Was ist NIS2? Die EU-Cybersicherheitsrichtlinie einfach erklärt
Was ist NIS2, wer ist betroffen, was wird gefordert und welche Fristen gelten? Die wichtigste EU-Cybersicherheitsregulierung verständlich erklärt — mit Fokus auf die deutsche Umsetzung.
Was ist NIS2? Die EU-Cybersicherheitsrichtlinie einfach erklärt
NIS2 ist die aktualisierte Cybersicherheitsrichtlinie der Europäischen Union. Offiziell als Richtlinie (EU) 2022/2555 bezeichnet, legt sie verbindliche Cybersicherheitsanforderungen für Organisationen in kritischen Sektoren der EU fest.
Wenn Sie von NIS2 gehört haben und sich fragen, was das für Ihr Unternehmen bedeutet, erklärt dieser Leitfaden alles in verständlicher Sprache.
NIS2 in einem Satz
NIS2 verpflichtet Organisationen in kritischen Sektoren, robuste Cybersicherheitsmaßnahmen umzusetzen, Sicherheitsvorfälle innerhalb strenger Fristen zu melden und die Sicherheit ihrer Lieferkette zu gewährleisten — bei echten Sanktionen bei Nichteinhaltung.
Warum gibt es NIS2?
Die erste NIS-Richtlinie (2016) war der erste Versuch der EU, sektorübergreifende Cybersicherheitsgesetzgebung zu schaffen. Sie hatte Schwächen:
- Uneinheitliche Umsetzung: Jeder Mitgliedstaat interpretierte sie anders
- Zu eng gefasst: Nur 7 Sektoren, mit großen Lücken
- Schwache Durchsetzung: Keine Mindest-Bußgeldrahmen
- Kein Lieferkettenfokus: Die wachsenden Risiken durch Drittanbieter wurden nicht adressiert
Die Bedrohungslage hat sich seit 2016 dramatisch verändert. Ransomware-Angriffe, Supply-Chain-Kompromittierungen und staatlich unterstützte Bedrohungen haben die alte Richtlinie unzureichend gemacht. NIS2 ist die Antwort der EU.
Was hat sich von NIS zu NIS2 geändert?
| Bereich | Alte NIS (2016) | NIS2 (2022) |
|---|---|---|
| Sektoren | 7 Sektoren | 18 Sektoren |
| Einrichtungstypen | KRITIS-Betreiber + DSPs | Wesentliche + Wichtige Einrichtungen |
| Größenschwelle | Ermessen der Mitgliedstaaten | Harmonisiert: 50+ MA oder 10 Mio.€+ |
| Vorfallsmeldung | Ohne unangemessene Verzögerung | 24h Frühwarnung, 72h Vollmeldung |
| Lieferkette | Nicht spezifisch adressiert | Explizite Anforderungen in Art. 21 |
| Geschäftsführerhaftung | Nicht adressiert | Persönliche Haftung |
| Sanktionen | Ermessen der Mitgliedstaaten | Mindestrahmen: 10 Mio.€/2% oder 7 Mio.€/1,4% |
Wer ist von NIS2 betroffen?
NIS2 gilt für Organisationen, die beide Kriterien erfüllen:
- In einem der 18 bezeichneten Sektoren tätig (Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur usw.)
- Größenschwellen erfüllen: 50+ Beschäftigte oder 10 Mio.€+ Jahresumsatz
In Deutschland wird die Zahl der betroffenen Einrichtungen auf ca. 29.000 geschätzt — ein massiver Anstieg gegenüber den bisherigen ca. 4.500 KRITIS-Betreibern.
Was fordert NIS2?
NIS2 basiert auf drei Säulen:
1. Risikomanagementmaßnahmen (Artikel 21)
Zehn konkrete Cybersicherheitsmaßnahmen: Risikoanalyse, Vorfallbewältigung, Business Continuity, Lieferkettensicherheit, Netzwerksicherheit, Wirksamkeitsbewertung, Schulungen, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung.
Das Schlüsselwort in Artikel 21 ist operativ. Konzepte allein reichen nicht. Die Maßnahmen müssen in der Praxis funktionieren und nachweisbar sein.
2. Vorfallsmeldung (Artikel 23)
- Innerhalb von 24 Stunden: Frühwarnung an das nationale CSIRT/BSI
- Innerhalb von 72 Stunden: Vollständige Vorfallsmeldung
- Innerhalb von 1 Monat: Abschlussbericht mit Ursachenanalyse
3. Governance und Verantwortlichkeit (Artikel 20)
Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen, Schulungen absolvieren und persönlich für Verstöße haften.
NIS2-Sanktionen
- Wesentliche Einrichtungen: Bis zu 10 Mio.€ oder 2% des globalen Umsatzes
- Wichtige Einrichtungen: Bis zu 7 Mio.€ oder 1,4% des globalen Umsatzes
- Geschäftsführung: Persönliche Haftung, mögliche vorübergehende Tätigkeitsverbote
NIS2-Zeitplan
| Datum | Meilenstein |
|---|---|
| 16. Jan. 2023 | NIS2 in Kraft getreten |
| 17. Okt. 2024 | Frist für nationale Umsetzung |
| 17. Apr. 2025 | Frist für Einrichtungslisten |
| Laufend | Deutsche Umsetzung (NIS2UmsuCG) im Verfahren |
Nächste Schritte
- Lesen Sie unseren vollständigen NIS2 Compliance Leitfaden für detaillierte Umsetzungshinweise
- Nutzen Sie die NIS2 Checkliste zur Standortbestimmung
- Erfahren Sie, warum ISO 27001 allein nicht NIS2 Compliance ist
Aktualisiert März 2026. Dieser Leitfaden wird fortlaufend an den Stand der nationalen Umsetzung angepasst.