Was ist NIS-2? Der vollständige Leitfaden zur EU-Cybersicherheitsrichtlinie

Wenn Sie diesen Artikel lesen, haben Sie wahrscheinlich schon von NIS-2 gehört – und fragen sich jetzt, was das konkret für Ihr Unternehmen bedeutet. Die kurze Antwort: Es kommt darauf an. Die etwas längere: Lesen Sie weiter.

Die NIS-2-Richtlinie ist die überarbeitete EU-Vorgabe zur Cybersicherheit. Sie löst die erste NIS-Richtlinie von 2016 ab, und “überarbeitet” ist dabei noch untertrieben. Der Anwendungsbereich wurde massiv erweitert, die Anforderungen verschärft, und – das ist der Punkt, der viele Geschäftsführer aufhorchen lässt – es gibt jetzt eine persönliche Haftung der Unternehmensleitung.

Warum überhaupt eine neue Richtlinie?

Machen wir uns nichts vor: Die erste NIS-Richtlinie hatte Schwächen. Der Anwendungsbereich war zu eng gefasst, die einzelnen EU-Länder haben sie unterschiedlich umgesetzt, und die Sanktionen waren… sagen wir mal, überschaubar. Kein Wunder, dass viele Unternehmen das Thema nicht allzu ernst genommen haben.

Dann kam die Realität dazwischen. Ransomware-Angriffe auf Krankenhäuser, die den Betrieb lahmlegen. Attacken auf Energieversorger. Lieferketten, die durch Cyberangriffe zusammenbrechen. Die EU hat verstanden: Wenn wir kritische Infrastrukturen nicht besser schützen, wird das richtig teuer – nicht nur für einzelne Unternehmen, sondern für die gesamte Wirtschaft.

Im Dezember 2020 kam dann der Entwurf für NIS-2. Nach den üblichen Verhandlungen (zwei Jahre, für EU-Verhältnisse fast schon sportlich) wurde die Richtlinie am 14. Dezember 2022 veröffentlicht und trat am 16. Januar 2023 in Kraft.

Was will NIS-2 eigentlich erreichen?

Die Ziele lassen sich auf vier Punkte runterbrechen:

Erstens: Ein höheres Sicherheitsniveau in der gesamten EU. Unternehmen sollen nicht mehr selbst entscheiden können, ob sie Cybersicherheit ernst nehmen oder nicht.

Zweitens: Einheitliche Standards. Was in Deutschland gilt, soll auch in Frankreich, Italien oder Polen gelten. Das ist besonders wichtig für Unternehmen, die grenzüberschreitend arbeiten.

Drittens: Bessere Zusammenarbeit zwischen den nationalen Behörden. Cyberangriffe machen nicht an Landesgrenzen halt, also sollte es die Verteidigung auch nicht tun.

Viertens: Mehr Widerstandsfähigkeit der kritischen Infrastruktur. Wenn ein Kraftwerk angegriffen wird, sollte nicht gleich das halbe Land im Dunkeln sitzen.

Wer ist betroffen? Die entscheidende Frage

Hier wird es konkret. In Deutschland rechnet man mit etwa 29.500 betroffenen Unternehmen. Das ist ein gewaltiger Sprung – unter der alten Regelung waren es gerade mal rund 2.000.

Die Betroffenheit hängt von zwei Faktoren ab: dem Sektor, in dem Ihr Unternehmen tätig ist, und seiner Größe.

Die Size-Cap-Regel

Fangen wir mit der Größe an. Es gibt zwei Kategorien:

Als wichtige Einrichtung gelten Sie, wenn Sie mindestens 50 Mitarbeitende haben oder einen Jahresumsatz und eine Bilanzsumme von jeweils mindestens 10 Millionen Euro.

Als besonders wichtige Einrichtung gelten Sie bei mindestens 250 Mitarbeitenden oder einem Umsatz von mindestens 50 Millionen Euro plus einer Bilanzsumme von 43 Millionen Euro.

Der Unterschied? Besonders wichtige Einrichtungen werden proaktiv von den Behörden überwacht und riskieren höhere Bußgelder (bis zu 10 Millionen Euro statt 7 Millionen). Die grundlegenden Pflichten sind aber für beide Kategorien dieselben.

