Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Regulatorik · NIS-2-Richtlinie

NIS-2-Richtlinie:
Alles, was Unternehmen
wissen müssen.

Die NIS-2-Richtlinie (EU 2022/2555) ist das umfassendste Cybersicherheitsgesetz, das Europa je verabschiedet hat. Über 30.000 Unternehmen in Deutschland sind betroffen - viele wissen es noch nicht. Dieser Leitfaden erklärt die Pflichten, die Haftungsrisiken und den Weg zur Compliance.

NIS-2 Readiness Check vereinbaren Kostenlosen NIS-2 Check starten
Zuletzt aktualisiert: 05.03.2026 Von zertifizierten Experten geprüft Rechtlich referenziert
Betroffene Unternehmen in DE
EU-Richtlinie in Kraft
Okt. 2024
Maximales Bußgeld
Meldefrist bei Vorfällen

Grundlagen

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (EU 2022/2555) ist die überarbeitete Netz- und Informationssicherheitsrichtlinie der EU. Sie ersetzt die NIS-1-Richtlinie von 2016 und trat am 16. Januar 2023 in Kraft. Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

In Deutschland wird NIS-2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das gleichzeitig das BSIG umfassend reformiert und das BSI mit deutlich erweiterten Befugnissen ausstattet.

Das Ziel: Ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU - durch klare Mindestanforderungen an Risikomanagement, Meldepflichten und Governance. Erstmals werden auch die Leitungsorgane persönlich in die Haftung genommen.

NIS-2 auf einen Blick

EU-Richtlinie
EU 2022/2555 vom 14. Dezember 2022
In Kraft
16. Januar 2023
Umsetzungsfrist
17. Oktober 2024
D-Gesetz
NIS2UmsuCG (BSIG-Reform)
Zuständig
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bußgeld max.
10 Mio. EUR / 2% weltw. Umsatz

Umsetzungsdruck steigt

Das BSI verstärkt die Aufsichtstätigkeit. Betroffene Einrichtungen müssen Registrierung und Mindestmaßnahmen vorweisen können.

Anwendungsbereich

Wer ist von NIS-2 betroffen?

NIS-2 unterscheidet zwei Einrichtungsarten mit unterschiedlichen Pflichten und Bußgeldrahmen. Entscheidend sind Sektor, Unternehmensgröße und gesellschaftliche Funktion - nicht die Selbsteinstufung.

Schwellenwert Größe

50+ MA

oder 10+ Mio. EUR Jahresumsatz / Jahresbilanzsumme

Sektorzugehörigkeit

18 Sektoren

in Annex I (wesentlich) und Annex II (wichtig) der NIS-2-RL

Unabhängig von Größe

Immer betroffen

TSPs, DNS, TLD, Telko-Netze, KRITIS-Betreiber nach §28 BSIG-E

Wesentliche Einrichtungen - Annex I

Proaktive Aufsicht durch BSI · Bußgeld bis 10 Mio. EUR oder 2% Umsatz

  • Energie Strom, Gas, Fernwärme, Öl, Wasserstoff
  • Verkehr Luftfahrt, Schiene, Schifffahrt, Straße
  • Bankwesen Kreditinstitute, Finanzinfrastrukturen
  • Finanzmarktinfrastrukturen Börsen, zentrale Gegenparteien
  • Gesundheitswesen Krankenhäuser, Labore, Pharmahersteller
  • Trinkwasser Wasserversorgung und -aufbereitung
  • Abwasser Abwasserbehandlung und -entsorgung
  • Digitale Infrastruktur IXPs, DNS, TLD, Cloud, RZ, CDN, TSPs
  • ICT-Dienstleistungsmanagement Managed Service Provider, MSS
  • Öffentliche Verwaltung Bundes- und Landesbehörden
  • Weltraum Betreiber von Bodeninfrastrukturen
Wichtige Einrichtungen - Annex II

Reaktive Aufsicht durch BSI · Bußgeld bis 7 Mio. EUR oder 1,4% Umsatz

  • Post- und Kurierdienste Brief- und Paketzustellung
  • Abfallwirtschaft Entsorgung und Recycling
  • Chemie Herstellung und Vertrieb chemischer Stoffe
  • Lebensmittel Herstellung, Verarbeitung, Großhandel
  • Verarbeitendes Gewerbe Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge
  • Digitale Dienste Online-Marktplätze, Suchmaschinen, soziale Netzwerke
  • Forschung Forschungseinrichtungen, Universitäten

Lieferkette - indirekte Betroffenheit

Zulieferer und IT-Dienstleister für betroffene Einrichtungen können vertraglich zur Einhaltung von NIS-2-Anforderungen verpflichtet werden (Art. 21 Abs. 2 lit. d NIS-2-RL). Auch ohne eigene gesetzliche Pflicht entsteht faktischer Umsetzungsdruck.

