Die NIS2-Richtlinie: Vollständiger Leitfaden zur Richtlinie (EU) 2022/2555
Die NIS2-Richtlinie (EU 2022/2555) ist das zentrale EU-Cybersicherheitsgesetz. Dieser Leitfaden erläutert Struktur, Schlüsselartikel, Umsetzungsstand in den Mitgliedstaaten, zuständige Behörden und das Verhältnis zu anderen EU-Cybersicherheitsgesetzen.
Die NIS2-Richtlinie: Vollständiger Leitfaden zur Richtlinie (EU) 2022/2555
Die NIS2-Richtlinie — offiziell Richtlinie (EU) 2022/2555 — ist das zentrale Cybersicherheitsgesetz der Europäischen Union. Am 14. Dezember 2022 verabschiedet und am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht (ABl. L 333), ersetzt sie die ursprüngliche NIS-Richtlinie und begründet verbindliche Cybersicherheitspflichten in 18 kritischen und wichtigen Sektoren.
Dieser Leitfaden behandelt die Richtlinie als Rechtsinstrument: ihre Struktur, Schlüsselartikel, den nationalen Umsetzungsstand und das Verhältnis zu anderen EU-Cybersicherheitsgesetzen.
Offizielle Angaben und Rechtsgrundlage
| Merkmal | Detail |
|---|---|
| Offizieller Titel | Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates |
| Kurzbezeichnung | NIS2-Richtlinie |
| Verabschiedung | 14. Dezember 2022 |
| Veröffentlichung | 27. Dezember 2022 |
| ABl.-Fundstelle | ABl. L 333 vom 27.12.2022, S. 80–152 |
| Inkrafttreten | 16. Januar 2023 |
| Umsetzungsfrist | 17. Oktober 2024 |
| Rechtsgrundlage | Artikel 114 AEUV (Binnenmarkt) |
| EUR-Lex-Kennung | 32022L2555 |
Die NIS2-Richtlinie hebt die Richtlinie (EU) 2016/1148 (ursprüngliche NIS-Richtlinie) auf und ersetzt sie. Als Richtlinie — im Unterschied zu einer Verordnung — bedurfte sie der Umsetzung in nationales Recht der Mitgliedstaaten. Dies erklärt, warum Zeitplan und nationale Ausgestaltung variieren, anders als etwa bei DORA, das als Verordnung unmittelbar gilt.
Warum die NIS2-Richtlinie geschaffen wurde
Die ursprüngliche NIS-Richtlinie (2016/1148) war das erste sektorübergreifende Cybersicherheitsgesetz der EU. Bis 2020 hatten sich ihre Mängel klar gezeigt:
- Fragmentierte Umsetzung: 27 Mitgliedstaaten, 27 unterschiedliche Compliance-Regime
- Zu enger Anwendungsbereich: Nur 7 Sektoren, erhebliche Lücken bei kritischer Infrastruktur
- Inkonsistente Durchsetzung: Keine Mindestbußgeldschwellen, in manchen Ländern faktisch symbolische Sanktionen
- Keine Lieferkettenanforderungen: SolarWinds- und Kaseya-Vorfälle verdeutlichten das Risiko einer rein internen Netzwerksicherheitsperspektive
- Keine Managementverantwortung: Cybersicherheit wurde als IT-Thema behandelt, nicht als Führungsaufgabe
Die Europäische Kommission leitete 2020 eine Überprüfung ein. Nach dem EU-Gesetzgebungsverfahren 2021–2022 wurde die Richtlinie im Dezember 2022 verabschiedet.
Struktur der Richtlinie
Die NIS2-Richtlinie enthält 46 Artikel in 7 Kapiteln und 2 Anhänge, eingeleitet von 144 Erwägungsgründen, die Gesetzgebungsabsicht und Kontext erläutern.
| Kapitel | Titel | Kernartikel |
|---|---|---|
| I | Allgemeine Bestimmungen | 1–6 (Gegenstand, Anwendungsbereich, Begriffsbestimmungen) |
| II | Risikomanagementmaßnahmen und Meldepflichten | 20–26 (die zentralen Anforderungen) |
| III | Zuständigkeit und Registrierung | 26–27 |
| IV | Europäisches Krisenmanagement | 15–16, 19 |
| V | Informationsaustausch | 29–30 |
| VI | Aufsicht und Durchsetzung | 31–36 |
| VII | Schlussbestimmungen | 37–46 (Umsetzung, Inkrafttreten, Aufhebung NIS1) |
Anhang I — Wesentliche Einrichtungen (hochkritische Sektoren)
Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung, Weltraum.
