Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfassendste Cybersicherheitsregulierung, die die Europäische Union je verabschiedet hat. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet den Kreis betroffener Unternehmen drastisch aus. Für deutsche Unternehmen bedeutet das: Wer bisher nicht reguliert war, kann jetzt unter strenge Meldepflichten, Risikomanagement-Vorgaben und persönliche Haftung der Geschäftsführung fallen.
In diesem Ratgeber erklären wir, was NIS2 konkret bedeutet, wer betroffen ist und welche Schritte Sie jetzt einleiten sollten.
Warum NIS2? Der Hintergrund
Cyberangriff? Jetzt Soforthilfe erhalten.
24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.
Die Bedrohungslage im Cyberraum hat sich seit 2016 fundamental verändert. Ransomware-Angriffe auf Krankenhäuser, Energieversorger und Lieferketten haben gezeigt, dass Cybersicherheit kein reines IT-Thema mehr ist, sondern eine Frage der nationalen Sicherheit und wirtschaftlichen Stabilität.
Die ursprüngliche NIS-Richtlinie erfasste nur wenige hundert Unternehmen pro EU-Mitgliedstaat. NIS2 erweitert den Geltungsbereich auf schätzungsweise 29.000 bis 40.000 Unternehmen allein in Deutschland. Die Botschaft ist klar: Cybersicherheit ist Chefsache, und Versäumnisse werden sanktioniert.
Wer ist betroffen? Die 18 Sektoren im Überblick
NIS2 unterscheidet zwischen Sektoren hoher Kritikalität und sonstigen kritischen Sektoren. Die Einstufung als "wesentliche" oder "wichtige" Einrichtung hängt vom Sektor und der Unternehmensgröße ab.
Sektoren hoher Kritikalität (Anhang I)
| Nr. | Sektor | Beispiele |
|---|---|---|
| 1 | Energie | Strom, Gas, Öl, Fernwärme, Wasserstoff |
| 2 | Verkehr | Luftfahrt, Schiene, Schifffahrt, Straße |
| 3 | Bankwesen | Kreditinstitute |
| 4 | Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| 5 | Gesundheitswesen | Krankenhäuser, Labore, Pharma, Medizinprodukte |
| 6 | Trinkwasser | Wasserversorgung |
| 7 | Abwasser | Abwasserentsorgung |
| 8 | Digitale Infrastruktur | DNS, TLD, Rechenzentren, Cloud, CDN, TK-Anbieter |
| 9 | IKT-Dienstleistungsmanagement | Managed Service Provider, Managed Security Provider |
| 10 | Öffentliche Verwaltung | Bundes- und Landesbehörden |
| 11 | Weltraum | Bodeninfrastrukturen |
Sonstige kritische Sektoren (Anhang II)
| Nr. | Sektor | Beispiele |
|---|---|---|
| 12 | Post- und Kurierdienste | Paketdienstleister, Briefdienste |
| 13 | Abfallbewirtschaftung | Entsorgungsunternehmen |
| 14 | Chemie | Herstellung, Produktion, Vertrieb |
| 15 | Lebensmittel | Produktion, Verarbeitung, Großhandel |
| 16 | Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinenbau, Kfz |
| 17 | Digitale Dienste | Marktplätze, Suchmaschinen, soziale Netzwerke |
| 18 | Forschung | Forschungseinrichtungen |
Schwellenwerte: Ab welcher Größe gilt NIS2?
| Kategorie | Mitarbeitende | Jahresumsatz | Bilanzsumme |
|---|---|---|---|
| Mittleres Unternehmen | ab 50 | ab 10 Mio. EUR | ab 10 Mio. EUR |
| Großes Unternehmen | ab 250 | ab 50 Mio. EUR | ab 43 Mio. EUR |
Wichtig: Einige Sektoren (z. B. digitale Infrastruktur, DNS-Dienste, TK-Anbieter) fallen unabhängig von der Unternehmensgröße unter NIS2. Auch Zulieferer kritischer Einrichtungen können indirekt betroffen sein.
Die zentralen Anforderungen
NIS2 definiert vier Kernbereiche, in denen betroffene Unternehmen handeln müssen:
1. Risikomanagement (Art. 21)
Unternehmen müssen angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen. Dazu gehören mindestens:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Incident Response: Erkennung, Bewältigung und Meldung von Sicherheitsvorfällen
- Business Continuity Management und Krisenmanagement
- Sicherheit der Lieferkette (einschließlich Auftragnehmer und Dienstleister)
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Schwachstellenmanagement und Offenlegung
- Bewertung der Wirksamkeit der Maßnahmen
- Schulung und Cyberhygiene
- Kryptografie und Verschlüsselung
- Zugangskontrolle und Asset Management
2. Meldepflichten (Art. 23)
Die Meldepflichten sind deutlich verschärft worden. Bei erheblichen Sicherheitsvorfällen gilt ein dreistufiges Meldesystem:
| Frist | Meldung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung | Erste Meldung an das BSI nach Kenntnisnahme |
| 72 Stunden | Vorfallmeldung | Erste Bewertung mit Schweregrad und Auswirkungen |
| 1 Monat | Abschlussbericht | Detaillierte Beschreibung, Ursachenanalyse, Maßnahmen |
Wer diese Fristen nicht einhält, riskiert Bußgelder und im Wiederholungsfall Sanktionen gegen die Geschäftsleitung.
