Die NIS-2 Richtlinie –alles, was du wissen musst
Was ist NIS-2?
Wer sich mit dem Thema Cybersicherheit auseinandergesetzt hat, wird an der neuen NIS-2-Richtlinie schon vorbeigekommen sein. Sie gilt als bedeutende EU-Regulierung und setzt viele Unternehmen jetzt unter Zugzwang.
Der Hintergrund ist ernst: Seit Jahren steigt die Zahl der Cyberattacken kontinuierlich, das Risiko von Cyberattacken auf kritische Infrastruktur verschärft sich und das Schadenausmaß wird immer größer. Die EU hat mit der NIS-2 die Grundlage dafür geschaffen, derartige Risiken zu beschränken.
Die Abkürzung NIS-2 steht für “Network and Information Security Directive 2” und soll Cybersecurity und Informationssicherheit für Institutionen und Unternehmen regeln. In Deutschland ist das NIS-2-Umsetzungs- und Cybersicherheitstärkungsgesetz (NIS-2UmsuCG) seit 6. Dezember 2025 in Kraft.
Was ist mit der Richtlinie NIS-1 passiert?
Tatsächlich ersetzt die NIS-2-Richtlinie die ältere NIS-1 aus dem Jahr 2016. NIS-2 stellt höhere Anforderungen an die betreffenden Institutionen und Unternehmen. Dazu gehören unter anderem erweiterte Meldepflichten, stärkere Sanktionen und einheitliche Strafen und auch der Anwenderkreis hat sich erheblich verbreitert.
Welche Anforderungen stellt NIS-2 an Unternehmen?
NIS-2 bringt Handlungsbedarf für viele Unternehmen und Organisationen. Die wichtigsten Punkte haben wir hier zusammengefasst.
Einordnung Stufen KRITIS:
Unternehmen müssen sich selbst in Stufen und Sektoren einordnen. Betreiber kritischer Infrastruktur “KRITIS” und “besonders wichtiger Einrichtungen” unterliegen verschiedener Vorschriften, auch abhängig von Einrichtungsart und Unternehmensgröße. Alle eingestuften Unternehmen müssen sich auf einer Plattform registrieren, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt wird. Diese Tabelle bietet einen Überblick und zeigt verschiedene Stufen der Einordnung:
| Anlage | Kriterium |
| Betreiber Kritischer Infrastrukturen (KRITIS) | Betreiber kritischer Anlagen, deren Ausfall erhebliche Versorgungsengpässe oder Gefahren für die öffentliche Sicherheit verursachen würde |
| Besonders wichtige Einrichtungen | Große Unternehmen aus Sektoren mit hoher Kritikalität (z. B. Energie, Gesundheit, ITK) sowie bestimmte besonders kritische Anbieter |
| Wichtige Einrichtungen | Mittlere Unternehmen aus Sektoren mit hoher Kritikalität sowie mittlere und große Unternehmen aus sonstigen kritischen Sektoren |
| KRITIS und NIS-2 | Organisationen, die sowohl KRITIS-Schwellen überschreiten als auch unter NIS-2 fallen |
Risikomanagement:
Risikomanagement ist der zentrale Baustein eines jeden Informationssicherheitsmanagementsystems, kurz ISMS, und somit auch der neuen NIS-2 Richtlinie. Verpflichtete Institutionen und Unternehmen müssen im Rahmen einer umfassenden Risikoanalyse sämtliche Unternehmensrisiken systematisch analysieren, um Schwachstellen zu erkennen und auszuschalten. Interne Schwachstellen, wie etwa veraltete Systeme und Technik und fehlende oder schwache Prozesse, sollen ebenso auf dem Prüfstand stehen wie äußere Risiken wie Cyberangriffe, menschliches Versagen oder Datenschutzverletzungen.
