NIS2 Anforderungen: Alle Pflichten und Maßnahmen im Überblick (2025)
Alle NIS2 Anforderungen für betroffene Unternehmen — die zehn Risikomanagementmaßnahmen nach Artikel 21, Meldepflichten (24h/72h/1 Monat), Leitungsverantwortung, Sanktionen und ein 5-Schritte-Umsetzungsfahrplan nach dem NIS2-Umsetzungsgesetz.
NIS2 Anforderungen: Alle Pflichten im Überblick
Die NIS2-Richtlinie (Richtlinie EU 2022/2555) stellt umfassende Anforderungen an die Cybersicherheit betroffener Unternehmen. In Deutschland werden diese durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.
Dieser Leitfaden fasst alle NIS2 Anforderungen zusammen — von den zehn Risikomanagementmaßnahmen über Meldepflichten bis zur persönlichen Leitungshaftung.
Wer ist von NIS2 betroffen?
Bevor Unternehmen mit der Umsetzung beginnen, müssen sie klären, ob und in welcher Kategorie sie betroffen sind. NIS2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen.
Wesentliche Einrichtungen (Essential Entities)
Große Unternehmen (≥250 Mitarbeiter oder >50 Mio.€ Umsatz) in folgenden Sektoren:
- Energie (Strom, Gas, Fernwärme, Erdöl, Wasserstoff)
- Verkehr (Luft, Bahn, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheit (Krankenhäuser, Labore, Pharma)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (TLD-Register, DNS-Anbieter, Cloud-Anbieter, Rechenzentren, Content Delivery Networks, Vertrauensdiensteanbieter)
- IKT-Dienstleistungsmanagement (Managed Service Provider, Managed Security Service Provider)
- Öffentliche Verwaltung
Wichtige Einrichtungen (Important Entities)
Mittelgroße Unternehmen (≥50 Mitarbeiter oder >10 Mio.€ Umsatz) in weiteren Sektoren:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemikalien
- Lebensmittel
- Verarbeitendes Gewerbe (kritische Produktkategorien)
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Wichtig: Auch Unternehmen unterhalb dieser Schwellenwerte können betroffen sein, wenn sie kritische Dienste für andere NIS2-pflichtige Einrichtungen erbringen oder wenn nationale Behörden sie individuell als wesentlich oder wichtig eingestuft haben.
Übersicht: Die fünf Anforderungsbereiche
| Bereich | Kernanforderung | Frist |
|---|---|---|
| Risikomanagement | Zehn technische und organisatorische Maßnahmen | Ab Geltungsbeginn |
| Meldepflichten | 24h/72h/1 Monat Meldefrist bei Vorfällen | Ab Geltungsbeginn |
| Registrierung | Registrierung bei der zuständigen Behörde (BSI) | Frist im NIS2UmsuCG |
| Leitungsverantwortung | Billigung, Überwachung und Schulung | Ab Geltungsbeginn |
| Nachweispflichten | Evidenz-on-Demand für Aufsichtsbehörden | Ab Geltungsbeginn |
Die zehn Risikomanagementmaßnahmen (Artikel 21)
NIS2 Artikel 21(2) schreibt zehn Maßnahmen vor, die betroffene Einrichtungen umsetzen müssen. Die Maßnahmen müssen „angemessen und verhältnismäßig" sein — das heißt, sie müssen dem Risikoprofil, der Größe und der Art des Unternehmens entsprechen.
(a) Risikoanalyse und Informationssicherheitspolitik
Anforderung: Richtlinien für Risikoanalyse und Informationssicherheit — einschließlich regelmäßiger Überprüfung und Aktualisierung.
Was das bedeutet: Systematische Risikobewertung aller IT-Systeme und -Prozesse. Dokumentierte Sicherheitsrichtlinien. Regelmäßige Reviews (mindestens jährlich).
ISMS-Abdeckung: ✅ Kernkomponente von ISO 27001.
(b) Bewältigung von Sicherheitsvorfällen
Anforderung: Maßnahmen zur Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen — in Verbindung mit den Meldepflichten nach Artikel 23.
Was das bedeutet: Ein Incident-Response-Prozess, der unter Zeitdruck funktioniert. 24-Stunden-Frühwarnung an das BSI. Parallele Steuerung von Security, Recht und Geschäftsführung.