Sind Sie von NIS-2 betroffen?

Unser kostenloser NIS-2 Betroffenheitsrechner prüft in 3 Schritten, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt - inklusive Compliance-Score und Handlungsempfehlungen.

Jetzt prüfen

§30 NIS2UmsuCG-E

Die 10 Pflichtmaßnahmen nach NIS-2

Art. 21 der NIS-2-Richtlinie (umgesetzt in §30 NIS2UmsuCG-E) verpflichtet betroffene Einrichtungen zu geeigneten und verhältnismäßigen technischen, operativen und organisatorischen Maßnahmen. Die zehn Mindestanforderungen sind nicht abschließend - sie bilden die Untergrenze.

01

Risikoanalyse und Sicherheitskonzepte

Systematische Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken (§30 Abs. 2 Nr. 1 NIS2UmsuCG-E). Grundlage ist ein dokumentiertes Risikomanagementsystem - entspricht ISMS nach ISO/IEC 27001.

ISMS-Beratung
02

Sicherheit beim Erwerb, Entwicklung und Betrieb von IT-Systemen

Anforderungen an Secure Software Development Life Cycle (SSDLC), Patch-Management und sichere Konfiguration von Netz- und Informationssystemen (§30 Abs. 2 Nr. 2). Einschluss von Lieferkettensicherheit bei Software-Beschaffung.

03

Bewältigung von Sicherheitsvorfällen

Etabliertes Incident-Response-Verfahren einschließlich Erkennung, Eindämmung, Behebung und Nachbereitung (§30 Abs. 2 Nr. 3). Incident-Response-Plan muss dokumentiert und regelmäßig getestet werden.

Incident Response
04

Aufrechterhaltung des Betriebs und Krisenmanagement

Business Continuity Management (BCM): Backup-Konzepte, Disaster-Recovery-Pläne, Krisenmanagement und Notfallplanung (§30 Abs. 2 Nr. 4). Regelmäßige Tests und Übungen sind Pflicht.

05

Sicherheit der Lieferkette

Überprüfung und vertragliche Verpflichtung aller direkt eingebundenen Lieferanten und Dienstleister zu angemessenen Sicherheitsstandards (§30 Abs. 2 Nr. 5). Besonders relevant für Unternehmen mit komplexen IT-Lieferketten.

06

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung

Sicherheitsanforderungen über den gesamten Lebenszyklus von IT-Systemen, einschließlich Beschaffung, Entwicklung, Betrieb und Außerbetriebnahme (§30 Abs. 2 Nr. 6). Umfasst Vulnerability Management und Penetration Testing.

Penetrationstest
07

Konzepte und Verfahren zur Bewertung der Wirksamkeit

Regelmäßige Überprüfung und Messung der Effektivität aller Sicherheitsmaßnahmen (§30 Abs. 2 Nr. 7). Interne Audits, externe Assessments und KPI-basiertes Sicherheitsmonitoring sind Kernanforderungen.

Internes Audit
08

Grundlegende Cyberhygiene und Schulungen

Mindeststandards für Cyberhygiene (Passwortrichtlinien, MFA, Updates, E-Mail-Sicherheit) sowie verpflichtende Schulungen für alle Mitarbeiter und die Leitungsebene (§30 Abs. 2 Nr. 8). Jährliche Awareness-Trainings sind Pflicht.

Security Awareness
09

Kryptografie und Verschlüsselung

Einsatz angemessener kryptografischer Verfahren und Verschlüsselung für Daten in Übertragung und Speicherung (§30 Abs. 2 Nr. 9). Orientierung an aktuellen BSI-Empfehlungen (TR-02102) und ENISA-Leitlinien.

10

Zugangs- und Zugriffsmanagement, Multi-Faktor-Authentifizierung

Identity & Access Management: Least-Privilege-Prinzip, privilegierte Zugänge, Multi-Faktor-Authentifizierung für alle kritischen Systeme, sichere Kommunikationskanäle für Sprach-, Video- und Textkommunikation (§30 Abs. 2 Nr. 10 i. V. m. Art. 21 Abs. 2 lit. j NIS-2-RL).

Hinweis: Die zehn Maßnahmen gelten für alle betroffenen Einrichtungen. Für wesentliche Einrichtungen kann das BSI darüber hinaus branchenspezifische Sicherheitsstandards anerkennten (§30 Abs. 4 NIS2UmsuCG-E), die dann Spezifika der jeweiligen Branche abdecken - vergleichbar mit dem bisherigen B3S-Konzept für KRITIS.