Informationssicherheit:
Informationssicherheit entlang der Lieferkette spielt ebenfalls eine wichtige Rolle. Betroffene Institutionen und Unternehmen müssen also sicherstellen, dass Partner:innen, dienstleistende und zuliefernde Unternehmen Standards in der Informationssicherheit erfüllen. Ein gutes Beispiel für eine mögliche Umsetzung liefert die Automobilbranche mit TISAX®. TISAX ist ein Prüf- und Austauschmechanismus, welcher als Branchenstandard gilt. Geregelt werden der Schutz von sensiblen Daten und Informationen, als auch von Prototypen. Aber auch für andere Branchen gilt: Mit einem standardisierten ISMS können Risiken minimiert und die Sicherheit von Informationen gewährleistet werden.
Meldepflicht:
Erhebliche Störungen müssen an das BSI gemeldet werden, diese Störungen können Prozesse, Komponenten oder ganze IT-Systeme betreffen. Dabei gilt Schnelligkeit vor Gründlichkeit. Der neue Meldeprozess hat drei Stufen: Nach Kenntnis eines Störfalls, muss dieser innerhalb von 24 Stunden gemeldet werden, nach 72 Stunden muss eine Bestätigung erfolgen und eine Abschlussmeldung innerhalb eines Monats nach der Bestätigung. Zwischenmeldungen zwischen Stufe zwei und drei sind optional.
Kontaktstellen:
Für Notfälle und die Kontaktaufnahme durch das BSI, müssen verpflichtete Unternehmen eine Kontaktstelle einrichten und betreiben. Sie muss dem BSI bekannt sein, jederzeit erreichbar und ist auch der Kontaktpunkt für Störfälle.
Verschlüsselung und Zugangskontrolle:
Sensible Informationen und Daten müssen durch geeignete Maßnahmen wie Verschlüsselung, Zugriffskontrollen o.ä. geschützt werden. Einer der Grundsätze der Informationssicherheit ist Vertraulichkeit. Betroffene Unternehmen müssen Sorge tragen, dass personenbezogene Daten oder andere sensible Informationen nur berechtigten Personen zur Verfügung stehen. Die Umsetzung ist mit dem richtigen Passwortmanagement und Multi-Faktor-Authentifizierung oder Single-Sign-On möglich.
Cybersecurity Schulungen:
Laut NIS-2 müssen Mitarbeitende in “Cybersecurity Hygiene” geschult werden. In diesen Schulungen soll vermittelt werden, welche Cybersecurity Bedrohungen existieren und wie mit diesen Risiken umzugehen ist. Dazu gehören der Umgang mit sensiblen Daten, die Nutzung der internen IT-Systeme und Sicherheits-Policies, Passwortmanagement und auch das Erkennen von und der Umgang mit Phishing-Mails.
Business Continuity Management:
Verpflichtete Unternehmen und Institutionen müssen Maßnahmen im Bereich Business Continuity Management (BCM) ergreifen. So wird sichergestellt, dass Betriebskontinuität gewährleistet wird und Prozesse und der Betrieb allgemein in Krisensituationen sichergestellt werden können. Betroffene können sich an Standards zu BCM, wie dem BSI-Standard 200-4, orientieren.
Verschärfung von Sanktionen
Die NIS-2-Richtlinie bringt nicht nur mehr Anforderungen, sondern auch verschärfte Sanktionen und Strafen für verpflichtete Unternehmen und Institutionen. Als Vorlage dient die Datenschutz-Grundverordnung DSGVO.
Allen voran: Um die Verbindlichkeit zu erhöhen, kann die Führungsebene der jeweiligen Organisationen und Unternehmen persönlich haftbar gemacht werden, wenn die Maßnahmen nicht umgesetzt werden. Für KRITIS Betreiber und besonders wichtige Einrichtungen sind Bußgelder bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vorgesehen, abhängig davon, welche Zahl höher ist. Für wichtige Einrichtungen liegt das Bußgeld im Bereich bis zu 7 Millionen Euro oder bis zu 1,4 Prozent des Jahresumsatzes, auch hier abhängig davon, welcher Betrag höher ist.
Ist mein Unternehmen von NIS-2 betroffen?