Die 18 Sektoren

Jetzt wird’s etwas länger, aber es lohnt sich, genau hinzuschauen. Die Richtlinie unterscheidet zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.

Sektoren mit hoher Kritikalität sind: Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme), Verkehr (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleister im B2B-Bereich, öffentliche Verwaltung und Weltraum.

Sonstige kritische Sektoren sind: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (bestimmte Bereiche), digitale Dienste und Forschung.

Besonders interessant ist der Bereich “Verwaltung von IKT-Diensten” – das betrifft Managed Service Provider und Managed Security Service Provider. Wenn Sie als IT-Dienstleister für andere Unternehmen arbeiten, sollten Sie genau prüfen, ob Sie darunter fallen.

Sonderregeln

Manche Einrichtungen sind unabhängig von ihrer Größe betroffen: Vertrauensdiensteanbieter, DNS-Anbieter, TLD-Registrierungsstellen und Betreiber öffentlicher Kommunikationsnetze. Bei diesen gibt es keine Mindestgröße.

Was müssen betroffene Unternehmen tun?

Die Pflichten lassen sich in drei große Blöcke aufteilen: Registrierung, Meldepflichten und Risikomanagement.

Registrierung beim BSI

Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Das klingt bürokratisch, ist aber eigentlich unkompliziert. Das BSI-Portal dafür wurde am 6. Januar 2026 freigeschaltet. Wenn Sie noch keinen Account haben, ist jetzt ein guter Zeitpunkt.

Meldepflichten bei Sicherheitsvorfällen

Hier wird es zeitkritisch. Bei einem erheblichen Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine Frühwarnung an das BSI schicken. Ja, 24 Stunden – das ist nicht viel Zeit, wenn gerade Ihre IT brennt.

Innerhalb von 72 Stunden folgt dann eine ausführliche Meldung mit einer ersten Bewertung des Vorfalls. Und spätestens einen Monat nach dem Vorfall müssen Sie einen Abschlussbericht einreichen.

Das bedeutet: Sie brauchen Prozesse, die funktionieren, wenn alles andere nicht mehr funktioniert. Ein Incident-Response-Plan, der in der Schublade verstaubt, hilft Ihnen in diesem Moment nicht.

Risikomanagement: Der Kern der Sache

Artikel 21 der Richtlinie listet zehn Bereiche auf, die Ihr Risikomanagement abdecken muss. Ich spare mir die juristische Formulierung und sage Ihnen, was das praktisch heißt:

Sie brauchen ein dokumentiertes Konzept für Risikoanalyse und Informationssicherheit. Nicht irgendein Konzept, das mal jemand geschrieben hat, sondern eines, das lebt und regelmäßig überprüft wird.

Sie müssen Sicherheitsvorfälle bewältigen können. Das bedeutet: Erkennung, Analyse, Eindämmung, Wiederherstellung. Und zwar nicht improvisiert, sondern nach Plan.

Business Continuity muss gewährleistet sein. Was passiert, wenn Ihre Kernssysteme ausfallen? Haben Sie Backups? Funktionieren die auch? Wann haben Sie das zuletzt getestet?

Die Lieferkette muss berücksichtigt werden. Ihre Sicherheit ist nur so gut wie das schwächste Glied. Wenn Ihr Softwareanbieter kompromittiert wird, haben Sie ein Problem.

Bei der Beschaffung, Entwicklung und Wartung von Systemen muss Sicherheit mitgedacht werden – und zwar von Anfang an, nicht als Nachgedanke.

Sie müssen die Wirksamkeit Ihrer Maßnahmen bewerten. “Wir haben eine Firewall” reicht nicht. “Wir haben eine Firewall, und wir wissen, dass sie funktioniert, weil wir sie regelmäßig testen” – das ist besser.

Cyberhygiene und Schulungen für alle Mitarbeitenden sind Pflicht. Ja, auch für die Geschäftsführung. Dazu gleich mehr.

Kryptographie muss da eingesetzt werden, wo es sinnvoll ist. Und Zugriffskontrollen müssen existieren und funktionieren.

