NIS2 Compliance: Der vollständige Leitfaden für europäische Unternehmen
Alles über NIS2 Compliance — wer betroffen ist, was gefordert wird, Fristen, Sanktionen und wie Sie die Anforderungen umsetzen. Der umfassende Leitfaden für Unternehmen in der EU und Deutschland.
NIS2 Compliance: Der vollständige Leitfaden für europäische Unternehmen
Die NIS2-Richtlinie (Richtlinie 2022/2555) ist die bedeutendste Cybersicherheitsgesetzgebung der EU. Sie ersetzt die ursprüngliche NIS-Richtlinie mit erheblich erweitertem Anwendungsbereich, strengeren Anforderungen und wirksamen Durchsetzungsmechanismen. Wenn Ihr Unternehmen in der EU tätig ist, besteht eine hohe Wahrscheinlichkeit, dass NIS2 für Sie gilt.
Dieser Leitfaden behandelt alles: Wer ist betroffen, was müssen Sie tun, welche Fristen gelten, welche Sanktionen drohen und wie Sie ein Compliance-Programm aufbauen, das operativ funktioniert — nicht nur auf dem Papier.
Was ist NIS2?
NIS2 — die Richtlinie über Netz- und Informationssicherheit 2 — ist eine EU-Richtlinie, die Cybersicherheitspflichten für Organisationen in kritischen und wichtigen Sektoren festlegt. Am 14. Dezember 2022 verabschiedet und als Richtlinie 2022/2555 veröffentlicht, zielt sie auf ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union ab.
Die wesentlichen Neuerungen gegenüber der ersten NIS-Richtlinie:
- Breiterer Anwendungsbereich: 18 Sektoren statt 7
- Klarere Pflichten: Konkrete Risikomanagementmaßnahmen in Artikel 21
- Strenge Meldepflichten: 24-Stunden-Frühwarnung, 72-Stunden-Vollmeldung
- Fokus auf Lieferketten: Explizite Anforderungen an Drittparteien-Risikomanagement
- Geschäftsführerhaftung: Persönliche Haftung der Leitungsorgane
- Harmonisierte Sanktionen: Mindest-Bußgeldrahmen EU-weit
NIS2 in Deutschland: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG)
Da NIS2 eine Richtlinie ist, muss sie in nationales Recht umgesetzt werden. In Deutschland geschieht dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Status der Umsetzung
Deutschland hat die ursprüngliche Frist vom 17. Oktober 2024 nicht eingehalten. Das Gesetzgebungsverfahren war zum Zeitpunkt der Bundestagswahl 2025 noch nicht abgeschlossen. Der aktuelle Stand:
- Mehrere Referentenentwürfe und Kabinettsentwürfe wurden erstellt
- Das BSI (Bundesamt für Sicherheit in der Informationstechnik) wird als zentrale Aufsichtsbehörde fungieren
- Schätzungsweise 29.000 Unternehmen in Deutschland werden betroffen sein
- Der erweiterte Anwendungsbereich umfasst erstmals auch mittlere Unternehmen in vielen Sektoren
Was sich in Deutschland ändert
| Bereich | Bisher (BSIG/IT-SiG 2.0) | Künftig (NIS2UmsuCG) |
|---|---|---|
| Betroffene | ~4.500 KRITIS-Betreiber | ~29.000 Einrichtungen |
| Sektoren | 10 KRITIS-Sektoren | 18 Sektoren (wesentlich + wichtig) |
| Schwellenwerte | KRITIS-spezifische Schwellenwerte | 50+ MA oder 10 Mio.€+ Umsatz |
| Meldepflichten | Unverzüglich an BSI | 24h/72h/1 Monat gestaffelt |
| Sanktionen | Bis zu 2 Mio.€ | Bis zu 10 Mio.€ oder 2% Umsatz |
| Geschäftsführerhaftung | Nicht explizit | Persönliche Haftung |
Wer ist von NIS2 betroffen?
NIS2 teilt betroffene Organisationen in zwei Kategorien:
Wesentliche Einrichtungen (Anhang I)
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Erdöl, Erdgas, Wasserstoff, Fernwärme |
| Verkehr | Luft, Schiene, Wasser, Straße |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Gesundheitsdienstleister, Labore, Pharma, Medizinprodukte |
| Trinkwasser | Versorgung und Verteilung |
| Abwasser | Sammlung, Entsorgung, Behandlung |
| Digitale Infrastruktur | IXPs, DNS, TLD-Register, Cloud, Rechenzentren, CDNs |
| IKT-Dienstverwaltung (B2B) | Managed Service Provider, MSSPs |
| Öffentliche Verwaltung | Einrichtungen der Zentralregierung |
| Weltraum | Betreiber bodengestützter Infrastruktur |
Wichtige Einrichtungen (Anhang II)
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Zugelassene Anbieter |
| Abfallwirtschaft | Sammlung, Behandlung, Entsorgung |
| Chemie | Herstellung, Produktion, Vertrieb |
| Lebensmittel | Produktion, Verarbeitung, Vertrieb |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge |
| Digitale Anbieter | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Größenschwellen
NIS2 gilt grundsätzlich für Organisationen in den genannten Sektoren, die:
- Mittlere oder große Unternehmen sind: 50+ Beschäftigte oder 10 Mio.€+ Jahresumsatz
- Unabhängig von der Größe für bestimmte kritische Einrichtungen (qualifizierte Vertrauensdiensteanbieter, TLD-Register, DNS-Diensteanbieter)
Die zehn NIS2-Risikomanagementmaßnahmen
Artikel 21 Absatz 2 listet zehn spezifische Maßnahmen auf, die Organisationen umsetzen müssen:
1. Risikoanalyse und Sicherheit der Informationssysteme
Etablierung und Pflege von Konzepten für Risikoanalyse und Informationssystemsicherheit.