Praxishinweis: Eine 24-Stunden-Frühwarnung setzt voraus, dass Sie einen Sicherheitsvorfall überhaupt innerhalb weniger Stunden erkennen können. Ohne ein funktionierendes Security Operations Center (SOC) oder einen Managed Detection & Response-Dienst ist das für die meisten Unternehmen unrealistisch.
3. Sicherheit der Lieferkette (Art. 21 Abs. 2d)
NIS2 verpflichtet Unternehmen, die Cybersicherheit ihrer gesamten Lieferkette zu berücksichtigen. Das bedeutet:
- Sicherheitsanforderungen an Zulieferer und Dienstleister vertraglich festlegen
- Regelmäßige Bewertung der Sicherheitslage kritischer Lieferanten
- Risikobewertung der Abhängigkeiten von einzelnen Anbietern
- Notfallpläne für den Ausfall kritischer Zulieferer
Für viele Unternehmen, die selbst nicht direkt unter NIS2 fallen, entstehen dadurch indirekte Pflichten als Teil der Lieferkette regulierter Einrichtungen.
4. Persönliche Haftung der Geschäftsleitung (Art. 20)
Die wohl einschneidendste Neuerung: Geschäftsführer und Vorstände haften persönlich für die Einhaltung der Cybersicherheitsmaßnahmen. Konkret bedeutet das:
- Die Geschäftsleitung muss Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen
- Pflichtverletzungen können zu persönlicher Haftung führen
- Geschäftsführer müssen an Cybersicherheitsschulungen teilnehmen
- Die Haftung kann nicht delegiert werden
Bußgelder und Sanktionen
NIS2 orientiert sich bei den Bußgeldern am Vorbild der DSGVO:
| Einrichtung | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes |
Darüber hinaus kann die Aufsichtsbehörde bei wesentlichen Einrichtungen die Geschäftsleitung vorübergehend abberufen oder bestimmte Tätigkeiten untersagen.
Timeline: NIS2 in Deutschland
| Datum | Ereignis |
|---|---|
| 16. Januar 2023 | NIS2-Richtlinie tritt auf EU-Ebene in Kraft |
| 17. Oktober 2024 | Ursprüngliche Umsetzungsfrist für alle EU-Mitgliedstaaten |
| 2024/2025 | Mehrere Referentenentwürfe des NIS2UmsuCG in Deutschland |
| März 2025 | Kabinettsentwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) |
| 13. November 2025 | Verabschiedung im Bundestag |
| 21. November 2025 | Zustimmung im Bundesrat |
| 5. Dezember 2025 | Verkündung im Bundesgesetzblatt |
| 6. Dezember 2025 | Inkrafttreten des NIS2UmsuCG in Deutschland |
Das Gesetz ist seit dem 6. Dezember 2025 in Kraft. Deutschland hat die ursprüngliche EU-Umsetzungsfrist vom 17. Oktober 2024 zwar nicht eingehalten, doch nach dem parlamentarischen Verfahren – das sich durch die Bundestagswahl und Koalitionsverhandlungen verzögerte – gilt das NIS2UmsuCG nun verbindlich. Schätzungsweise 29.000 bis 40.000 Unternehmen in Deutschland sind betroffen und müssen die Anforderungen jetzt umsetzen.
Die DATA REVERSE® NIS2-Studie: Wie gut sind deutsche KMU vorbereitet?
Die DATA REVERSE® NIS2-Studie zeigt ein besorgniserregendes Bild der Cybersicherheitsreife deutscher KMU. In einer Befragung von über 500 mittelständischen Unternehmen aus NIS2-relevanten Sektoren wurden erhebliche Lücken identifiziert:
- 67 % der befragten Unternehmen wissen nicht, ob sie unter NIS2 fallen
- Nur 23 % verfügen über einen dokumentierten Incident-Response-Plan
- 81 % haben keine formalisierte Lieferketten-Risikobewertung
- Lediglich 12 % der Geschäftsführer haben an einer Cybersicherheitsschulung teilgenommen
- 74 % der Unternehmen können einen Sicherheitsvorfall nicht innerhalb von 24 Stunden erkennen und melden
- Nur 31 % haben ein Business Continuity Management etabliert
- 58 % setzen keine Multi-Faktor-Authentifizierung für kritische Systeme ein
Diese Zahlen verdeutlichen: Der Handlungsbedarf ist enorm, und die verbleibende Zeit ist knapp. Besonders alarmierend ist die Diskrepanz zwischen der Selbsteinschätzung der IT-Sicherheit ("gut" bei 61 % der Befragten) und dem tatsächlichen Reifegrad der implementierten Maßnahmen.
