Die NIS2-Richtlinie: Vollständiger Leitfaden zur Richtlinie (EU) 2022/2555
Die NIS2-Richtlinie (EU 2022/2555) ist das zentrale EU-Cybersicherheitsgesetz. Dieser Leitfaden erläutert Struktur, Schlüsselartikel, Umsetzungsstand in den Mitgliedstaaten, zuständige Behörden und das Verhältnis zu anderen EU-Cybersicherheitsgesetzen.
Die NIS2-Richtlinie: Vollständiger Leitfaden zur Richtlinie (EU) 2022/2555
Die NIS2-Richtlinie — offiziell Richtlinie (EU) 2022/2555 — ist das zentrale Cybersicherheitsgesetz der Europäischen Union. Am 14. Dezember 2022 verabschiedet und am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht (ABl. L 333), ersetzt sie die ursprüngliche NIS-Richtlinie und begründet verbindliche Cybersicherheitspflichten in 18 kritischen und wichtigen Sektoren.
Dieser Leitfaden behandelt die Richtlinie als Rechtsinstrument: ihre Struktur, Schlüsselartikel, den nationalen Umsetzungsstand und das Verhältnis zu anderen EU-Cybersicherheitsgesetzen.
Offizielle Angaben und Rechtsgrundlage
| Merkmal | Detail |
|---|---|
| Offizieller Titel | Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates |
| Kurzbezeichnung | NIS2-Richtlinie |
| Verabschiedung | 14. Dezember 2022 |
| Veröffentlichung | 27. Dezember 2022 |
| ABl.-Fundstelle | ABl. L 333 vom 27.12.2022, S. 80–152 |
| Inkrafttreten | 16. Januar 2023 |
| Umsetzungsfrist | 17. Oktober 2024 |
| Rechtsgrundlage | Artikel 114 AEUV (Binnenmarkt) |
| EUR-Lex-Kennung | 32022L2555 |
Die NIS2-Richtlinie hebt die Richtlinie (EU) 2016/1148 (ursprüngliche NIS-Richtlinie) auf und ersetzt sie. Als Richtlinie — im Unterschied zu einer Verordnung — bedurfte sie der Umsetzung in nationales Recht der Mitgliedstaaten. Dies erklärt, warum Zeitplan und nationale Ausgestaltung variieren, anders als etwa bei DORA, das als Verordnung unmittelbar gilt.
Warum die NIS2-Richtlinie geschaffen wurde
Die ursprüngliche NIS-Richtlinie (2016/1148) war das erste sektorübergreifende Cybersicherheitsgesetz der EU. Bis 2020 hatten sich ihre Mängel klar gezeigt:
- Fragmentierte Umsetzung: 27 Mitgliedstaaten, 27 unterschiedliche Compliance-Regime
- Zu enger Anwendungsbereich: Nur 7 Sektoren, erhebliche Lücken bei kritischer Infrastruktur
- Inkonsistente Durchsetzung: Keine Mindestbußgeldschwellen, in manchen Ländern faktisch symbolische Sanktionen
- Keine Lieferkettenanforderungen: SolarWinds- und Kaseya-Vorfälle verdeutlichten das Risiko einer rein internen Netzwerksicherheitsperspektive
- Keine Managementverantwortung: Cybersicherheit wurde als IT-Thema behandelt, nicht als Führungsaufgabe
Die Europäische Kommission leitete 2020 eine Überprüfung ein. Nach dem EU-Gesetzgebungsverfahren 2021–2022 wurde die Richtlinie im Dezember 2022 verabschiedet.
Struktur der Richtlinie
Die NIS2-Richtlinie enthält 46 Artikel in 7 Kapiteln und 2 Anhänge, eingeleitet von 144 Erwägungsgründen, die Gesetzgebungsabsicht und Kontext erläutern.
| Kapitel | Titel | Kernartikel |
|---|---|---|
| I | Allgemeine Bestimmungen | 1–6 (Gegenstand, Anwendungsbereich, Begriffsbestimmungen) |
| II | Risikomanagementmaßnahmen und Meldepflichten | 20–26 (die zentralen Anforderungen) |
| III | Zuständigkeit und Registrierung | 26–27 |
| IV | Europäisches Krisenmanagement | 15–16, 19 |
| V | Informationsaustausch | 29–30 |
| VI | Aufsicht und Durchsetzung | 31–36 |
| VII | Schlussbestimmungen | 37–46 (Umsetzung, Inkrafttreten, Aufhebung NIS1) |
Anhang I — Wesentliche Einrichtungen (hochkritische Sektoren)
Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung, Weltraum.