Multi-Faktor-Authentifizierung oder ähnlich starke Authentifizierungsmethoden sind nicht optional.

Die Umsetzung in Deutschland

Die EU-Frist für die nationale Umsetzung war der 17. Oktober 2024. Deutschland hat sie verpasst – die vorgezogene Bundestagswahl kam dazwischen. Am 13. November 2025 beschloss der Bundestag schließlich das NIS-2-Umsetzungsgesetz, am 21. November stimmte der Bundesrat zu.

Am 5. Dezember 2025 wurde das Gesetz im Bundesgesetzblatt veröffentlicht, und – hier kommt der wichtige Teil – am 6. Dezember 2025 trat es in Kraft. Ohne Übergangsfrist.

Das bedeutet: Wer betroffen ist, muss jetzt compliant sein. Nicht in sechs Monaten, nicht nächstes Jahr. Jetzt.

Sanktionen: Was passiert bei Verstößen?

Die Bußgelder sind empfindlich. Für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

Aber das ist nicht alles. Die persönliche Haftung der Geschäftsleitung ist vielleicht der größere Hebel. Geschäftsführer und Vorstände müssen die Sicherheitsmaßnahmen genehmigen, ihre Umsetzung überwachen und selbst an Schulungen teilnehmen. Bei Pflichtverletzungen können sie mit ihrem Privatvermögen haften.

Das ist keine theoretische Drohung. Es ist ein fundamentaler Wandel: Cybersicherheit wird zur Chefsache, ob man will oder nicht.

Wie verhält sich NIS-2 zu anderen Regelwerken?

NIS-2 und DSGVO haben unterschiedliche Schwerpunkte. Die DSGVO schützt personenbezogene Daten, NIS-2 schützt Netz- und Informationssysteme. Beide können parallel gelten, und bei einem Vorfall, der personenbezogene Daten betrifft, müssen Sie unter Umständen nach beiden Regelwerken melden.

Die bisherige KRITIS-Verordnung wird durch das neue Gesetz weitgehend abgelöst. Der Unterschied: NIS-2 erfasst viel mehr Unternehmen.

Bestehende Sicherheitsmaßnahmen können bei der Erfüllung der Anforderungen helfen. Wenn Sie bereits strukturierte IT-Sicherheit betreiben, haben Sie eine Basis. Aber NIS-2 hat spezifische Anforderungen wie Meldefristen und BSI-Registrierung, die Sie zusätzlich umsetzen müssen.

Was sollten Sie jetzt tun?

Wenn Sie noch nicht geprüft haben, ob Ihr Unternehmen betroffen ist: Das ist der erste Schritt. Prüfen Sie Ihren Sektor, Ihre Größe, und vergessen Sie nicht die Konzernbetrachtung – verbundene Unternehmen werden zusammengerechnet.

Wenn Sie betroffen sind: Machen Sie eine Gap-Analyse. Wo stehen Sie heute? Wo müssen Sie hin? Was fehlt?

Dann priorisieren Sie. Sie werden nicht alles auf einmal machen können. Fangen Sie mit den größten Risiken an und arbeiten Sie sich vor.

Bereiten Sie die BSI-Registrierung vor. Legen Sie einen Account bei “Mein Unternehmenskonto” an, falls noch nicht geschehen.

Und sorgen Sie dafür, dass Ihre Geschäftsleitung im Bild ist. Die persönliche Haftung ist ein starkes Argument für Ressourcen und Aufmerksamkeit.

Fazit

NIS-2 ist kein bürokratisches Monster, das sich jemand in Brüssel ausgedacht hat, um Unternehmen zu ärgern. Es ist eine Reaktion auf eine reale Bedrohungslage. Cyberangriffe werden häufiger, professioneller und teurer. Die Richtlinie zwingt Unternehmen, das ernst zu nehmen.

Ja, die Umsetzung kostet Geld und Aufwand. Aber ein erfolgreicher Ransomware-Angriff kostet mehr. Deutlich mehr.

Das Gesetz ist seit dem 6. Dezember 2025 in Kraft. Die Zeit zu handeln ist nicht morgen. Sie ist jetzt.