Produktion, Chemie, Lebensmittel und viele weitere.
Die Richtlinie unterscheidet zwischen „wesentlichen Einrichtungen“ (essential entities) und „wichtigen Einrichtungen“ (important entities). Beide Gruppen müssen weitgehend dieselben Sicherheitsmaßnahmen ergreifen, unterliegen aber unterschiedlicher behördlicher Aufsicht und Sanktionshöhe.
2. Anwendbarkeitskriterien
Ob ein Unternehmen unter NIS 2 fällt, hängt neben der Branche auch von der Größe und wirtschaftlichen Bedeutung ab. Grundsätzlich gilt: Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz über 10 Mio. € können bereits betroffen sein, sofern sie in einem der genannten Sektoren tätig sind. Größere Unternehmen (über 250 Mitarbeitende oder über 50 Mio. € Umsatz) gelten meist als wesentliche Einrichtungen.
Unternehmen müssen eigenverantwortlich prüfen, ob sie unter die Regelungen fallen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Hilfestellungen und Prüfwerkzeuge zur Betroffenheitsanalyse an.
3. Pflichten nach der NIS 2-Richtlinie
Pflicht / Anforderung
Was ist zu tun
Hinweis
Risikomanagement & Informationssicherheit
Einführung eines systematischen Sicherheits- und Risikomanagements.
Ganzheitlich: Technik, Prozesse, Personal.
Lieferkettensicherheit
Sicherheitsanforderungen an Dienstleister und Zulieferer definieren.
Vertragliche Absicherung und Überwachung.
Sicherheitsmaßnahmen
Implementierung technischer Schutzmaßnahmen wie MFA, Monitoring, Verschlüsselung.
Anpassung an Stand der Technik erforderlich.
Vorfallmanagement & Meldepflichten
Meldung erheblicher Sicherheitsvorfälle innerhalb kurzer Fristen (24h, 72h).
Neue, strengere Fristen im Vergleich zur alten NIS.
Dokumentation & Nachweisbarkeit
Alle Sicherheitsmaßnahmen und Prüfungen müssen dokumentiert werden.
Pflicht zur regelmäßigen Überprüfung der Wirksamkeit.
Haftung & Sanktionen
Geschäftsführung trägt erhöhte Verantwortung.
Hohe Bußgelder bei Verstößen möglich.
4. Umsetzung in Deutschland
In Deutschland erfolgt die Umsetzung der Richtlinie durch das Gesetz zur Umsetzung der NIS‑2‑Richtlinie (NIS2UmsuCG). Das Gesetz legt Zuständigkeiten, Meldewege und Sanktionsrahmen fest. Die Aufsicht wird beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt. Der Gesetzentwurf wurde 2025 vom Bundeskabinett beschlossen, das Gesetz tritt voraussichtlich im 1. Quartal 2026 in Kraft.
5. Warum NIS 2 wichtig ist
Mit NIS 2 wird Cyber- und Informationssicherheit zum verbindlichen Bestandteil der Unternehmensführung. Unternehmen, die ihre Prozesse frühzeitig anpassen, profitieren nicht nur von Rechtssicherheit, sondern stärken auch ihre Resilienz gegen Cyberangriffe, verbessern das Vertrauen von Kunden und Geschäftspartnern und sichern langfristig ihre Wettbewerbsfähigkeit.
6. Handlungsempfehlungen für Unternehmen
1. Durchführung einer Betroffenheitsanalyse zur Klärung der Anwendbarkeit.
2. Durchführung einer Gap-Analyse, um Defizite gegenüber NIS 2-Anforderungen zu identifizieren.
3. Aufbau oder Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS).
4. Etablierung klarer Melde- und Notfallprozesse für Sicherheitsvorfälle.
5. Schulung der Mitarbeitenden und regelmäßige Awareness-Maßnahmen.
6. Vertragliche Absicherung der Lieferkette.
7. Kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen.
7. Fazit
Die NIS 2-Richtlinie bringt umfassende Pflichten, aber auch Chancen. Sie zwingt Unternehmen, Cyber- und Informationssicherheit systematisch und nachhaltig anzugehen. Wer rechtzeitig handelt, kann Risiken minimieren, Haftung vermeiden und zugleich das Vertrauen von Kunden und Geschäftspartnern stärken.
