NIS2 Compliance: So erreichen und halten Sie die Konformität (2026)
Praktischer Leitfaden für NIS2 Compliance — Anforderungen Schritt für Schritt, Gap-Analyse, Umsetzungs-Roadmap und benötigte Tools. Erfahren Sie, wie Ihr Unternehmen NIS2-konform wird und bleibt.
NIS2 Compliance: Der vollständige Leitfaden für europäische Unternehmen
Die NIS2-Richtlinie (Richtlinie 2022/2555) ist die bedeutendste Cybersicherheitsgesetzgebung der EU. Sie ersetzt die ursprüngliche NIS-Richtlinie mit erheblich erweitertem Anwendungsbereich, strengeren Anforderungen und wirksamen Durchsetzungsmechanismen. Wenn Ihr Unternehmen in der EU tätig ist, besteht eine hohe Wahrscheinlichkeit, dass NIS2 für Sie gilt.
Dieser Leitfaden behandelt alles: Wer ist betroffen, was müssen Sie tun, welche Fristen gelten, welche Sanktionen drohen und wie Sie ein Compliance-Programm aufbauen, das operativ funktioniert — nicht nur auf dem Papier.
Was ist NIS2?
NIS2 — die Richtlinie über Netz- und Informationssicherheit 2 — ist eine EU-Richtlinie, die Cybersicherheitspflichten für Organisationen in kritischen und wichtigen Sektoren festlegt. Am 14. Dezember 2022 verabschiedet und als Richtlinie 2022/2555 veröffentlicht, zielt sie auf ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union ab.
Die wesentlichen Neuerungen gegenüber der ersten NIS-Richtlinie:
- Breiterer Anwendungsbereich: 18 Sektoren statt 7
- Klarere Pflichten: Konkrete Risikomanagementmaßnahmen in Artikel 21
- Strenge Meldepflichten: 24-Stunden-Frühwarnung, 72-Stunden-Vollmeldung
- Fokus auf Lieferketten: Explizite Anforderungen an Drittparteien-Risikomanagement
- Geschäftsführerhaftung: Persönliche Haftung der Leitungsorgane
- Harmonisierte Sanktionen: Mindest-Bußgeldrahmen EU-weit
NIS2 in Deutschland: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG)
Da NIS2 eine Richtlinie ist, muss sie in nationales Recht umgesetzt werden. In Deutschland geschieht dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Status der Umsetzung
Deutschland hat die ursprüngliche Frist vom 17. Oktober 2024 nicht eingehalten. Das Gesetzgebungsverfahren war zum Zeitpunkt der Bundestagswahl 2025 noch nicht abgeschlossen. Der aktuelle Stand:
- Mehrere Referentenentwürfe und Kabinettsentwürfe wurden erstellt
- Das BSI (Bundesamt für Sicherheit in der Informationstechnik) wird als zentrale Aufsichtsbehörde fungieren
- Schätzungsweise 29.000 Unternehmen in Deutschland werden betroffen sein
- Der erweiterte Anwendungsbereich umfasst erstmals auch mittlere Unternehmen in vielen Sektoren
Was sich in Deutschland ändert
| Bereich | Bisher (BSIG/IT-SiG 2.0) | Künftig (NIS2UmsuCG) |
|---|---|---|
| Betroffene | ~4.500 KRITIS-Betreiber | ~29.000 Einrichtungen |
| Sektoren | 10 KRITIS-Sektoren | 18 Sektoren (wesentlich + wichtig) |
| Schwellenwerte | KRITIS-spezifische Schwellenwerte | 50+ MA oder 10 Mio.€+ Umsatz |
| Meldepflichten | Unverzüglich an BSI | 24h/72h/1 Monat gestaffelt |
| Sanktionen | Bis zu 2 Mio.€ | Bis zu 10 Mio.€ oder 2% Umsatz |
| Geschäftsführerhaftung | Nicht explizit | Persönliche Haftung |
Wer ist von NIS2 betroffen?
NIS2 teilt betroffene Organisationen in zwei Kategorien:
Wesentliche Einrichtungen (Anhang I)
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Erdöl, Erdgas, Wasserstoff, Fernwärme |
| Verkehr | Luft, Schiene, Wasser, Straße |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Gesundheitsdienstleister, Labore, Pharma, Medizinprodukte |
| Trinkwasser | Versorgung und Verteilung |
| Abwasser | Sammlung, Entsorgung, Behandlung |
| Digitale Infrastruktur | IXPs, DNS, TLD-Register, Cloud, Rechenzentren, CDNs |
| IKT-Dienstverwaltung (B2B) | Managed Service Provider, MSSPs |
| Öffentliche Verwaltung | Einrichtungen der Zentralregierung |
| Weltraum | Betreiber bodengestützter Infrastruktur |
Wichtige Einrichtungen (Anhang II)
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Zugelassene Anbieter |
| Abfallwirtschaft | Sammlung, Behandlung, Entsorgung |
| Chemie | Herstellung, Produktion, Vertrieb |
| Lebensmittel | Produktion, Verarbeitung, Vertrieb |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinenbau, Fahrzeuge |
| Digitale Anbieter | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Größenschwellen
NIS2 gilt grundsätzlich für Organisationen in den genannten Sektoren, die:
- Mittlere oder große Unternehmen sind: 50+ Beschäftigte oder 10 Mio.€+ Jahresumsatz
- Unabhängig von der Größe für bestimmte kritische Einrichtungen (qualifizierte Vertrauensdiensteanbieter, TLD-Register, DNS-Diensteanbieter)
Die zehn NIS2-Risikomanagementmaßnahmen
Artikel 21 Absatz 2 listet zehn spezifische Maßnahmen auf, die Organisationen umsetzen müssen:
1. Risikoanalyse und Sicherheit der Informationssysteme
Etablierung und Pflege von Konzepten für Risikoanalyse und Informationssystemsicherheit.