Anhang II — Wichtige Einrichtungen (sonstige kritische Sektoren)
Post- und Kurierdienste, Abfallbewirtschaftung, Herstellung/Erzeugung/Vertrieb chemischer Stoffe, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge), Anbieter digitaler Dienste, Forschungseinrichtungen.
Schlüsselartikel für Unternehmen
Artikel 20 — Governance
Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen:
- Risikomanagementmaßnahmen für Cybersicherheit genehmigen
- Deren Umsetzung überwachen
- Cybersicherheitsschulungen absolvieren
- Persönlich für Verstöße haften
Artikel 20 macht NIS2-Compliance zur Führungsaufgabe, nicht nur zu einer IT-Pflicht.
Artikel 21 — Risikomanagementmaßnahmen für die Cybersicherheit
Die zentrale operative Anforderung: Organisationen müssen 10 spezifische Maßnahmen umsetzen:
- Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
- Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
- Grundlegende Verfahren zur Cyberhygiene und Cybersicherheitsschulungen
- Konzepte für den Einsatz von Kryptografie und Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle, Asset-Management
- Multifaktor-Authentifizierung und kontinuierliche Authentifizierungslösungen
Die Maßnahmen müssen verhältnismäßig sein — abgestimmt auf Risikoeinstufung, Unternehmensgröße und die Wahrscheinlichkeit sowie den gesellschaftlichen und wirtschaftlichen Schaden von Sicherheitsvorfällen. Viele dieser zehn Maßnahmen lassen sich unmittelbar auf die Controls eines etablierten Informationssicherheits-Managementsystems abbilden — wer bereits nach ISO 27001 arbeitet, deckt einen erheblichen Teil der Anforderungen aus Artikel 21 bereits strukturiert ab. Maßnahme 1 verlangt faktisch ein dokumentiertes Risikomanagement-Framework; ISO/IEC 27005, abgestimmt auf das interoperable EU-Framework der ENISA, ist der gängigste Weg, sie zu erfüllen.
Artikel 23 — Meldepflichten
Bei einem erheblichen Sicherheitsvorfall muss die betroffene Einrichtung an das nationale CSIRT oder die zuständige Behörde melden:
| Frist | Meldung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung | Vermutete böswillige Ursache; mögliche grenzüberschreitende Auswirkungen |
| 72 Stunden | Meldung des Sicherheitsvorfalls | Aktualisierte Einschätzung, Schwere und Auswirkungen, Kompromittierungsindikatoren |
| 1 Monat | Abschlussbericht | Detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen |
Artikel 32–36 — Aufsicht und Durchsetzung
Wesentliche Einrichtungen unterliegen proaktiver Aufsicht (regelmäßige Audits, Vor-Ort-Prüfungen, Sicherheitsscans). Wichtige Einrichtungen unterliegen reaktiver Aufsicht (ausgelöst durch Vorfälle oder Hinweise auf Nichteinhaltung).
Bußgeldschwellen (Artikel 34):
- Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Nationaler Umsetzungsstand (März 2026)
Die Umsetzungsfrist war der 17. Oktober 2024. Viele Mitgliedstaaten haben diese Frist versäumt. Stand März 2026:
| Land | Status | Nationales Gesetz |
|---|---|---|
| Belgien | Umgesetzt | NIS2-Gesetz (2024) |
| Kroatien | Umgesetzt | Nationales Cybersicherheitsgesetz (2024) |
| Ungarn | Umgesetzt | Änderungen des Cybersicherheitsgesetzes |
| Lettland | Umgesetzt | Änderungen des IT-Sicherheitsgesetzes |
| Litauen | Umgesetzt | Cybersicherheitsgesetz |
| Deutschland | Umgesetzt | NIS2UmsuCG (BSI-Gesetz-Novelle, Dezember 2025) |
| Italien | Umgesetzt | Legislativdekret 138/2024 |
| Niederlande | In Bearbeitung | Änderung des Wbni in Vorbereitung |
| Frankreich | Teilweise | ANSSI-Durchführungsmaßnahmen laufend |
| Andere | Unterschiedlich | Laufende Gesetzgebungsverfahren |
Deutschland: Das NIS2UmsuCG trat im Dezember 2025 in Kraft. Deutsche Unternehmen müssen sich bis ca. April 2026 beim BSI registrieren. Erstes NIS2-Audit bis 30. Juni 2026.