ISMS-Abdeckung: ⚠️ Prozess vorhanden, operative 24h-Fähigkeit fehlt typischerweise.
Operative Ergänzung: Meldungsvorlagen, Tabletop-Exercises, automatisierte Eskalation.
(c) Business Continuity und Krisenmanagement
Anforderung: Aufrechterhaltung des Betriebs, Backup-Management, Disaster Recovery und Krisenmanagement.
Was das bedeutet: BCM-Pläne für Cyber-Vorfälle. Getestete Backup- und Recovery-Strategien. Definierte Wiederherstellungszeitziele.
ISMS-Abdeckung: ✅ Standardmäßig in ISO 27001 / ISO 22301 abgedeckt.
(d) Sicherheit der Lieferkette
Anforderung: Sicherheitsaspekte der Beziehungen zu direkten Lieferanten und Dienstleistern — einschließlich spezifischer Schwachstellen jedes Lieferanten.
Was das bedeutet: Nicht nur jährliche Fragebögen, sondern kontinuierliches Monitoring der Lieferanten-Sicherheitslage. Trigger-basierte Neubewertungen bei Veränderungen.
ISMS-Abdeckung: ⚠️ Punkt-in-Zeit-Bewertung vorhanden, kontinuierliches Monitoring fehlt.
Operative Ergänzung: Lieferanten-Monitoring-Tool, NIS2-spezifische Vertragsklauseln, zentrale Evidenzübersicht.
(e) Sicherheit bei Erwerb, Entwicklung und Wartung
Anforderung: Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Umgang mit Schwachstellen.
Was das bedeutet: Sichere Entwicklungsprozesse. Patch-Management. Schwachstellenmanagement mit Offenlegungsprozess.
ISMS-Abdeckung: ✅ Weitgehend durch ISO 27001 abgedeckt.
(f) Bewertung der Wirksamkeit
Anforderung: Richtlinien und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen.
Was das bedeutet: Nicht nur interne Audits, sondern die Fähigkeit, Wirksamkeit jederzeit nachzuweisen. Aufsichtsbehörden können unangekündigt Nachweise anfordern.
ISMS-Abdeckung: ⚠️ Audit-Prozess vorhanden, kontinuierliche Evidenz fehlt.
Operative Ergänzung: Automatisiertes Evidenzmanagement. Trust Center als externe Nachweisschicht.
(g) Cyberhygiene und Schulungen
Anforderung: Grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen — einschließlich verpflichtender Schulung der Geschäftsführung (Art. 20(2)).
Was das bedeutet: Awareness-Programm für alle Mitarbeiter. Nachweisbare Schulungsteilnahme der Geschäftsführung — relevant für die persönliche Haftung.
ISMS-Abdeckung: ✅ Abgedeckt. Aber: Geschäftsführungsschulung explizit nachweisen.
(h) Kryptographie und Verschlüsselung
Anforderung: Richtlinien und Verfahren für den Einsatz von Kryptographie und Verschlüsselung.
Was das bedeutet: Dokumentierte Kryptographie-Richtlinie. Schlüsselmanagement. Stand der Technik bei Verschlüsselungsverfahren.
ISMS-Abdeckung: ✅ Vollständig abgedeckt durch ISO 27001.
(i) Personalsicherheit, Zugangskontrollen, Asset-Management
Anforderung: Personalsicherheit, Zugangssteuerungskonzepte und Asset-Management.
Was das bedeutet: Hintergrundprüfungen. Rollenbasierte Zugangskontrollen. Vollständiges IT-Asset-Inventar.
ISMS-Abdeckung: ✅ Kern von ISO 27001.
(j) Multi-Faktor-Authentifizierung und gesicherte Notfallkommunikation
Anforderung: Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation und gesicherte Notfallkommunikationssysteme — „wo angemessen."
Was das bedeutet: MFA für alle kritischen Zugänge. Verschlüsselte Kommunikationskanäle für Krisensituationen, die auch bei kompromittierter IT-Infrastruktur funktionieren.
ISMS-Abdeckung: ⚠️ MFA typischerweise vorhanden. Gesicherte Notfallkommunikation fehlt oft.
Meldepflichten (Artikel 23)
Fristen bei erheblichen Sicherheitsvorfällen
| Frist | Berichtstyp | Inhalt |
|---|---|---|
| Innerhalb von 24 Stunden | Frühwarnung | Grundlegende Fakten, Verdacht auf böswillige Handlung |
| Innerhalb von 72 Stunden | Vorfallsmeldung | Aktualisierte Bewertung, Auswirkungen, IoCs |
| Innerhalb von 1 Monat | Abschlussbericht | Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen |
Was ist ein „erheblicher" Vorfall?