2. Bewältigung von Sicherheitsvorfällen
Verfahren zur Erkennung, Bewältigung und Bewertung von Sicherheitsvorfällen, einschließlich der 24/72-Stunden-Meldefristen.
3. Aufrechterhaltung des Betriebs und Krisenmanagement
Business Continuity, Backup-Management, Disaster Recovery und Krisenmanagement.
4. Sicherheit der Lieferkette
Sicherheit in den Beziehungen zu direkten Lieferanten und Diensteanbietern — einschließlich vertraglicher Anforderungen und kontinuierlichem Monitoring.
5. Sicherheit bei Erwerb, Entwicklung und Wartung
Sicherheitsmaßnahmen bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement.
6. Bewertung der Wirksamkeit
Konzepte und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen.
7. Cyberhygiene und Schulungen
Grundlegende Verfahren der Cyberhygiene und Cybersicherheitsschulungen für alle Mitarbeiter — einschließlich der Leitungsorgane.
8. Kryptografie und Verschlüsselung
Konzepte für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung.
9. Personalsicherheit und Zugriffskontrolle
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Anlagenmanagement.
10. Multi-Faktor-Authentifizierung
Verwendung von MFA, kontinuierlichen Authentifizierungslösungen und gesicherten Kommunikationssystemen.
NIS2-Meldepflichten
Die verschärften Meldefristen sind eine der wichtigsten Neuerungen:
| Frist | Anforderung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung an CSIRT/BSI | Ob der Vorfall auf rechtswidrige Handlungen zurückgeht; ob grenzüberschreitende Auswirkungen möglich sind |
| 72 Stunden | Vorfallsmeldung | Aktualisierte Bewertung, Schweregrad, Auswirkungen, Kompromittierungsindikatoren |
| 1 Monat | Abschlussbericht | Detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen |
NIS2-Sanktionen
Wesentliche Einrichtungen
- Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
- Vorübergehende Untersagung von Leitungsfunktionen
- Mögliche Aussetzung von Zertifizierungen oder Genehmigungen
Wichtige Einrichtungen
- Bußgelder bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
Geschäftsführerhaftung
Artikel 20 verpflichtet die Leitungsorgane ausdrücklich:
- Cybersicherheitsmaßnahmen zu genehmigen
- Deren Umsetzung zu überwachen
- Cybersicherheitsschulungen zu absolvieren
- Für Verstöße persönlich zu haften
Umsetzung: Praktischer Fahrplan
Schritt 1: Betroffenheit prüfen
Fallen Sie in einen der 18 Sektoren und erfüllen Sie die Größenschwellen? Prüfen Sie Ihre NACE-Codes und Unternehmenskennzahlen.
Schritt 2: Einrichtungstyp bestimmen
Wesentliche oder wichtige Einrichtung? Dies bestimmt das Aufsichtsregime und den Bußgeldrahmen.
Schritt 3: Gap-Analyse durchführen
Bewerten Sie Ihre aktuelle Sicherheitslage anhand der zehn Artikel-21-Maßnahmen. Typische Lücken: Vorfallsmeldung, Lieferkettensicherheit, Nachweisfähigkeit.
Schritt 4: Compliance-Programm aufbauen
Fokus auf die operativen Lücken: Meldeabläufe, Supply-Chain-Monitoring, Evidenzmanagement, Schulungen der Geschäftsführung.
Schritt 5: Kontinuierliche Compliance etablieren
NIS2 Compliance ist kein einmaliges Projekt. Implementieren Sie Systeme für kontinuierliche Evidenzsammlung und Compliance-Monitoring.
