Kontakt
Knowledge Hub

NIS2: Was Unternehmen jetzt wissen und umsetzen müssen

Zuletzt geändert: 09.03.2026

Wichtige Erkenntnisse

  • Die NIS2-Richtlinie verbessert die Cybersicherheit in der EU durch erweiterte Mindeststandards.
  • Betroffene Einrichtungen sollten jetzt mit der Implementierung beginnen, um vorbereitet zu sein.
  • Compliance mit NIS2 allein bietet keinen umfassenden Schutz vor Cyberbedrohungen.
  • Der erweiterte Anwendungsbereich umfasst nun auch kritische Sektoren und ihre Zulieferer.
  • Zusätzliche EU-Rechtsvorschriften stärken Cybersicherheitsmaßnahmen in verschiedenen Bereichen.

Die NIS2-Richtlinie schafft einen einheitlicheren europäischen Rahmen für Cybersicherheit und verpflichtet deutlich mehr Unternehmen zu strukturierten Sicherheitsmaßnahmen, klaren Meldeprozessen und stärkerer Governance. Auch in Deutschland sind die Vorgaben inzwischen national umgesetzt worden. Für betroffene Organisationen kommt es jetzt vor allem darauf an, ihre Betroffenheit zu prüfen und bestehende Sicherheitsstrukturen an die neuen Anforderungen anzupassen. 
 

Erfahren Sie im Folgenden,

  • was Sie über NIS2 wissen müssen,
  • wer betroffen ist und
  • wie Sie sich schon jetzt darauf vorbereiten können.

Was ist NIS2?

NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit („Network and Information Security Directive“), die die Vorgänger-Richtlinie von 2016 (NIS1) ersetzt. Die NIS2-Directive ist seit dem 16. Januar 2023 in Kraft und musste bis zum 17. Oktober 2024 in allen EU-Mitgliedstaaten in nationales Recht umgesetzt werden. 

 

Ziel der NIS2-Richtlinie ist, ein einheitlich hohes Cybersicherheitsniveau in der Europäischen Union zu etablieren. Die EU legt damit  verbindliche Mindestanforderungen und Meldepflichten für Cybervorfälle fest. Sie gilt für eine ausgeweitete Anzahl von Organisationen in einem erweiterten Kreis an Sektoren.

 

In Deutschland wurde am 13. November 2025 das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verabschiedet, das die Vorgaben in deutsches Recht überführt. Das NIS2-Gesetz trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Die zentrale Behörde für NIS2 ist das BSI (Bundesamt für Sicherheit in der Informationstechnik). Sie stellt Meldewege bereit, koordiniert die Kommunikation mit betroffenen Einrichtungen sowie anderen nationalen bzw. europäischen Stellen und veröffentlicht Orientierungshilfen.

 

 

Die Bedeutung von NIS2

Mit der rasant zunehmenden Digitalisierung des täglichen Lebens ist der Schutz vor Cyber-Bedrohungen für das reibungslose Funktionieren der Gesellschaft unerlässlich geworden. Das Europäische Parlament hat daher das EU-Recht um eine Reihe neuer Rechtsvorschriften im Bereich Cybersicherheit aktualisiert. Unter Cybersicherheit sind alle Tätigkeiten zu verstehen, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.

Eine dieser neuen Rechtsvorschriften ist das NIS2-Gesetz. Das Ziel der Richtlinie besteht darin, das Cybersicherheitsniveau innerhalb der EU zu vereinheitlichen und zu erhöhen, um die Resilienz gegen Cyberangriffe zu stärken. Bundestagsabgeordnete und ehemalige Bundesinnenministerin Nancy Faeser betonte die Ziele des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland folgendermaßen:

"Die Bedrohungslage im Bereich Cybersicherheit bleibt hoch... Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, unabhängig davon, ob diese staatlich gesteuert oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Branchen Mindeststandards für Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen."

Nancy Faeser Bundestagsabgeordnete und ehemalige Bundesinnenministerin

NIS2 ist mehr als „nur Compliance"

Die Einhaltung der gesetzlichen Mindestvorgaben aus NIS2 und begleitenden Standards ist in vielen Organisationen ein wichtiger Anfang. Sie bieten einen breiten Rahmen, mit dessen Hilfe bisher nicht berücksichtigte Bereiche auch außerhalb der IT (sogenannte „blinde Flecken“) oft zum ersten Mal in den Fokus des Informationssicherheitsmanagements (ISMS) rücken. Denn Cybersicherheit ist schon lange nicht mehr nur ein technisches IT-Thema. Es erfordert mittlerweile die aktive Beteiligung der gesamten Organisation – von der Technik über die Produktion und den Vertrieb bis hin zur Geschäftsführung.

Wer Ressourcen aber langfristig effektiv einsetzen muss, ist gut damit beraten, von Anfang an nicht nur auf die Einhaltung von Gesetzen und Standards zu achten. Denn Compliance bedeutet nicht automatisch auch Sicherheit vor Diebstahl, Manipulation und Veröffentlichung geschäftskritischer Informationen oder negativen Schlagzeilen mit großer Medienreichweite. Aus diesem Grund hat der Gesetzgeber den Vorgaben aus NIS2 auch einen risikobasierten Ansatz zugrunde gelegt. Demzufolge können betroffene Einrichtungen unter Berücksichtigung der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere (inkl. gesellschaftlicher und wirtschaftlichen Auswirkungen) selbst über angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen entscheiden.

Auf diese Weise soll der effektive Aufbau widerstandsfähiger Systeme begünstigt werden und nicht die effiziente Befolgung starrer Vorgaben. Denn effektive Informationssicherheitskontrollen verlangsamen das Geschäft nicht, sie ermöglichen erst – wie die Bremsen eines Autos – ein schnelleres Fahren in eine digitale Zukunft.

