Die NIS-2 Richtlinie – wer ist betroffen?
Parallel zur angespannten weltpolitischen Lage hat sich in den letzten Jahren auch das Risiko von Attacken auf die Cybersicherheit kritischer Infrastruktur verstärkt. Mit NIS-2 hat die EU eine Grundlage geschaffen, um diese Risiken zu minimieren. Betroffen sind nicht nur Institutionen, sondern auch viele Unternehmen. Wenn du herausfinden möchtest, ob dein Unternehmen von NIS-2 betroffen ist und was du tun musst, um NIS-2 umzusetzen, dann ist dieser Beitrag für dich.
Was ist NIS-2?
Die Abkürzung NIS-2 steht für „Network and Information Security Directive 2“. Offiziell handelt es sich um die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union.
Sie soll Cybersecurity und Informationssicherheit für Institutionen und Unternehmen EU-weit vereinheitlichen und verbessern. Die Richtlinie erweitert damit die ursprüngliche NIS-Richtlinie erheblich und reagiert auf die zunehmende Bedrohungslage durch Cyberangriffe, Lieferkettenrisiken und systemische IT-Ausfälle. Die NIS-2-Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten waren verpflichtet, sie bis Herbst 2024 in nationales Recht umzusetzen. In vielen Mitgliedstaaten kam es jedoch zu Verzögerungen.
In Deutschland wurde bereits Mitte 2023 ein entsprechender Gesetzesentwurf vorgelegt, bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG). Aufgrund politischer und gesetzgeberischer Verzögerungen konnte die ursprüngliche Umsetzungsfrist nicht eingehalten werden.
Der Bundestag verabschiedete das Gesetz schließlich am 13. November 2025. Das Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und trat am 6. Dezember 2025 in Kraft.
Ist mein Unternehmen von NIS-2 betroffen?
Durch die Anpassung der Schwellenwerte im Zuge von NIS-2 im Vergleich zu NIS-1 sind zukünftig deutlich mehr Unternehmen betroffen. In Deutschland handelt es sich um schätzungsweise bis zu 30.000 Unternehmen, darunter neu auch Online-Marktplätze, Lebensmittelversorger und InsurTech-Startups. Viele Unternehmen, die sich bisher noch nicht intensiv mit Informationssicherheit und einem Informationssicherheits-Managementsystem (ISMS) auseinandergesetzt haben, müssen dies nun tun.
Betroffen von NIS-2 sind vier Gruppen von Organisationen:
- Besonders wichtige Einrichtungen / Großunternehmen
- Wichtige Einrichtungen / mittlere Unternehmen
- Betreiber kritischer Anlagen (KRITIS)
- Einrichtungen der Bundesverwaltung
Folgende Tabelle zeigt die neuen Schwellenwerte für Deutschland nach dem NIS-2UmsuCG
| Unternehmensgröße | Mitarbeitendenzahl | Umsatz | Bilanzsumme |
| Mittel | 50 bis 249 | ≤ 50 Mio. € | oder ≤ 43 Mio. € |
| Groß | ≥ 250 | > 50 Mio. € | und > 43 Mio. € |
Erläuterung der Tabelle:
Die Einstufung erfolgt gemäß der EU-KMU-Definition. Maßgeblich ist entweder die Mitarbeitendenzahl oder – wenn diese Schwelle nicht erreicht wird – die Einstufung anhand der finanziellen Kriterien. Für mittlere Unternehmen ist dabei entweder der Umsatz oder die Bilanzsumme ausschlaggebend. Als Großunternehmen gilt ein Unternehmen, wenn es mindestens 250 Mitarbeitende beschäftigt oder – bei geringerer Mitarbeitendenzahl – sowohl die Umsatz- als auch die Bilanzsummenschwelle überschreitet.
Mit NIS-2 sind mehr Branchen betroffen als noch unter NIS-1. NIS-2 unterscheidet zwischen Sektoren mit hoher Kritikalität (Anlage 1) und sonstigen kritischen Sektoren (Anlage 2).
| Sektoren mit hoher Kritikalität (Anlage I – NIS-2) | Sonstige kritische Sektoren (Anlage II – NIS-2) |
| Energie | Post- und Kurierdienstleistungen |
| Verkehr | Abfallbewirtschaftung |
| Banken | Chemische Industrie |
| Finanzmarktinfrastrukturen | Lebensmittelindustrie |
| Gesundheitswesen | Verarbeitendes Gewerbe |
| Trinkwasserversorgung | Hersteller kritischer Produkte |
| Abwasserentsorgung | Anbieter digitaler Services |
| Digitale Infrastrukturen | Forschung |
| IKT-Dienstleister (B2B) | |
| Öffentliche Verwaltung | |
| Weltraum |
Als Ergänzung dazu hat das BSI ein Online-Tool bereitgestellt, das Unternehmen dabei hilft zu überprüfen, ob sie von NIS-2 betroffen sind.
NIS-2 entlang der Lieferkette
Von NIS-2 betroffene Unternehmen müssen auch sicherstellen, dass ihre Lieferkette keine Angriffspunkte bietet und entsprechende Maßnahmen zur Risikosenkung ergreifen. Das betrifft weit mehr Unternehmen als nur die klassischen KRITIS-Einrichtungen.
Diese Maßnahmen sollen geeignet und verhältnismäßig sein und können technischer, betrieblicher oder organisatorischer Natur sein. Artikel 22 der Richtlinie schreibt die Durchführung einer koordinierten Risikobewertung für kritische Lieferketten vor.
Die zentrale Verwaltungsstelle der Cybersecurity entlang der Lieferkette ist das Informationssicherheits-Managementsystem (ISMS).
NIS-2: Die Ausnahmen
Es gibt, wie bei fast jeder Regulierung, auch Ausnahmen bei der Einstufung nach NIS-2 – unabhängig von Unternehmensgröße oder Umsatz.
Ein Unternehmen kann auch betroffen sein, wenn es weniger als 50 Mitarbeitende hat oder unterhalb der Umsatzgrenze liegt, aber dennoch kritische Tätigkeiten ausübt oder Auswirkungen auf die öffentliche Ordnung hat.
Auf der anderen Seite gilt NIS-2 nicht für Einrichtungen in den Bereichen Verteidigung, nationale Sicherheit und Strafverfolgung. Auch Justiz, Parlamente und Zentralbanken sind ausgenommen.
Ab wann gilt NIS-2
Das NIS-2-Umsetzungsgesetz ist in Deutschland seit dem 6. Dezember 2025 in Kraft.
10 Tipps zur Umsetzung von NIS-2
Dein Unternehmen ist von NIS-2 betroffen? Hier sind 10 Tipps, wie du die Vorgaben effizient und strukturiert umsetzen kannst:
Tipp 1: Verantwortlichkeiten bestimmen
Es sollte unbedingt eine verantwortliche Person oder ein Team geben, das sich mit Themen rund um Informationssicherheit befasst, z.B. ein Informationssicherheitsbeauftragter. Stelle sicher, dass auch die Geschäftsleitung in die Sicherheitsstrategie eingebunden wird. Bei einem Verstoß gegen NIS-2 können Geschäftsführer auch persönlich haftbar gemacht werden.
Tipp 2: ISMS implementieren oder optimieren
Die Grundlage für ein erfolgreiches Management der Informationssicherheit ist das Informationssicherheits-Managementsystem (ISMS). Falls du bisher noch kein ISMS eingerichtet hast, solltest du dies zeitnah nachholen. Falls dein Unternehmen bereits über ein ISMS verfügt, sollte es regelmäßig optimiert werden.
Tipp 3: Risikomanagement implementieren
Betroffene Unternehmen müssen im Rahmen einer umfassenden Risikoanalyse sämtliche Unternehmensrisiken systematisch erfassen. Dazu gehören interne Schwachstellen, wie veraltete Systeme oder fehlende Sicherheitsprozesse, sowie externe Risiken wie Cyberangriffe, menschliches Versagen oder Datenschutzverletzungen.
Tipp 4: Mitarbeiterschulungen anbieten
Laut NIS-2 müssen Mitarbeitende in “Cybersecurity Hygiene” geschult werden. In diesen Schulungen soll vermittelt werden, welche Cybersecurity Bedrohungen existieren und wie mit diesen Risiken umzugehen ist. Dazu gehören der Umgang mit sensiblen Daten, die Nutzung der internen IT-Systeme und Sicherheits-Policies, Passwortmanagement und auch das Erkennen von und der Umgang mit Phishing-Mails.
Tipp 5: Kontaktstellen einrichten
Unternehmen sind verpflichtet, eine offizielle Kontaktstelle für Sicherheitsvorfälle einzurichten. Diese muss dem BSI gemeldet werden, jederzeit erreichbar sein und als zentrale Anlaufstelle für IT-Störungen dienen.
Tipp 6: Incident Response Plan
Erarbeite einen detaillierten Notfallplan, um auf Sicherheitsvorfälle strukturiert reagieren zu können. Definiere Zuständigkeiten, Meldewege und Eskalationsprozesse. Lege fest, wer im Unternehmen für welche Maßnahmen verantwortlich ist.
Tipp 7: Meldepflicht einhalten
Cyberangriffe und Störungen, die Geschäftsprozesse oder IT-Systeme betreffen, müssen zeitnah an das BSI gemeldet werden. Der Meldeprozess umfasst drei Stufen:
- Erste Meldung innerhalb von 24 Stunden
- Bestätigung innerhalb von 72 Stunden
- Abschlussbericht spätestens einen Monat nach der Bestätigung
Tipp 8: Business Continuity Management (BCM) etablieren
Auch das Thema Betriebskontinuität (Business Continuity Management, BCM) spielt eine große Rolle. NIS-2 verpflichtet Unternehmen dazu, Maßnahmen zu ergreifen, damit der Geschäftsbetrieb auch im Krisenfall sichergestellt werden kann. Orientierung bieten BCM-Standards und der BSI-Standard 200-4.
Tipp 9: Schwachstellen Scans
Die Sicherheitsmaßnahmen und Notfallpläne sollten regelmäßig überprüft und durch Penetrationstests und Schwachstellenanalysen validiert werden. Dadurch können potenzielle Risiken frühzeitig erkannt und behoben werden.
Tipp 10: Regelmäßige Dokumentation
Alle Sicherheitsmaßnahmen und Vorfälle sollten detailliert dokumentiert werden. Zudem müssen regelmäßige Sicherheitsberichte für die Geschäftsleitung erstellt werden. Eine umfassende Dokumentation hilft nicht nur bei der Einhaltung von NIS-2, sondern auch bei zukünftigen Sicherheitsprüfungen.
Benötigst du Beratung zu NIS-2? Wir helfen dir gern weiter!