Was ist NIS2? Alles, was Sie über die EU-Cybersicherheitsrichtlinie wissen müssen

NIS2 (Richtlinie 2022/2555) ist die überarbeitete Cybersicherheitsrichtlinie der Europäischen Union. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und gilt für Organisationen in 18 kritischen Sektoren in jedem EU-Mitgliedstaat.

In diesem Artikel erklären wir, was NIS2 ist, für wen sie gilt, was Sie tun müssen und welche Konsequenzen bei Nichteinhaltung drohen.

Warum gibt es NIS2?

Cyberangriffe auf Krankenhäuser, Energieversorger und Regierungssysteme haben gezeigt, dass digitale Bedrohungen ganze Gesellschaften lahmlegen können. Ein einzelner Ransomware-Angriff auf einen Zulieferer kann grenzüberschreitend Kettenreaktionen auslösen und Dienste stilllegen, auf die Millionen Menschen angewiesen sind.

Die EU hat erkannt, dass Cybersicherheit nicht länger einzelnen Organisationen oder Mitgliedstaaten überlassen werden kann. NIS2 legt ein Mindestniveau an Cybersicherheit fest, das alle Mitgliedstaaten durchsetzen müssen — damit eine Schwachstelle in einem Land nicht die gesamte Union gefährdet.

Was hat sich gegenüber der ursprünglichen NIS-Richtlinie geändert?

Breiterer Anwendungsbereich — von wenigen Sektoren auf 18
Spezifischere Anforderungen — 10 konkrete Maßnahmenkategorien statt vager Richtlinien
Strengere Durchsetzung — Bußgelder bis zu 10 Millionen Euro und persönliche Haftung der Geschäftsführung
Strengere Meldepflichten — verpflichtende Meldung innerhalb von 24 Stunden

Für wen gilt NIS2?

NIS2 verwendet eine Größenschwelle als Hauptkriterium. Die Richtlinie gilt für Ihre Organisation, wenn Sie beide Bedingungen erfüllen:

50 oder mehr Beschäftigte, oder ein Jahresumsatz / eine Bilanzsumme von mehr als 10 Millionen Euro
Sie sind in einem der 18 bezeichneten Sektoren tätig

Sektoren mit hoher Kritikalität (Anhang I)

Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
Verkehr (Luft, Schiene, Wasser, Straße)
Bankwesen und Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser und Abwasser
Digitale Infrastruktur (DNS, TLD-Registrierungsstellen, Cloud, Rechenzentren, CDNs)
IKT-Dienstleistungsmanagement (B2B — Managed Services, Managed Security)
Öffentliche Verwaltung
Weltraum

Sonstige kritische Sektoren (Anhang II)

Post- und Kurierdienste
Abfallwirtschaft
Chemie
Lebensmittelproduktion und -vertrieb
Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)
Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
Forschungseinrichtungen

Hinweis: Einige Organisationen fallen unabhängig von ihrer Größe unter NIS2 — darunter qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registrierungsstellen und DNS-Diensteanbieter.

Wesentliche vs. wichtige Einrichtungen

NIS2 unterscheidet zwei Kategorien:

Wesentliche Einrichtungen — größere Organisationen in Sektoren mit hoher Kritikalität. Unterliegen proaktiver Aufsicht: Behörden können jederzeit Prüfungen und Inspektionen durchführen.
Wichtige Einrichtungen — unterliegen reaktiver Aufsicht: Behörden werden erst nach einem Vorfall oder bei Hinweisen auf Nichteinhaltung aktiv.

Beide Kategorien müssen dieselben Sicherheitsmaßnahmen umsetzen. Der Unterschied liegt im Aufsichtsmodell und den Höchststrafen.

Was fordert NIS2? Die 3 Kernpflichten

1. Sorgfaltspflicht — die 10 Maßnahmen des Artikels 21

Organisationen müssen angemessene technische, operative und organisatorische Maßnahmen zur Beherrschung von Cybersicherheitsrisiken ergreifen. Artikel 21 nennt zehn spezifische Maßnahmenkategorien, die Sie mindestens umsetzen müssen.

Hier ist eine visuelle Übersicht, wie die 10 Maßnahmen organisiert sind:

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
🛡️
Artikel 21
10 Cybersicherheitsmaßnahmen
📊Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
🚨Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
🔗Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
🔐Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
👥Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Jede Maßnahme im Detail:

Risikoanalyse und Informationssicherheitskonzepte — dokumentierte Risikobewertungen und Sicherheitsrichtlinien für Ihre Informationssysteme
Bewältigung von Sicherheits-\nvorfällen — Prozesse zur Erkennung, Reaktion und Wiederherstellung bei Sicherheits-\nvorfällen
Betriebskontinuität und Krisenmanagement — Backup-Strategien, Disaster Recovery und Krisenmanagementverfahren
Sicherheit der Lieferkette — Sicherheitsanforderungen an Ihre Zulieferer und Dienstleister, einschließlich vertraglicher Vereinbarungen
Sicherer Erwerb, Entwicklung und Wartung — Sicherheit im Lebenszyklus Ihrer Netz- und Informationssysteme, einschließlich Schwachstellenmanagement
Wirksamkeitsbewertung — Konzepte und Verfahren zur Bewertung, ob Ihre Cybersicherheitsmaßnahmen tatsächlich funktionieren
Cyberhygiene und Schulungen — grundlegende Cybersicherheitspraktiken für alle Mitarbeiter sowie gezielte Schulungsprogramme
Kryptografie und Verschlüsselung — Richtlinien für den Einsatz kryptografischer Maßnahmen und Verschlüsselung
Personalsicherheit, Zugangskontrolle und Asset-Management — Personalüberprüfung, rollenbasierte Zugriffskontrollen und eine aktuelle Bestandsaufnahme Ihrer Assets
Multi-Faktor-Authentifizierung und gesicherte Kommunikation — MFA für kritische Systeme, verschlüsselte interne Kommunikation und gesicherte Notfallkommunikationskanäle