Praxis

Umsetzungsfahrplan: Von der Betroffenheitsprüfung zur NIS-2-Compliance

Die vollständige NIS-2-Umsetzung dauert je nach Ausgangsniveau 4 bis 12 Monate. Die folgende Phasenplanung basiert auf unserer Projekterfahrung aus über 50 NIS-2-Beratungsprojekten.

  1. 1 Phase 1 - Woche 1-2

    Betroffenheitsprüfung & Einstufung

    Verbindliche Klärung der NIS-2-Betroffenheit: Welcher Sektor, welche Einrichtungsart (wesentlich/wichtig)? Erhebung aller relevanten Kennzahlen (Mitarbeiter, Umsatz, Tätigkeiten). Registrierungspflicht beim BSI (§33 NIS2UmsuCG-E). Ergebnis: Schriftliche Einstufung mit Begründung.

  2. 2 Phase 2 - Woche 3-6

    Gap-Analyse gegen §30 NIS2UmsuCG-E

    Strukturierter Ist-Soll-Abgleich aller zehn Pflichtmaßnahmen. Bewertung bestehender Sicherheitsmaßnahmen, Dokumentation, Prozesse und Organisationsstrukturen. Priorisierung der Lücken nach Risiko und Aufwand. Ergebnis: Maßnahmenmatrix mit Handlungsempfehlungen und Priorisierung.

  3. 3 Phase 3 - Monat 2-8

    Umsetzung & Dokumentation

    Priorisierte Umsetzung der identifizierten Maßnahmen: ISMS-Aufbau oder -Anpassung, Erstellung fehlender Richtlinien und Prozesse, technische Maßnahmen (MFA, Patch-Management, Monitoring), Lieferantenaudits, Schulungen der Mitarbeiter und Leitungsorgane (§30 Abs. 2 Nr. 8 NIS2UmsuCG-E).

  4. 4 Phase 4 - Monat 9-12

    Internes Audit & Readiness-Check

    Unabhängige Prüfung aller umgesetzten Maßnahmen gegen NIS-2-Anforderungen. Simulierter BSI-Audit, Identifikation verbleibender Schwachstellen, Nachsteuerung. Ergebnis: Nachweisbare Compliance-Dokumentation für behördliche Aufsicht und interne Governance.

Persönliche Haftung

Haftung der Geschäftsführung

NIS-2 ist das erste EU-Cybersicherheitsgesetz, das Leitungsorgane persönlich in die Pflicht nimmt. Art. 20 der NIS-2-Richtlinie, umgesetzt in §38 NIS2UmsuCG-E, verpflichtet Geschäftsführer und Vorstände ausdrücklich dazu, Cybersicherheit als Führungsaufgabe zu verstehen.

Die Pflichten umfassen: Billigung und Überwachung der Risikomanagementmaßnahmen, persönliche Teilnahme an Schulungen zu Cybersicherheitsrisiken, Rechenschaftspflicht gegenüber dem BSI. Die Haftung kann nicht auf die Gesellschaft abgewälzt werden - sie ist originär und persönlich.

Als strukturierter Nachweis der geforderten Cybersicherheitskompetenz nach §38 NIS2UmsuCG-E eignet sich das T.I.S.P. Zertifikat (TeleTrusT Information Security Professional). Es deckt DSGVO, NIS-2, BSI IT-Grundschutz und ISO 27001 in 20 Modulen ab und gilt als anerkannter Qualifikationsnachweis für Informationssicherheitsverantwortliche im deutschen Raum.

Sanktionsmöglichkeiten gegen Leitungsorgane

  • Vorübergehende Untersagung der Ausübung von Leitungsaufgaben (§40 NIS2UmsuCG-E)
  • Persönliche Bußgeldhaftung bei nachgewiesener Pflichtverletzung
  • Öffentliche Nennung bei wesentlichen Einrichtungen (Art. 32 Abs. 4 lit. g NIS-2-RL)
  • Zivilrechtliche Haftung gegenüber der Gesellschaft möglich (§93 AktG analog)

Was Geschäftsführer jetzt tun sollten

  • Betroffenheitsprüfung veranlassen und dokumentieren
  • NIS-2-Schulung für Leitungsorgane nachweisbar absolvieren
  • Risikomanagement-Maßnahmen formell billigen (Vorstandsbeschluss)
  • Umsetzungsverantwortlichen (CISO / ISB) benennen und ausstatten

Beratungsleistungen

Wie AWARE7 bei NIS-2 hilft

Wir begleiten Sie vom ersten Tag bis zur nachgewiesenen Compliance - mit einem festen Ansprechpartner, einem verbindlichen Festpreisangebot und dem Know-how aus über 50 NIS-2-Projekten.