Wer ist von NIS2 betroffen?

Die NIS2-Richtlinie erweitert den Geltungsbereich ihrer Vorgängerin von 2016 auf elf „Sektoren mit hoher Kritikalität“, darunter Energie, Transport, Bankwesen, Öffentliche Verwaltung oder Gesundheitswesen. Sie betrifft darüber hinaus aber auch „sonstige kritische“ Sektoren wie z.B. Post- und Kurierdienste, Lebensmittelproduktion, -verarbeitung und -vertrieb sowie digitale Dienste.

Auch Organisationen, die nicht direkt in diese Branchen fallen, sondern als Zulieferer oder Partner fungieren, können indirekt von der NIS2-Richtlinie betroffen sein. Denn auch sie können potenzielle Einfallstore für Cyberangriffe darstellen.

NIS2 Annex I

Wesentliche Anforderungen und Pflichten der NIS2-Richtilinie

Betroffene Einrichtungen müssen umfangreiche NIS2-Maßnahmen an die Cybersicherheit erfüllen. Dazu zählen:

  • die Verantwortlichkeit der Leitungsorgane und regelmäßige Schulungen zur Cybersicherheit aller Mitarbeitenden (Artikel 20),
  • Risikomanagementmaßnahmen einschließlich regelmäßiger Risikoanalysen, die Bewältigung von Sicherheitsvorfällen oder die Aufrechterhaltung des Betriebs (Artikel 21),
  • sowie konkrete Berichts- (Artikel 23) oder Dokumentationspflichten (Erwägung 122).

Leitungsorgane müssen die ergriffenen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und haften bei Verstößen gegen ihre Verpflichtungen persönlich. Bei erheblichen Sicherheitsvorfällen müssen Unternehmen innerhalb von 24 Stunden eine Frühwarnung abgeben, innerhalb von 72 Stunden eine erste Bewertung vorlegen und spätestens einen Monat nach der Bewertung einen ausführlichen Abschlussbericht einreichen. 

Die NIS2-Richtlinie betont aber auch die Bedeutung der Sicherheit in der Lieferkette. Unternehmen sollen ihre Lieferantenbeziehungen genau prüfen und Risikobewertungen durchführen.

NIS2-Framework für die Umsetzung der Anforderungen

Das NIS2-Gesetz selbst definiert kein eigenständiges Cybersecurity-Framework. In der Praxis setzen Unternehmen die NIS2-Maßnahmen häufig mithilfe etablierter Sicherheitsframeworks oder Managementsysteme um.

Typische Ansätze sind die ISMS-basierte Zertifizierung nach ISO 27001 oder nationale Standards wie der BSI IT-Grundschutz. Diese helfen, die Anforderungen der NIS2-Richtlinie  in konkrete Sicherheitsmaßnahmen, Prozesse und Kontrollen zu übersetzen.

Ein strukturiertes NIS2-Cybersecurity-Framework umfasst in der Regel folgende Elemente:

  • Risikomanagement für IT- und OT-Systeme
  • Technische und organisatorische Sicherheitsmaßnahmen
  • Incident-Management und Meldeprozesse für Sicherheitsvorfälle
  • Sicherheitsanforderungen an Lieferanten und Dienstleister
  • Kontinuierliche Überprüfung und Verbesserung der Sicherheitsmaßnahmen

Mithilfe des strukturierten NIS2-Frameworks können Organisationen NIS2-Anforderungen systematisch umsetzen, Sicherheitsmaßnahmen dokumentieren und die erforderliche Nachweisfähigkeit gegenüber Aufsichtsbehörden sicherstellen.

 

 

Weitere EU-Rechtsvorschriften im Bereich Cybersicherheit

Um die Cyberabwehrfähigkeit zu fördern und die Cyberkriminalität zu bekämpfen hat der EU-Gesetzgeber, ergänzend zur NIS2-Richtlinie, weitere Rechtsvorschriften im Bereich Cybersicherheit erlassen. Dazu zählen insbesondere die folgenden:

Was konkret können Sie schon heute für NIS2 tun?

Das NIS2-Gesetz stellt betroffene Einrichtungen vor große Herausforderungen, bietet aber auch die Gelegenheit, die eigene Cybersicherheit erheblich zu verbessern. Ein ganzheitlicher Ansatz, der sowohl über die IT hinausgeht als auch risikobasierte Entscheidungsgrundlagen bereitstellt ermöglicht es Organisationen, nicht nur die Anforderungen der NIS2-Richtlinie zu erfüllen, sondern auch ihre Widerstandsfähigkeit zu stärken.

A1 Digital begrüßt NIS2

A1 Digital sieht die NIS2-Richtlinie als wichtigen Schritt zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. Mit unserer NIS2-Beratung helfen wir Organisationen dabei, ihre Risiken zu verstehen und ihre Risikomanagementmaßnahmen aktiv zu treiben. Dazu entwickeln wir Lösungen, die auf die individuellen Bedürfnisse jeder Organisation zugeschnitten sind.

Darüber hinaus bieten wir unseren Kunden unsere Expertise im Bereich OT-Security an, um Organisationen beim Schutz ihrer industriellen Systeme und kritischen Infrastrukturen zu unterstützen. Den risikobasierten Ansatz zur Informationssicherheit und der entsprechenden Bewertung halten wir für den effektivsten beim Schutz kritischer Infrastrukturen.

Kategorie

Cybersicherheit Compliance

Ähnliche Artikel

DORA The Digital Operational Resilience Act Explained A1 Digital
Cybersicherheit
DORA The Digital Operational Resilience Act Explained A1 Digital
Cybersicherheit