NIS2 vs ISO 27001: Zusammenspiel und Unterschiede
| Aspekt | ISO 27001 | NIS2 |
|---|---|---|
| Art | Freiwilliger internationaler Standard | Verbindliche EU-Regulierung |
| Vorfallsmeldung | Interne Verfahren | 24/72h-Meldung an Behörden |
| Lieferkette | Risikobewertung | Kontinuierliches Monitoring + Vertragspflichten |
| Sanktionen | Verlust der Zertifizierung | Bis zu 10 Mio.€ / 2% Umsatz + persönliche Haftung |
| Nachweis | Auditbasiert (jährlich) | Kontinuierliche Nachweisfähigkeit |
| Geschäftsführung | Management Commitment | Persönliche Haftung |
Wie Orbiq bei NIS2 Compliance unterstützt
Orbiq ist als europäische Plattform für Compliance und Trust Center von Grund auf konzipiert:
- Lieferkettensicherheit: Zentrale Verwaltung von Lieferantenbewertungen, automatisierte Fragebogenverteilung, kontinuierliches Monitoring
- Evidenzmanagement: Automatische Sammlung und Organisation von Compliance-Nachweisen
- Compliance-Übersicht: Echtzeit-Dashboards zum Status aller zehn Artikel-21-Maßnahmen
- Trust Center: Öffentlich zugängliches Portal zur Darstellung Ihres Compliance-Status
- EU-Datenhaltung: Daten verbleiben in der EU — DSGVO-nativ, nicht nachträglich angepasst
Wenn Sie EU-Compliance-Software für mehrere Frameworks vergleichen (NIS2, DORA, DSGVO, CRA), finden Sie in unserem EU-Compliance-Software-Kaufleitfaden einen strukturierten Bewertungsrahmen.
Weiterführende Artikel
- NIS2-Richtlinie: Vollständiger Leitfaden zur Richtlinie (EU) 2022/2555
- NIS2 Anforderungen: Alle Pflichten im Überblick
- NIS2 Checkliste: Artikel 21 im Detail
- NIS2 Meldepflicht: Die 24-Stunden-Frist
- NIS2 Lieferkettensicherheit
- ISO 27001 ist nicht NIS2 Compliance
- NIS2 betroffen — operative Lücken im ISMS
Dieser Leitfaden wird vom Orbiq-Team gepflegt und aktualisiert, sobald die nationale Umsetzung voranschreitet. Letzte Aktualisierung: März 2026.
Häufig gestellte Fragen
Was ist NIS2 Compliance?
NIS2 Compliance bedeutet die Erfüllung der Anforderungen der EU-Richtlinie über Netz- und Informationssicherheit 2 (Richtlinie 2022/2555). Betroffene Einrichtungen müssen Risikomanagementmaßnahmen für Cybersicherheit umsetzen, Sicherheitsvorfälle innerhalb strenger Fristen melden und die Sicherheit ihrer Lieferkette gewährleisten.
Wer muss NIS2 umsetzen?
NIS2 gilt für mittlere und große Unternehmen in 18 Sektoren in der EU. Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen (Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung, Weltraum) und wichtigen Einrichtungen (Post, Abfall, Chemie, Lebensmittel, Fertigung, digitale Anbieter, Forschung). Unternehmen mit 50+ Mitarbeitern oder 10 Mio.€+ Umsatz in diesen Sektoren fallen typischerweise in den Anwendungsbereich.
Was ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG)?
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die deutsche Umsetzung der NIS2-Richtlinie in nationales Recht. Es überführt die EU-Anforderungen in das deutsche Rechtsystem und erweitert den Kreis der betroffenen Einrichtungen erheblich auf schätzungsweise 29.000 Unternehmen in Deutschland.
Welche Strafen drohen bei NIS2-Verstößen?
Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes. Geschäftsführer können persönlich haftbar gemacht werden und vorübergehend von Leitungsfunktionen ausgeschlossen werden.
Reicht ISO 27001 für NIS2 Compliance?
ISO 27001 bietet eine solide Grundlage, reicht aber allein nicht für NIS2 Compliance. NIS2 stellt spezifische operative Anforderungen, die über ISO 27001 hinausgehen — insbesondere bei der Vorfallsmeldung (24/72-Stunden-Fristen), Lieferkettensicherheit (kontinuierliches Monitoring) und Nachweispflichten. Ein ISO 27001 ISMS deckt typischerweise etwa 70% der NIS2-Anforderungen auf Dokumentationsebene ab.
Was bedeutet NIS2 für die Geschäftsführung?
NIS2 verpflichtet die Leitungsorgane (Geschäftsführer, Vorstände) persönlich: Sie müssen Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen, Cybersicherheitsschulungen absolvieren und können bei Verstößen persönlich haftbar gemacht werden. Diese persönliche Haftung ist eine wesentliche Neuerung gegenüber der alten NIS-Richtlinie.
Wie hilft ein Trust Center bei NIS2?
Ein Trust Center wie Orbiq unterstützt NIS2 Compliance durch zentrale Dokumentation des Compliance-Status, automatisierte Evidenzsammlung, Management von Lieferanten-Sicherheitsfragebögen, Echtzeit-Compliance-Monitoring und einen auditierbaren Nachweis der Sicherheitslage. Es macht Compliance von einer punktuellen Übung zu einer kontinuierlichen operativen Fähigkeit.