Ein Vorfall ist erheblich, wenn er:
- Schwerwiegende Betriebsstörung oder finanzielle Verluste verursacht
- Andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann
Meldepflichtige Vorfälle in der Praxis
In der Praxis lösen insbesondere folgende Ereignisse Meldepflichten aus:
- Ransomware-Angriffe: Verschlüsselung oder Exfiltration von Daten, die kritische Dienste betreffen
- DDoS-Angriffe mit Auswirkung auf die Dienstverfügbarkeit
- Datenpannen mit personenbezogenen Daten oder Zugangsdaten zu kritischen Systemen
- Kompromittierung von Lieferanten (Supply Chain Attacks), die über dritte Parteien eindringen
- Systematische Schwachstellenausnutzung mit bestätigtem Schadpotenzial
Praxishinweis: Die 24-Stunden-Frist beginnt mit dem Moment, in dem der Vorfall als erheblich klassifiziert wird — nicht mit der erstmaligen Entdeckung. Eine saubere Incident-Classification-Checkliste verkürzt die Zeit zwischen Entdeckung und Klassifikation entscheidend.
Leitungsverantwortung (Artikel 20)
NIS2 macht die Cybersicherheit zur Chefsache — wörtlich:
- Billigung: Das Leitungsorgan muss die Risikomanagementmaßnahmen billigen
- Überwachung: Das Leitungsorgan überwacht die Umsetzung
- Schulung: Mitglieder des Leitungsorgans müssen regelmäßig an Cybersicherheitsschulungen teilnehmen
- Haftung: Bei Pflichtverletzungen kann das Leitungsorgan persönlich haftbar gemacht werden
Was bedeutet persönliche Haftung konkret?
Artikel 20 schafft keine strafrechtliche Verantwortung, aber ermöglicht nationale Regelungen zur zivilrechtlichen Haftung der Leitungsebene. In Deutschland sieht das NIS2UmsuCG vor, dass Geschäftsführer und Vorstände bei groben Pflichtverletzungen — insbesondere bei Nichtbilligung oder Nichtüberwachung der Maßnahmen — persönlich in Anspruch genommen werden können.
Praktische Implikation: Jedes Unternehmen unter NIS2 sollte:
- Dokumentierte Beschlüsse der Geschäftsführung zur Billigung der Sicherheitsmaßnahmen vorhalten
- Nachweise über absolvierte Cybersicherheitsschulungen für alle Leitungsorgane archivieren
- Regelmäßige Lageberichte für Geschäftsführung/Vorstand institutionalisieren
Registrierungspflicht
Betroffene Einrichtungen müssen sich bei der zuständigen nationalen Behörde registrieren:
- In Deutschland: Beim BSI (Bundesamt für Sicherheit in der Informationstechnik)
- Angaben: Name, Anschrift, Kontaktdaten, Sektor, betroffene Dienste, IP-Adressbereiche
- Frist: Im NIS2UmsuCG festgelegt
Sanktionen
| Einrichtungstyp | Maximale Geldbuße |
|---|---|
| Wesentliche Einrichtungen | 10 Mio.€ oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio.€ oder 1,4% des weltweiten Jahresumsatzes |
Zusätzlich können Aufsichtsbehörden:
- Anordnungen zur Mängelbeseitigung erteilen
- Öffentliche Bekanntmachungen über Verstöße veranlassen
- Vorübergehende Leitungsverbote aussprechen (bei wesentlichen Einrichtungen)
- Die Aussetzung von Zertifizierungen anordnen
NIS2 Umsetzungsfahrplan: Schritt für Schritt
Ein realistischer Umsetzungsfahrplan für Unternehmen, die noch nicht NIS2-ready sind:
Schritt 1: Betroffenheit prüfen (Woche 1–2)
- Sektoreinordnung klären (wesentlich oder wichtig?)
- Größenkriterien prüfen (Mitarbeiterzahl, Umsatz)
- Abhängigkeiten identifizieren: Erbringen wir Dienste für NIS2-pflichtige Einrichtungen?