2. Meldepflicht (Artikel 23)

Bei einem erheblichen Vorfall müssen Sie in drei Stufen berichten:

Frist	Was Sie einreichen müssen
Innerhalb von 24 Stunden	Erstmeldung an die Aufsichtsbehörde und das nationale CSIRT — war es böswillig? Sind grenzüberschreitende Auswirkungen möglich?
Innerhalb von 72 Stunden	Folgemeldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren
Innerhalb von 1 Monat	Abschlussbericht mit detaillierter Beschreibung, Ursachenanalyse und ergriffenen Gegenmaßnahmen

3. Registrierungspflicht

Organisationen, die unter NIS2 fallen, müssen sich bei ihrer nationalen Aufsichtsbehörde registrieren. Fristen und Registrierungsportale variieren je nach Land.

Was passiert bei Nichteinhaltung?

Die Konsequenzen sind erheblich — sowohl für die Organisation als auch für einzelne Vorstandsmitglieder.

Finanzielle Sanktionen

Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Persönliche Haftung der Geschäftsführung

Hier geht NIS2 weiter als die meisten Regulierungen. Artikel 20 legt die Verantwortung für Cybersicherheit ausdrücklich beim Leitungsorgan fest:

Vorstandsmitglieder müssen Risikomanagementmaßnahmen genehmigen
Vorstandsmitglieder müssen deren Umsetzung überwachen
Vorstandsmitglieder können bei Versäumnissen persönlich haftbar gemacht werden
Vorstandsmitglieder sind verpflichtet, Cybersicherheitsschulungen zu absolvieren

Es geht nicht nur darum, ein Strategiedokument abzuzeichnen. NIS2 erwartet, dass die Geschäftsführung die Risikolandschaft der Organisation aktiv versteht und fundierte Entscheidungen trifft.

NIS2-Umsetzungszeitplan in der EU

NIS2 trat auf EU-Ebene im Januar 2023 in Kraft. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit für die Umsetzung in nationales Recht. Die Zeitpläne variieren jedoch erheblich:

Land	Status
Belgien	Seit Oktober 2024 vollständig in Kraft — eines der ersten Länder
Deutschland	NIS2UmsuCG im November 2025 verabschiedet; BSI-Registrierung bis April 2026
Niederlande	Cyberbeveiligingswet dem Parlament vorgelegt Juni 2025; erwartet Q2 2026
Frankreich	Umsetzung in Arbeit; nationales Gesetz erwartet 2026
Italien	Gesetzesdekret verabschiedet; Implementierung läuft
Spanien	Umsetzung in Arbeit
Polen	Gesetzentwurf in parlamentarischer Beratung

Fazit: Unabhängig vom Zeitplan Ihres Landes ist die Richtung klar. Organisationen, die jetzt mit der Vorbereitung beginnen, haben einen deutlichen Vorsprung.

Wie starten Sie mit der NIS2-Compliance?

Die Vorbereitung auf NIS2 muss nicht überwältigend sein. Folgen Sie diesen fünf Schritten:

Stellen Sie fest, ob NIS2 für Sie gilt — prüfen Sie die Größenschwelle (50+ Beschäftigte oder €10M+ Umsatz) und verifizieren Sie Ihren Sektor
Bewerten Sie Ihren aktuellen Stand — ordnen Sie Ihre bestehenden Maßnahmen den 10 Artikel-21-Kategorien zu und identifizieren Sie Lücken
Priorisieren und umsetzen — gehen Sie die größten Risiken zuerst an; versuchen Sie nicht, alles gleichzeitig zu erledigen
Dokumentieren Sie alles — NIS2 verlangt nachweisbare Compliance. Was Sie nicht belegen können, zählt nicht
Beziehen Sie Ihre Geschäftsführung ein — stellen Sie sicher, dass das Management seine persönliche Haftung versteht und den Risikomanagementansatz genehmigt

Starten Sie mit einem kostenlosen NIS2-Quickscan

Unsicher, wo Ihre Organisation steht? Unser kostenloser NIS2-Quickscan gibt Ihnen in wenigen Minuten eine erste Einschätzung Ihrer Bereitschaft.

Der Scan deckt alle 10 Artikel-21-Maßnahmenkategorien ab und zeigt Ihnen genau, wo Sie handeln müssen — völlig unverbindlich.

Lesen Sie auch

Zum kostenlosen Quickscan →