Betroffenheitsprüfung & NIS-2 Gap-Analyse

Verbindliche Einstufung, strukturierter Abgleich gegen §30 NIS2UmsuCG-E, priorisierter Maßnahmenplan mit Zeitplan und Festpreisangebot.

NIS-2-Beratung starten

ISMS-Aufbau & ISO 27001 Zertifizierung

Aufbau eines ISMS, das NIS-2 abdeckt und gleichzeitig die Grundlage für die ISO-27001-Zertifizierung legt - zwei Fliegen, eine Klappe.

ISO-Beratung starten

Penetrationstest & Schwachstellenscan

Technische Überprüfung Ihrer IT-Systeme - liefert den Nachweis für §30 Abs. 2 Nr. 6 NIS2UmsuCG-E (Wirksamkeitsbewertung der Sicherheitsmaßnahmen).

Pentest anfragen

Security Awareness & Schulungen

Phishing-Simulationen, Live Hacking Shows und Schulungen für Mitarbeiter und Leitungsorgane - Pflichtanforderung nach §30 Abs. 2 Nr. 8 NIS2UmsuCG-E.

Zu den Schulungen

Externer ISB / CISO as a Service

Ihr erfahrener Informationssicherheitsbeauftragter auf Abruf - deckt die Leitungsverantwortung nach Art. 20 NIS-2-RL und entlastet Ihre Geschäftsführung.

ISB-Service anfragen

Internes Audit & NIS-2 Readiness Check

Unabhängige Prüfung Ihrer NIS-2-Compliance durch zertifizierte Lead Auditoren - liefert die Dokumentation für behördliche Aufsicht und Board-Reporting.

Audit anfragen
„NIS-2 ist die folgenreichste EU-Cybersicherheitsregulierung, die wir je gesehen haben. Sie verändert nicht nur die Compliance-Pflichten - sie macht Cybersicherheit zur persönlichen Chefsache. Wer jetzt handelt, schützt sich und sein Unternehmen.“

Chris Wojzechowski

Prüfer mit §8a BSIG Prüfverfahrenskompetenz · AWARE7 GmbH

FAQ

Häufige Fragen zu NIS-2

Die wichtigsten Fragen zur NIS-2-Richtlinie - fachlich fundiert und praxisnah beantwortet.