Anhang II — Wichtige Einrichtungen (sonstige kritische Sektoren)
Post- und Kurierdienste, Abfallbewirtschaftung, Herstellung/Erzeugung/Vertrieb chemischer Stoffe, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge), Anbieter digitaler Dienste, Forschungseinrichtungen.
Schlüsselartikel für Unternehmen
Artikel 20 — Governance
Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen:
- Risikomanagementmaßnahmen für Cybersicherheit genehmigen
- Deren Umsetzung überwachen
- Cybersicherheitsschulungen absolvieren
- Persönlich für Verstöße haften
Artikel 20 macht NIS2-Compliance zur Führungsaufgabe, nicht nur zu einer IT-Pflicht.
Artikel 21 — Risikomanagementmaßnahmen für die Cybersicherheit
Die zentrale operative Anforderung: Organisationen müssen 10 spezifische Maßnahmen umsetzen:
- Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
- Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
- Grundlegende Verfahren zur Cyberhygiene und Cybersicherheitsschulungen
- Konzepte für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle, Asset-Management
- Multifaktor-Authentifizierung und kontinuierliche Authentifizierungslösungen
Die Maßnahmen müssen verhältnismäßig sein — abgestimmt auf Risikoeinstufung, Unternehmensgröße und die Wahrscheinlichkeit sowie den gesellschaftlichen und wirtschaftlichen Schaden von Sicherheitsvorfällen.
Artikel 23 — Meldepflichten
Bei einem erheblichen Sicherheitsvorfall muss die betroffene Einrichtung an das nationale CSIRT oder die zuständige Behörde melden:
| Frist | Meldung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung | Vermutete böswillige Ursache; mögliche grenzüberschreitende Auswirkungen |
| 72 Stunden | Meldung des Sicherheitsvorfalls | Aktualisierte Einschätzung, Schwere und Auswirkungen, Kompromittierungsindikatoren |
| 1 Monat | Abschlussbericht | Detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen |
Artikel 32–36 — Aufsicht und Durchsetzung
Wesentliche Einrichtungen unterliegen proaktiver Aufsicht (regelmäßige Audits, Vor-Ort-Prüfungen, Sicherheitsscans). Wichtige Einrichtungen unterliegen reaktiver Aufsicht (ausgelöst durch Vorfälle oder Hinweise auf Nichteinhaltung).
Bußgeldschwellen (Artikel 34):
- Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Nationaler Umsetzungsstand (März 2026)
Die Umsetzungsfrist war der 17. Oktober 2024. Viele Mitgliedstaaten haben diese Frist versäumt. Stand März 2026:
| Land | Status | Nationales Gesetz |
|---|---|---|
| Belgien | Umgesetzt | NIS2-Gesetz (2024) |
| Kroatien | Umgesetzt | Nationales Cybersicherheitsgesetz (2024) |
| Ungarn | Umgesetzt | Änderungen des Cybersicherheitsgesetzes |
| Lettland | Umgesetzt | Änderungen des IT-Sicherheitsgesetzes |
| Litauen | Umgesetzt | Cybersicherheitsgesetz |
| Deutschland | Umgesetzt | NIS2UmsuCG (BSI-Gesetz-Novelle, Dezember 2025) |
| Italien | Umgesetzt | Legislativdekret 138/2024 |
| Niederlande | In Bearbeitung | Änderung des Wbni in Vorbereitung |
| Frankreich | Teilweise | ANSSI-Durchführungsmaßnahmen laufend |
| Andere | Unterschiedlich | Laufende Gesetzgebungsverfahren |
Deutschland: Das NIS2UmsuCG trat im Dezember 2025 in Kraft. Deutsche Unternehmen müssen sich bis ca. April 2026 beim BSI registrieren. Erstes NIS2-Audit bis 30. Juni 2026.
Zuständige Behörden
Jeder Mitgliedstaat benennt eine oder mehrere zuständige Behörden für die NIS2-Aufsicht:
| Land | Behörde | Funktion |
|---|---|---|
| Deutschland | BSI (Bundesamt für Sicherheit in der Informationstechnik) | Aufsicht + nationales CSIRT |
| Frankreich | ANSSI (Agence nationale de la sécurité des systèmes d'information) | Aufsicht + nationales CSIRT |
| Niederlande | NCSC-NL + Sektorbehörden | Aufsicht; NCSC-NL = nationales CSIRT |
| Belgien | CCB (Centre for Cybersecurity Belgium) | Aufsicht + nationales CSIRT |
| Italien | ACN (Agenzia per la Cybersicurezza Nazionale) | Aufsicht + nationales CSIRT |
Organisationen müssen erhebliche Sicherheitsvorfälle an ihr nationales CSIRT melden und sich möglicherweise bei der zuständigen Behörde registrieren lassen.