2. Bewältigung von Sicherheitsvorfällen
Verfahren zur Erkennung, Bewältigung und Bewertung von Sicherheitsvorfällen, einschließlich der 24/72-Stunden-Meldefristen.
3. Aufrechterhaltung des Betriebs und Krisenmanagement
Business Continuity, Backup-Management, Disaster Recovery und Krisenmanagement.
4. Sicherheit der Lieferkette
Sicherheit in den Beziehungen zu direkten Lieferanten und Diensteanbietern — einschließlich vertraglicher Anforderungen und kontinuierlichem Monitoring.
5. Sicherheit bei Erwerb, Entwicklung und Wartung
Sicherheitsmaßnahmen bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement.
6. Bewertung der Wirksamkeit
Konzepte und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen.
7. Cyberhygiene und Schulungen
Grundlegende Verfahren der Cyberhygiene und Cybersicherheitsschulungen für alle Mitarbeiter — einschließlich der Leitungsorgane.
8. Kryptografie und Verschlüsselung
Konzepte für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung.
9. Personalsicherheit und Zugriffskontrolle
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Anlagenmanagement.
10. Multi-Faktor-Authentifizierung
Verwendung von MFA, kontinuierlichen Authentifizierungslösungen und gesicherten Kommunikationssystemen.
NIS2-Meldepflichten
Die verschärften Meldefristen sind eine der wichtigsten Neuerungen:
| Frist | Anforderung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung an CSIRT/BSI | Ob der Vorfall auf rechtswidrige Handlungen zurückgeht; ob grenzüberschreitende Auswirkungen möglich sind |
| 72 Stunden | Vorfallsmeldung | Aktualisierte Bewertung, Schweregrad, Auswirkungen, Kompromittierungsindikatoren |
| 1 Monat | Abschlussbericht | Detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen |
NIS2-Sanktionen
Wesentliche Einrichtungen
- Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
- Vorübergehende Untersagung von Leitungsfunktionen
- Mögliche Aussetzung von Zertifizierungen oder Genehmigungen
Wichtige Einrichtungen
- Bußgelder bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
Geschäftsführerhaftung
Artikel 20 verpflichtet die Leitungsorgane ausdrücklich:
- Cybersicherheitsmaßnahmen zu genehmigen
- Deren Umsetzung zu überwachen
- Cybersicherheitsschulungen zu absolvieren
- Für Verstöße persönlich zu haften
Umsetzung: Praktischer Fahrplan
Schritt 1: Betroffenheit prüfen
Fallen Sie in einen der 18 Sektoren und erfüllen Sie die Größenschwellen? Prüfen Sie Ihre NACE-Codes und Unternehmenskennzahlen.
Schritt 2: Einrichtungstyp bestimmen
Wesentliche oder wichtige Einrichtung? Dies bestimmt das Aufsichtsregime und den Bußgeldrahmen.
Schritt 3: Gap-Analyse durchführen
Bewerten Sie Ihre aktuelle Sicherheitslage anhand der zehn Artikel-21-Maßnahmen. Typische Lücken: Vorfallsmeldung, Lieferkettensicherheit, Nachweisfähigkeit.
Schritt 4: Compliance-Programm aufbauen
Fokus auf die operativen Lücken: Meldeabläufe, Supply-Chain-Monitoring, Evidenzmanagement, Schulungen der Geschäftsführung.
Schritt 5: Kontinuierliche Compliance etablieren
NIS2 Compliance ist kein einmaliges Projekt. Implementieren Sie Systeme für kontinuierliche Evidenzsammlung und Compliance-Monitoring.
NIS2 vs ISO 27001: Zusammenspiel und Unterschiede
| Aspekt | ISO 27001 | NIS2 |
|---|---|---|
| Art | Freiwilliger internationaler Standard | Verbindliche EU-Regulierung |
| Vorfallsmeldung | Interne Verfahren | 24/72h-Meldung an Behörden |
| Lieferkette | Risikobewertung | Kontinuierliches Monitoring + Vertragspflichten |
| Sanktionen | Verlust der Zertifizierung | Bis zu 10 Mio.€ / 2% Umsatz + persönliche Haftung |
| Nachweis | Auditbasiert (jährlich) | Kontinuierliche Nachweisfähigkeit |
| Geschäftsführung | Management Commitment | Persönliche Haftung |
Wie Orbiq bei NIS2 Compliance unterstützt
Orbiq ist als europäische Plattform für Compliance und Trust Center von Grund auf konzipiert:
- Lieferkettensicherheit: Zentrale Verwaltung von Lieferantenbewertungen, automatisierte Fragebogenverteilung, kontinuierliches Monitoring
- Evidenzmanagement: Automatische Sammlung und Organisation von Compliance-Nachweisen
- Compliance-Übersicht: Echtzeit-Dashboards zum Status aller zehn Artikel-21-Maßnahmen
- Trust Center: Öffentlich zugängliches Portal zur Darstellung Ihres Compliance-Status
- EU-Datenhaltung: Daten verbleiben in der EU — DSGVO-nativ, nicht nachträglich angepasst
Weiterführende Artikel
- NIS2 Checkliste: Artikel 21 im Detail
- NIS2 Meldepflicht: Die 24-Stunden-Frist
- NIS2 Lieferkettensicherheit
- ISO 27001 ist nicht NIS2 Compliance
- NIS2 betroffen — operative Lücken im ISMS
Dieser Leitfaden wird vom Orbiq-Team gepflegt und aktualisiert, sobald die nationale Umsetzung voranschreitet. Letzte Aktualisierung: März 2026.