Durch die Ausweitung der Schwellenwerte im Zuge von NIS-2 im Gegensatz zu NIS-1 sind zukünftig deutlich mehr Unternehmen betroffen. In Deutschland handelt es sich um schätzungsweise bis zu 30.000 Unternehmen, darunter neu auch etwa Onlinemarktplätze, Lebensmittelversorger oder Insurance-Startups. Unternehmen in Branchen, die sich unter Umständen bisher noch nicht im Detail mit Informationssicherheit und einem Informationssicherheitsmanagementsystem (ISMS) auseinandergesetzt haben.
Hier geht’s zu unserem ausführlichen Glossarbeitrag „Die NIS-2 Richtlinie – wer ist betroffen?“
Folgende Tabelle zeigt die neuen Schwellenwerte für Deutschland nach dem NIS-2UmsuCG
| Unternehmensgröße | Mitarbeitendenzahl | Umsatz | Bilanzsumme |
| Mittel | 50 bis 249 | ≤ 50 Mio. € | oder ≤ 43 Mio. € |
| Groß | ≥ 250 | > 50 Mio. € | und > 43 Mio. € |
Erläuterung der Tabelle:
Die Einstufung erfolgt gemäß der EU-KMU-Definition. Maßgeblich ist entweder die Mitarbeitendenzahl oder – wenn diese Schwelle nicht erreicht wird – die Einstufung anhand der finanziellen Kriterien. Für mittlere Unternehmen ist dabei entweder der Umsatz oder die Bilanzsumme ausschlaggebend. Als Großunternehmen gilt ein Unternehmen, wenn es mindestens 250 Mitarbeitende beschäftigt oder – bei geringerer Mitarbeitendenzahl – sowohl die Umsatz- als auch die Bilanzsummenschwelle überschreitet.
Dazu sind inzwischen 18 Branchen betroffen:
| Sektoren mit hoher Kritikalität (Anlage I – NIS-2) | Sonstige kritische Sektoren (Anlage II – NIS-2) |
| Energie | Post- und Kurierdienstleistungen |
| Verkehr | Abfallbewirtschaftung |
| Banken | Chemische Industrie |
| Finanzmarktinfrastrukturen | Lebensmittelindustrie |
| Gesundheitswesen | Verarbeitendes Gewerbe |
| Trinkwasserversorgung | Hersteller kritischer Produkte |
| Abwasserentsorgung | Anbieter digitaler Services |
| Digitale Infrastrukturen | Forschung |
| IKT-Dienstleister (B2B) | |
| Öffentliche Verwaltung | |
| Weltraum |
Du fragst dich, ob dein Unternehmen betroffen ist? In dieser Podcastfolge klären wir, für wen NIS-2 relevant wird – und was jetzt zu tun ist:
NIS-2-Richtlinie und ISO 27001 - die Parallelen
Es gibt bereits Zertifizierungen im Bereich Informationssicherheit. Zum einen die international anerkannte Norm für Informationssicherheit:
Die ISO 27001 ist ein etablierter Standard, der häufig zur Erfüllung der KRITIS-Anforderungen herangezogen wird. Zum anderen TISAX, seit 2018 die Eintrittskarte in eine Zusammenarbeit mit der Automobilindustrie. Sowohl TISAX als auch die ISO 27001 stellen Anforderungen an Einrichtung und Betrieb von Informationssicherheitsmanagementsystemen und die Beurteilung von Sicherheitsrisiken.
Wer also bereits eine ISO 27001 Zertifizierung oder TISAX hat, ist sehr gut auf die Anforderungen der NIS-2-Richtlinie vorbereitet. Die ISO 27001 ermöglicht es, den Scope nur auf einzelne Bereiche einer Organisation anzuwenden. Je nach Scope der ISO 27001 oder TISAX Label kann es daher noch zusätzliche Anforderungen durch NIS-2 geben.
Viele Verantwortliche werden sich diese Frage stellen: Wo liegen denn die Unterschiede zwischen ISO 27001 und NIS-2? ISO 27001 ist eine Zertifizierung, die NIS-2 eine gesetzliche Regulierung. Die Grundaussage ist die gleiche: Jedes Unternehmen sollte ein ISMS aufsetzen. Der Vorteile einer Zertifizierung ist, dass das Sicherheitsniveau von einer akkreditierten Stelle bestätigt wird.