Schritt 2: Gap-Analyse (Woche 3–6)
Bestehende Sicherheitsmaßnahmen gegen die zehn Artikel-21-Anforderungen mappen:
- Vorhandene ISO-27001-Zertifizierung oder BSI-Grundschutz-Umsetzung als Ausgangsbasis
- Lücken identifizieren: Incident-Response-Fähigkeit innerhalb 24h? Lieferkettenmonitoring? Notfallkommunikation?
Schritt 3: Governance verankern (Woche 7–10)
- Geschäftsführungsbeschluss zur Billigung der Sicherheitsmaßnahmen dokumentieren
- NIS2-Verantwortlichen benennen (in Deutschland: oft CISO oder IT-Leiter)
- Schulungsprogramm für Leitungsorgane aufsetzen
Schritt 4: Operative Lücken schließen (Monat 3–6)
Priorität auf die drei typischen operativen Lücken:
- Incident-Response-Prozess für 24h-Meldung aufbauen
- Lieferantenmanagement auf kontinuierliches Monitoring umstellen
- Evidenzmanagementsystem für Nachweispflichten einrichten
Schritt 5: Registrierung und Kontinuität
- Bei BSI registrieren (sobald Registrierungsportal verfügbar)
- Jährlicher Review-Zyklus für alle Maßnahmen etablieren
- Tabletop-Exercises für Incident-Response durchführen
NIS2 vs. ISO 27001: Wo sind die Lücken?
Viele Unternehmen mit ISO-27001-Zertifizierung nehmen an, sie seien automatisch NIS2-compliant. Das ist ein gefährlicher Irrtum. ISO 27001 ist eine Grundlage, aber keine vollständige NIS2-Abdeckung:
| NIS2 Anforderung | ISO 27001 abgedeckt? | Lücke |
|---|---|---|
| Risikoanalyse und Sicherheitspolitik | ✅ Ja | Keine |
| 24h-Incident-Meldung | ⚠️ Teilweise | Operative Fähigkeit innerhalb 24h fehlt oft |
| Business Continuity | ✅ Ja | Meist abgedeckt |
| Lieferkettensicherheit | ⚠️ Teilweise | Kontinuierliches Monitoring, nicht nur Punkt-in-Zeit |
| Wirksamkeitsbewertung | ⚠️ Teilweise | Evidenz-on-Demand fehlt |
| Notfallkommunikation | ❌ Nein | Kein ISO-27001-Control |
| Leitungsverantwortung (Art. 20) | ⚠️ Teilweise | Formelle Billigung und Schulungsnachweis fehlt oft |
| Registrierung beim BSI | ❌ Nein | Behördliche Pflicht außerhalb ISO 27001 |
Fazit: Wer ISO 27001 hat, ist gut vorbereitet — aber nicht fertig. Die kritischen Lücken liegen im Operativen, nicht in der Dokumentation.
Zusammenfassung: Prioritäten für die Umsetzung
| Priorität | Anforderung | Status bei typischem ISMS |
|---|---|---|
| 🔴 Hoch | Vorfallsmeldung (24h-Fähigkeit) | Operative Lücke |
| 🔴 Hoch | Lieferkettensicherheit (kontinuierlich) | Operative Lücke |
| 🔴 Hoch | Wirksamkeitsnachweis (Evidenz-on-Demand) | Operative Lücke |
| 🟡 Mittel | Notfallkommunikation | Teilweise Lücke |
| 🟡 Mittel | Leitungsschulung (Nachweis) | Dokumentationslücke |
| 🟢 Niedrig | Risikoanalyse, BCM, Kryptographie etc. | ISMS abgedeckt |
Wie Orbiq bei NIS2 Anforderungen unterstützt
- Lieferkettenmonitoring: Kontinuierliche Überwachung aller relevanten Lieferanten
- Evidenzmanagement: Automatisierte Sammlung und sofortige Abrufbarkeit
- Trust Center: Externe Nachweisschicht für Kunden und Aufsichtsbehörden
- NIS2-native Architektur: Operative Anforderungen als Kerndesign
- EU-Datenhosting: Standardmäßig in der EU
Weiterführende Artikel
- NIS2 Compliance: Der vollständige Leitfaden
- Was ist NIS2?
- NIS2 Beratung: Was Sie wirklich brauchen
- NIS2 Checkliste: Was Ihr ISMS abdeckt und was nicht
- ISO 27001 ist nicht NIS2 Compliance
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.