Zuständige Behörden
Jeder Mitgliedstaat benennt eine oder mehrere zuständige Behörden für die NIS2-Aufsicht:
| Land | Behörde | Funktion |
|---|---|---|
| Deutschland | BSI (Bundesamt für Sicherheit in der Informationstechnik) | Aufsicht + nationales CSIRT |
| Frankreich | ANSSI (Agence nationale de la sécurité des systèmes d'information) | Aufsicht + nationales CSIRT |
| Niederlande | NCSC-NL + Sektorbehörden | Aufsicht; NCSC-NL = nationales CSIRT |
| Belgien | CCB (Centre for Cybersecurity Belgium) | Aufsicht + nationales CSIRT |
| Italien | ACN (Agenzia per la Cybersicurezza Nazionale) | Aufsicht + nationales CSIRT |
Organisationen müssen erhebliche Sicherheitsvorfälle an ihr nationales CSIRT melden und sich möglicherweise bei der zuständigen Behörde registrieren lassen.
NIS2-Richtlinie im Verhältnis zu anderen EU-Gesetzen
| Gesetz | Verhältnis zur NIS2-Richtlinie |
|---|---|
| DORA vs. NIS2 (Digital Operational Resilience Act) | Lex specialis für den Finanzsektor. Finanzeinrichtungen, die DORA unterliegen, gelten bezüglich gleichwertiger NIS2-Anforderungen als compliant. DORA ist eine Verordnung (unmittelbar anwendbar). |
| Cyber Resilience Act (CRA) | Gilt für Hersteller von Produkten mit digitalen Elementen. Ergänzt NIS2 auf Lieferkettenebene. CRA-Konformität kann zu den Anforderungen nach Artikel 21 Absatz 2 Buchstabe d NIS2 beitragen. Die September-2026-Meldepflicht ist die erste harte Durchsetzungsfrist für Produkthersteller. |
| DSGVO | Meldepflichten nach Artikel 23 NIS2 und nach Artikel 33 DSGVO können für denselben Vorfall gleichzeitig gelten. Unterschiedliche Fristen: NIS2 (24/72 Stunden), DSGVO (72 Stunden an Aufsichtsbehörde). |
| EU Cybersecurity Act | Stellt das Zertifizierungsrahmenwerk bereit, auf das Artikel 24 NIS2 verweist. |
Was die NIS2-Richtlinie für Ihr Unternehmen bedeutet
Die NIS2-Richtlinie verlangt operative Cybersicherheit, nicht nur dokumentierte Konzepte. Erwägungsgrund 79 stellt klar: Risikomanagementmaßnahmen müssen verhältnismäßig sein und tatsächliche Risikoexposition berücksichtigen. Erwägungsgrund 93 betont die direkte Eigentümerschaft der Leitungsorgane für Cybersicherheitsrisiken.
Für eine glaubwürdige Compliance-Umsetzung benötigen Organisationen:
- Funktionsfähige Erkennungs- und Meldeworkflows für die 24/72-Stunden-Fristen
- Lieferkettenmonitoring, das über jährliche Fragebögen hinausgeht
- Nachweismanagement, das eine prüfbare Compliance-Spur schafft
- Management-Schulungen und Governance, die Aufsicht auf Führungsebene belegen
Wenn Sie entscheiden müssen, welcher Tool-Stack diese operative Ebene tragen kann, starten Sie mit unserem NIS2-Software-Vergleich und unserem Vergleich von Compliance-Automatisierungs-Software, die EU-native Plattformen von US-first-Tools mit leichterer NIS2-Abdeckung trennen.