NIS2-Richtlinie im Verhältnis zu anderen EU-Gesetzen
| Gesetz | Verhältnis zur NIS2-Richtlinie |
|---|---|
| DORA vs. NIS2 (Digital Operational Resilience Act) | Lex specialis für den Finanzsektor. Finanzeinrichtungen, die DORA unterliegen, gelten bezüglich gleichwertiger NIS2-Anforderungen als compliant. DORA ist eine Verordnung (unmittelbar anwendbar). |
| Cyber Resilience Act (CRA) | Gilt für Hersteller von Produkten mit digitalen Elementen. Ergänzt NIS2 auf Lieferkettenebene. CRA-Konformität kann zu den Anforderungen nach Artikel 21 Absatz 2 Buchstabe d NIS2 beitragen. Die September-2026-Meldepflicht ist die erste harte Durchsetzungsfrist für Produkthersteller. |
| DSGVO | Meldepflichten nach Artikel 23 NIS2 und nach Artikel 33 DSGVO können für denselben Vorfall gleichzeitig gelten. Unterschiedliche Fristen: NIS2 (24/72 Stunden), DSGVO (72 Stunden an Aufsichtsbehörde). |
| EU Cybersecurity Act | Stellt das Zertifizierungsrahmenwerk bereit, auf das Artikel 24 NIS2 verweist. |
Was die NIS2-Richtlinie für Ihr Unternehmen bedeutet
Die NIS2-Richtlinie verlangt operative Cybersicherheit, nicht nur dokumentierte Konzepte. Erwägungsgrund 79 stellt klar: Risikomanagementmaßnahmen müssen verhältnismäßig sein und tatsächliche Risikoexposition berücksichtigen. Erwägungsgrund 93 betont die direkte Eigentümerschaft der Leitungsorgane für Cybersicherheitsrisiken.
Für eine glaubwürdige Compliance-Umsetzung benötigen Organisationen:
- Funktionsfähige Erkennungs- und Meldeworkflows für die 24/72-Stunden-Fristen
- Lieferkettenmonitoring, das über jährliche Fragebögen hinausgeht
- Nachweismanagement, das eine prüfbare Compliance-Spur schafft
- Management-Schulungen und Governance, die Aufsicht auf Führungsebene belegen
Wenn Sie entscheiden müssen, welcher Tool-Stack diese operative Ebene tragen kann, starten Sie mit unserem Vergleich von Compliance-Automatisierungs-Software, der EU-native Plattformen von US-first-Tools mit leichterer NIS2-Abdeckung trennt.
Wie Orbiq bei der NIS2-Compliance hilft
Orbiq adressiert die operativen Lücken, die NIS2-Compliance in der Praxis erschweren:
- Kontinuierliches Monitoring: Automatisierte Nachweiserhebung für alle 10 Maßnahmen nach Artikel 21
- Vendor Assurance: Zentralisierte Lieferantenbewertungen und kontinuierliches Third-Party-Monitoring
- Trust Center: Öffentlich zugängliches Compliance-Portal für Kunden, Prüfer und Behörden
- Nachweismanagement: Automatische Erfassung und Organisation von Compliance-Nachweisen
Im Unterschied zu US-amerikanischen Plattformen ist Orbiq von Grund auf für europäische Compliance konzipiert — mit EU-Datenspeicherung und direktem Verständnis der Anforderungen von BSI, ANSSI und anderen zuständigen Behörden.
Weiterführende NIS2-Artikel
- Was ist NIS2? Vollständiger Leitfaden zur EU-NIS2-Richtlinie
- NIS2-Compliance: Anforderungen und Umsetzung
- NIS2-Anforderungen: Vollständiger Leitfaden
- NIS2-Checkliste: Vollständige Anforderungen nach Artikel 21
- NIS2-Meldepflicht: Die 24-Stunden-Frist
- NIS2-Lieferkettensicherheit: Warum jährliche Bewertungen nicht ausreichen
- ISO 27001 ist keine NIS2-Compliance
Zuletzt aktualisiert März 2026. Der Umsetzungsstand wird laufend aktualisiert, wenn nationale Implementierungen Fortschritte machen.