Fazit der Studie: Deutsche KMU unterschätzen systematisch sowohl die Wahrscheinlichkeit eines Cyberangriffs als auch den Umfang der NIS2-Anforderungen. Ohne gezielte Vorbereitung drohen vielen Unternehmen empfindliche Bußgelder und im Ernstfall existenzbedrohende Betriebsunterbrechungen.
NIS2-Readiness-Checkliste für Unternehmen
Nutzen Sie diese Checkliste als Ausgangspunkt für Ihre NIS2-Vorbereitung:
Bestandsaufnahme und Governance
- Prüfen, ob das eigene Unternehmen unter NIS2 fällt (Sektor + Schwellenwerte)
- Geschäftsleitung über NIS2-Pflichten und persönliche Haftung informieren
- Verantwortlichkeiten für Cybersicherheit auf Leitungsebene festlegen
- Budget für Cybersicherheitsmaßnahmen einplanen und genehmigen lassen
Technische und organisatorische Maßnahmen
- Umfassende Risikoanalyse der IT-Systeme und Prozesse durchführen
- Incident-Response-Plan erstellen und regelmäßig testen (inkl. 24h-Meldefähigkeit)
- Business Continuity Management aufbauen oder aktualisieren
- Lieferketten-Sicherheit bewerten und vertragliche Anforderungen an Zulieferer formulieren
- Multi-Faktor-Authentifizierung, Verschlüsselung und Zugangskontrolle implementieren
- Schulungsprogramm für Mitarbeitende und Geschäftsleitung etablieren
Externe Unterstützung
- Einen qualifizierten Incident-Response-Dienstleister vertraglich einbinden
- Regelmäßige Penetrationstests und Sicherheitsaudits beauftragen
Was tun im Ernstfall?
Trotz aller Vorbereitung kann ein Cyberangriff jedes Unternehmen treffen. Wenn es passiert, zählt jede Minute. Die Cyber-Notfall-Allianz aus DATA REVERSE, aconitas und Schneider & Wulf steht als spezialisierte Incident-Response-Einheit bereit:
- 24/7 Notfall-Hotline: 0800 - 292 37 24
- 60 Minuten Reaktionszeit nach Erstmeldung
- Forensische Analyse, Datenrettung und Wiederherstellung aus einer Hand
- Unterstützung bei der Erfüllung der NIS2-Meldepflichten
Mehr zu unserem Incident-Response-Service erfahren
Nützliche Links und Quellen
Offizielle Quellen
- EU-Amtsblatt – NIS2-Richtlinie (Volltext): Richtlinie (EU) 2022/2555
- BSI – NIS2 (Bundesamt für Sicherheit in der Informationstechnik): www.bsi.bund.de – offizielle Informationsseite zu NIS2 und Cybersicherheit
- BMI – NIS2-Umsetzungsgesetz: www.bmi.bund.de – Referentenentwürfe und Gesetzgebungsprozess
Informationsportale
- OpenKRITIS – NIS2 für Unternehmen: www.openkritis.de – Umfassende, unabhängige Aufbereitung der NIS2-Anforderungen
Weiterführende Seiten auf cybernotfall24.de
- Pentests und Sicherheitsaudits – Schwachstellen identifizieren, bevor es Angreifer tun
- Managed Security – Rund-um-die-Uhr-Überwachung Ihrer IT-Infrastruktur
- Datenrettung nach Cyberangriff – TÜV-zertifizierte Wiederherstellung verschlüsselter Daten
- Incident Response – Soforthilfe in Ihrer Region – 24/7 Notfall-Einsatzteam in Ihrer Nähe
Fazit
Die NIS2-Richtlinie markiert einen Paradigmenwechsel in der europäischen Cybersicherheitsregulierung. Mit der Ausweitung auf 18 Sektoren, der persönlichen Haftung der Geschäftsleitung und Bußgeldern von bis zu 10 Millionen Euro wird Cybersicherheit endgültig zur Pflichtaufgabe auf Vorstandsebene.
Die Frage ist nicht mehr, ob Ihr Unternehmen handeln muss, sondern wie schnell. Jedes Unternehmen, das in einem der regulierten Sektoren tätig ist und die Schwellenwerte überschreitet, sollte jetzt mit der Vorbereitung beginnen.
Sie sind unsicher, ob Ihr Unternehmen betroffen ist? Sie brauchen Unterstützung bei der Umsetzung?
Rufen Sie uns an unter 0800 - 292 37 24 oder vereinbaren Sie ein kostenloses Erstgespräch.