Wie Orbiq bei der NIS2-Compliance hilft
Orbiq adressiert die operativen Lücken, die NIS2-Compliance in der Praxis erschweren:
- Kontinuierliches Monitoring: Automatisierte Nachweiserhebung für alle 10 Maßnahmen nach Artikel 21
- Vendor Assurance: Zentralisierte Lieferantenbewertungen und kontinuierliches Third-Party-Monitoring
- Trust Center: Öffentlich zugängliches Compliance-Portal für Kunden, Prüfer und Behörden
- Nachweismanagement: Automatische Erfassung und Organisation von Compliance-Nachweisen
Im Unterschied zu US-amerikanischen Plattformen ist Orbiq von Grund auf für europäische Compliance konzipiert — mit EU-Datenspeicherung und direktem Verständnis der Anforderungen von BSI, ANSSI und anderen zuständigen Behörden.
Weiterführende NIS2-Artikel
- Was ist NIS2? Vollständiger Leitfaden zur EU-NIS2-Richtlinie
- NIS2-Compliance: Anforderungen und Umsetzung
- NIS2-Anforderungen: Vollständiger Leitfaden
- NIS2-Checkliste: Vollständige Anforderungen nach Artikel 21
- NIS2-Meldepflicht: Die 24-Stunden-Frist
- NIS2-Lieferkettensicherheit: Warum jährliche Bewertungen nicht ausreichen
- ISO 27001 ist keine NIS2-Compliance
Zuletzt aktualisiert März 2026. Der Umsetzungsstand wird laufend aktualisiert, wenn nationale Implementierungen Fortschritte machen.
Häufig gestellte Fragen
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Richtlinie EU 2022/2555) ist das zentrale Cybersicherheitsgesetz der Europäischen Union. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016/1148) und legt verbindliche Cybersicherheitspflichten für Organisationen in 18 kritischen und wichtigen Sektoren in allen EU-Mitgliedstaaten fest.
Wie lautet der offizielle Verweis auf die NIS2-Richtlinie?
Die NIS2-Richtlinie trägt offiziell den Titel 'Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union'. Sie wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht (ABl. L 333).
Welche Rechtsgrundlage hat die NIS2-Richtlinie?
Die NIS2-Richtlinie stützt sich auf Artikel 114 AEUV (Vertrag über die Arbeitsweise der EU), der die Verwirklichung und das Funktionieren des Binnenmarkts betrifft. Diese Rechtsgrundlage spiegelt das doppelte Ziel der Richtlinie wider: Harmonisierung der Cybersicherheitsstandards bei gleichzeitiger Reduzierung der Fragmentierung in der EU.
Welche Länder haben die NIS2-Richtlinie umgesetzt?
Stand Anfang 2026 haben mehrere EU-Mitgliedstaaten die Umsetzung abgeschlossen: Belgien, Kroatien, Ungarn, Lettland, Litauen und andere. Deutschland schloss die Umsetzung im Dezember 2025 mit dem NIS2UmsuCG (BSI-Gesetz-Novelle) ab. Viele andere befinden sich noch im Gesetzgebungsverfahren.
Wie viele Artikel hat die NIS2-Richtlinie?
Die NIS2-Richtlinie enthält 46 Artikel in 7 Kapiteln sowie 2 Anhänge. Die für Unternehmen wichtigsten Artikel sind Artikel 20 (Governance), Artikel 21 (Risikomanagementmaßnahmen), Artikel 23 (Meldepflichten) und Artikel 24 (europäische Cybersicherheitszertifizierungsschemata).
Wo finde ich den Text der NIS2-Richtlinie?
Den vollständigen Text der NIS2-Richtlinie finden Sie auf der EUR-Lex-Datenbank unter eur-lex.europa.eu. Suchen Sie nach '32022L2555' oder 'Richtlinie 2022/2555'. Das Dokument enthält alle 46 Artikel, 2 Anhänge (mit den betroffenen Sektoren) und 144 Erwägungsgründe, die die Gesetzgebungsabsicht erläutern.