Die NIS-2-Richtlinie (EU 2022/2555) ist am 16. Januar 2023 in Kraft getreten und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Der Entwurf wurde vom Bundeskabinett verabschiedet, das parlamentarische Verfahren läuft. Unternehmen sollten bereits jetzt mit der Umsetzung beginnen, da die Anforderungen erhebliche Vorlaufzeit erfordern.
NIS-2 erfasst "wesentliche" und "wichtige" Einrichtungen in 18 Sektoren. Als Schwellenwerte gelten grundsätzlich: 50 oder mehr Mitarbeiter oder 10 Mio. EUR Jahresumsatz. Unabhängig von der Größe fallen immer unter NIS-2: Qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister, DNS-Auflösungsdienste, Anbieter öffentlicher Telekommunikationsnetze sowie kritische Infrastrukturen nach §28 BSIG-E. Auch reine Zulieferer können indirekt betroffen sein, wenn vertragliche Weitergabe der Anforderungen erfolgt.
Wesentliche Einrichtungen (Annex I der NIS-2-RL) unterliegen der strengeren proaktiven Aufsicht: Das BSI kann jederzeit Audits und Penetrationstests anordnen, regelmäßige Compliance-Nachweise verlangen und unangekündigte Vor-Ort-Kontrollen durchführen. Wichtige Einrichtungen (Annex II) unterliegen einer reaktiven Aufsicht: Behördliche Maßnahmen werden erst bei Verdacht auf Verstöße oder nach Vorfällen eingeleitet. Bußgelder unterscheiden sich: Wesentliche bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, wichtige bis 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes.
Das dreistufige Meldesystem nach Art. 23 NIS-2-RL: (1) Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls an das BSI - enthält nur grundlegende Informationen. (2) Detaillierter Bericht innerhalb von 72 Stunden - erste Bewertung, Schweregrad, Indikatoren. (3) Abschlussbericht innerhalb von einem Monat - vollständige Ursachenanalyse, ergriffene Maßnahmen, grenzüberschreitende Auswirkungen. Als "erheblich" gilt ein Vorfall, der schwere Betriebsstörungen oder erhebliche finanzielle Verluste verursacht oder verursachen kann.
Art. 20 NIS-2-RL verpflichtet die Leitungsorgane ausdrücklich, Risikomanagementmaßnahmen zu billigen, deren Umsetzung zu überwachen und persönliche Haftung zu tragen. In der deutschen Umsetzung (§38 NIS2UmsuCG-E) bedeutet das: Schulungspflicht für Geschäftsführer zu Cybersicherheitsrisiken, persönliche Haftung für Verstöße gegen NIS-2-Pflichten, mögliche vorübergehende Untersagung von Leitungsfunktionen als Sanktion, persönliche Rechenschaftspflicht gegenüber Aufsichtsbehörden. Die Haftung kann nicht auf die Gesellschaft abgewälzt werden - eine D&O-Versicherung allein reicht nicht.
Eine ISO-27001-Zertifizierung deckt viele NIS-2-Anforderungen strukturell ab - insbesondere Risikoanalyse, Sicherheitskonzepte, Maßnahmenmanagement und interne Audits (Annex A Controls). Sie ist jedoch kein vollständiger NIS-2-Nachweis: Speifisch für NIS-2 sind die Meldepflichten, die persönliche Leitungsverantwortung, die Lieferkettenpflichten und die sektorspezifischen Anforderungen. Unternehmen mit ISO-27001-Zertifikat starten deutlich besser positioniert und haben einen erheblichen Umsetzungsvorsprung. Für NIS-2-Compliance empfehlen wir eine Gap-Analyse auf Basis ISO 27001.
Art. 21 Abs. 2 lit. d NIS-2-RL verpflichtet betroffene Einrichtungen zur Absicherung der Lieferkette - also zur Prüfung und vertraglichen Verpflichtung aller wesentlichen IT-Lieferanten und Dienstleister. Praktisch bedeutet das: Lieferantenverzeichnis mit Sicherheitsbewertung pflegen, Sicherheitsanforderungen vertraglich fixieren (z. B. via Auftragsverarbeitungsvertrag oder IT-Sicherheitsklausel), Sicherheitsvorfälle beim Lieferanten als eigene Meldeverpflichtung behandeln. Kleine Zulieferer, die für betroffene Einrichtungen arbeiten, werden so indirekt mit NIS-2-Anforderungen konfrontiert.
Art. 34 NIS-2-RL sieht erhebliche Sanktionen vor: Wesentliche Einrichtungen bis zu 10 Mio. EUR oder 2% des gesamten weltweiten Jahresumsatzes (der höhere Betrag gilt). Wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes. Zusätzlich können Behörden: Einstweilige Verbote von Leitungsfunktionen verhängen, die Aussetzung von Zertifizierungen oder Genehmigungen anordnen, Warnungen und öffentliche Mitteilungen veröffentlichen. Die Bußgelder sind pro Verstoß und können kumuliert werden.
Unser Vorgehen folgt vier Phasen: (1) Betroffenheitsprüfung - innerhalb von 2 Werktagen klären wir verbindlich, ob und als welche Einrichtungsart Sie eingestuft werden. (2) Gap-Analyse - strukturierter Abgleich Ihrer aktuellen Maßnahmen mit allen §30 NIS2UmsuCG-E-Anforderungen, Priorisierung nach Risiko und Umsetzungsaufwand. (3) Umsetzungsbegleitung - priorisierter Maßnahmenplan, Projektbegleitung, Erstellung aller notwendigen Dokumentationen. (4) Validierung - internes Audit und Readiness-Check vor behördlicher Prüfung. In der Regel dauert eine vollständige Umsetzung 4 bis 12 Monate - abhängig von Ausgangsniveau und Komplexität.
Ja - wesentliche und wichtige Einrichtungen müssen sich beim BSI registrieren (§33 NIS2UmsuCG-E). Die Registrierung umfasst: Name, Anschrift und Kontaktdaten, Sektor und Teilsektor, Liste der IP-Adressbereiche, Registrierungsland. Für KRITIS-Betreiber bestand bereits eine Registrierungspflicht nach §8b BSIG. Das BSI wird voraussichtlich ein Online-Registrierungsportal bereitstellen. AWARE7 unterstützt Sie bei der korrekten Einstufung und Registrierung.

Aus dem Blog

Weiterführende Artikel

NIS-2 Readiness Check vereinbaren

In einem kostenlosen 30-minütigen Gespräch prüfen wir Ihre Betroffenheit, bewerten Ihre aktuelle Compliance-Lücke und skizzieren den realistischen Weg zur NIS-2-Compliance - mit Zeitplan und Festpreisangebot.

Jetzt NIS-2 Readiness Check buchen Oder erst NIS-2 Betroffenheit prüfen

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung