Was ist NIS2? Die EU-NIS2-Richtlinie einfach erklärt

Was 2016 mit der ersten NIS-Richtlinie begann, erreicht nun ein neues Niveau: Die NIS2-Richtlinie ist die Antwort der EU auf eine Welt, in der digitale Systeme zum Rückgrat unserer Gesellschaft geworden sind. Weil die Abhängigkeit von IT-Strukturen in Wirtschaft und Verwaltung stetig wächst, verschärft die EU mit dieser neuen Vorgabe die Standards für Cyber- und Informationssicherheit deutlich und nimmt damit weit mehr Unternehmen in die Pflicht als je zuvor.

Die Richtlinie ist auf europäischer Ebene bereits verabschiedet und wird derzeit von den Mitgliedstaaten in nationales Recht umgesetzt. Am 06.12.2025 wurde das Umsetzungsgesetz in Deutschland verabschiedet.

Im Vergleich zur ersten NIS-Richtlinie ist NIS2 wesentlich umfassender. Sie erweitert den Kreis der betroffenen Unternehmen, präzisiert Pflichten und verankert Informationssicherheit stärker als Führungs- und Managementaufgabe. Ziel ist ein europaweit vergleichbares Mindestniveau für den Schutz von Netz- und Informationssystemen.

Dieser Beitrag erklärt, was NIS2 ist, warum sie eingeführt wurde und weshalb sie für viele Unternehmen relevant ist. Er dient dem grundlegenden Verständnis und ersetzt keine individuelle Prüfung der eigenen Betroffenheit.

Die NIS2-Richtlinie ist eine EU-Richtlinie zur sogenannten Network and Information Security. Sie legt fest, welche grundlegenden gesetzlichen Anforderungen Organisationen erfüllen müssen. Diese Anforderungen sind stark von eingesetzten IT-Systemen, digitaler Infrastruktur oder digitalen Diensten der Organisation abhängig.

Als Richtlinie gilt NIS2 nicht unmittelbar. Sie wird von den Mitgliedstaaten in nationales Recht umgesetzt. In Deutschland erfolgt dies über ein eigenes Umsetzungsgesetz, das bestehende Regelungen erweitert und ersetzt. Inhaltlich orientiert sich das nationale Recht jedoch eng an der EU-NIS2-Richtlinie.

Unternehmen sollten sich daher bereits jetzt mit den Anforderungen der NIS2-Richtlinie befassen und ihre mögliche Betroffenheit einordnen.

Ein kritischer Punkt bei der Umsetzung ist die Eigenverantwortung: Die zuständigen Behörden gehen nicht aktiv auf Unternehmen zu, um sie über ihre Betroffenheit zu informieren. Es herrscht eine klare Holschuld. Jedes Unternehmen muss selbst prüfen, ob es unter die NIS2-Richtlinie fällt – und sich bei Betroffenheit eigenständig registrieren. In Deutschland ist hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Anlaufstelle.

Doch Vorsicht: Dass die Behörde nicht anklopft, um an die Registrierung zu erinnern, bedeutet nicht, dass sie passiv bleibt. Im Rahmen ihrer Aufsichtsfunktion haben Behörden wie das BSI weitreichende Befugnisse. Sie können jederzeit Prüfungen durchführen, Auskünfte verlangen oder Nachweise über die umgesetzten Sicherheitsmaßnahmen einfordern. Wer also untätig bleibt, riskiert nicht nur Sicherheitslücken, sondern auch empfindliche Sanktionen bei der ersten behördlichen Kontrolle. Diese Selbstidentifikation ist ein zentrales Element von NIS2. Sie verdeutlicht den Ansatz der Richtlinie: Verantwortung beginnt beim Unternehmen selbst.

Die Einführung von NIS2 ist eine Reaktion auf die zunehmende Digitalisierung und Vernetzung von Wirtschaft und Gesellschaft. Produktionsanlagen, Verwaltungen, Lieferketten und digitale Dienste sind heute eng miteinander verbunden. Ein Ausfall wirkt sich oft weit über einzelne Organisationen hinaus aus.

Cyberangriffe, Systemausfälle und Sicherheitsvorfälle betreffen längst nicht mehr nur klassische Betreiber kritischer Infrastrukturen. Auch Industrieunternehmen, Dienstleister und die öffentliche Verwaltung geraten zunehmend in den Fokus.

Zugleich unterschieden sich die bisherigen nationalen Regelungen innerhalb der EU stark. Die EU NIS2-Richtlinie soll einheitlichere Rahmenbedingungen schaffen und ein vergleichbares Sicherheitsniveau etablieren. Ziel ist nicht maximale Sicherheit, sondern ein strukturierter und nachvollziehbarer Umgang mit Risiken.

Die Reichweite von NIS2 ist massiv: Sie betrifft heute deutlich mehr Organisationen als die ursprüngliche Richtlinie. Viele Unternehmen, die sich bislang nicht im Fokus der Regulierung sahen, müssen nun dringend handeln.

Die Betroffenheit hängt dabei von mehreren Faktoren ab. Häufig greift die Richtlinie bei Unternehmen ab einer bestimmten Größe – etwa ab 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro. Doch diese Schwellen sind nur ein Teil der Bewertung. Auch die Zugehörigkeit zu kritischen Branchen, die Rolle innerhalb von Lieferketten oder die Einstufung als Betreiber kritischer Anlagen können eine sofortige Regulierung bedeuten, unabhängig von der Mitarbeiterzahl.

Damit rückt IT-Sicherheit endgültig in das Zentrum der Unternehmensführung. NIS2 macht deutlich, dass digitale Risiken kein reines Technikproblem mehr sind, sondern ein geschäftskritisches Risiko. Ein Vorfall betrifft unmittelbar die Produktion, die Reputation und die gesamte Geschäftskontinuität – und wird damit zur Chefsache.

Die NIS2-Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Beide Gruppen unterliegen den Vorgaben der Richtlinie, jedoch mit unterschiedlicher Intensität der Aufsicht- und Durchsetzungsregelungen.

Betroffen sind unter anderem Organisationen aus Bereichen wie Energie, Verkehr, Gesundheitswesen, Industrie, digitale Infrastruktur und öffentliche Verwaltung. Auch Anbieter eines digitalen Dienstes können unter NIS2 fallen.

Neben der Branche spielen Größe, Umsatz und die Rolle innerhalb der Wertschöpfungskette eine entscheidende Rolle. Unternehmen können zudem indirekt betroffen sein, etwa als IT-Dienstleister für regulierte Organisationen.

Schätzungen gehen davon aus, dass in Deutschland mehrere zehntausend Einrichtungen unter den Anwendungsbereich von NIS2 fallen könnten. Ob ein Unternehmen tatsächlich betroffen ist, muss individuell geprüft werden.

Eine vertiefte Einordnung bietet der Beitrag „NIS2 – Wer ist betroffen?“.

Die NIS2-Richtlinie nimmt Unternehmen in die Pflicht. Sie fordert ein strukturiertes Risikomanagement, das technische, organisatorische und personelle Maßnahmen kombiniert. Besonders anspruchsvoll sind jedoch die gestaffelten Meldepflichten.

Sobald eine wesentliche oder wichtige Einrichtung einen erheblichen Sicherheitsvorfall feststellt, tickt die Uhr in drei Stufen:

• Binnen 24 Stunden (Frühwarnung): Eine erste Meldung muss unverzüglich erfolgen, um die Behörden über den Vorfall in Kenntnis zu setzen.
• Binnen 72 Stunden (Aktualisierung): Die erste Meldung muss präzisiert werden. Hier werden bereits erste Einschätzungen zur Schwere des Vorfalls sowie zu den Auswirkungen erwartet.
• Binnen 1 Monat (Abschlussbericht): Nach der Bewältigung folgt die detaillierte Aufarbeitung. Das Unternehmen muss darlegen, wie es zum Vorfall kam, welche Folgen er hatte und welche Abhilfemaßnahmen ergriffen wurden.

Ziel dieses engen Zeitplans ist es, die Ausbreitung von Bedrohungen frühzeitig zu stoppen und eine lückenlose Dokumentation für die europäische Cybersicherheit zu gewährleisten.

Darüber hinaus fordert NIS2 klare Verantwortlichkeiten, dokumentierte Entscheidungen und vorbereitete Abläufe. Auch Themen wie Business Continuity Management spielen eine wichtige Rolle.

Verstöße gegen die gesetzlichen Anforderungen können sanktioniert werden. Die Richtlinie sieht ausdrücklich hohe Geldstrafen vor, wenn Pflichten nicht eingehalten werden.

NIS2 ist kein reines IT-Projekt. Die Richtlinie adressiert ausdrücklich die Unternehmensleitung. Geschäftsführung und Vorstand tragen Verantwortung für die Einhaltung der Vorgaben.

Die IT-Leitung bleibt fachlich zentral, doch strategische Entscheidungen müssen auf Managementebene getroffen und getragen werden. NIS2 verankert Informationssicherheit als festen Bestandteil der Unternehmensführung.

NIS2 verlangt keinen Aktionismus. Der erste Schritt ist Einordnung. Unternehmen müssen klären, ob sie betroffen sind und welche Rolle sie im digitalen Gefüge einnehmen.

Darauf aufbauend lassen sich weitere Schritte planen, etwa eine strukturierte Bestandsaufnahme oder eine Vorbereitung mithilfe einer NIS2-Checkliste. Bei Bedarf kann eine NIS2-Beratung unterstützen, insbesondere wenn interne Ressourcen oder Erfahrung fehlen.

NIS2 ist kein Selbstzweck. Die Richtlinie soll helfen, digitale Risiken realistisch zu steuern und den Geschäftsbetrieb langfristig abzusichern.