Die NIS2-Richtlinie: Vollständiger Leitfaden zur Richtlinie (EU) 2022/2555

Die NIS2-Richtlinie: Vollständiger Leitfaden zur Richtlinie (EU) 2022/2555

Die NIS2-Richtlinie — offiziell Richtlinie (EU) 2022/2555 — ist das zentrale Cybersicherheitsgesetz der Europäischen Union. Am 14. Dezember 2022 verabschiedet und am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht (ABl. L 333), ersetzt sie die ursprüngliche NIS-Richtlinie und begründet verbindliche Cybersicherheitspflichten in 18 kritischen und wichtigen Sektoren.

Dieser Leitfaden behandelt die Richtlinie als Rechtsinstrument: ihre Struktur, Schlüsselartikel, den nationalen Umsetzungsstand und das Verhältnis zu anderen EU-Cybersicherheitsgesetzen.

---

Offizielle Angaben und Rechtsgrundlage

Merkmal	Detail
Offizieller Titel	Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates
Kurzbezeichnung	NIS2-Richtlinie
Verabschiedung	14. Dezember 2022
Veröffentlichung	27. Dezember 2022
ABl.-Fundstelle	ABl. L 333 vom 27.12.2022, S. 80–152
Inkrafttreten	16. Januar 2023
Umsetzungsfrist	17. Oktober 2024
Rechtsgrundlage	Artikel 114 AEUV (Binnenmarkt)
EUR-Lex-Kennung	32022L2555

Die NIS2-Richtlinie hebt die Richtlinie (EU) 2016/1148 (ursprüngliche NIS-Richtlinie) auf und ersetzt sie. Als Richtlinie — im Unterschied zu einer Verordnung — bedurfte sie der Umsetzung in nationales Recht der Mitgliedstaaten. Dies erklärt, warum Zeitplan und nationale Ausgestaltung variieren, anders als etwa bei DORA, das als Verordnung unmittelbar gilt.

---

Warum die NIS2-Richtlinie geschaffen wurde

Die ursprüngliche NIS-Richtlinie (2016/1148) war das erste sektorübergreifende Cybersicherheitsgesetz der EU. Bis 2020 hatten sich ihre Mängel klar gezeigt:

• Fragmentierte Umsetzung: 27 Mitgliedstaaten, 27 unterschiedliche Compliance-Regime
• Zu enger Anwendungsbereich: Nur 7 Sektoren, erhebliche Lücken bei kritischer Infrastruktur
• Inkonsistente Durchsetzung: Keine Mindestbußgeldschwellen, in manchen Ländern faktisch symbolische Sanktionen
• Keine Lieferkettenanforderungen: SolarWinds- und Kaseya-Vorfälle verdeutlichten das Risiko einer rein internen Netzwerksicherheitsperspektive
• Keine Managementverantwortung: Cybersicherheit wurde als IT-Thema behandelt, nicht als Führungsaufgabe

Die Europäische Kommission leitete 2020 eine Überprüfung ein. Nach dem EU-Gesetzgebungsverfahren 2021–2022 wurde die Richtlinie im Dezember 2022 verabschiedet.

---

Struktur der Richtlinie

Die NIS2-Richtlinie enthält 46 Artikel in 7 Kapiteln und 2 Anhänge, eingeleitet von 144 Erwägungsgründen, die Gesetzgebungsabsicht und Kontext erläutern.

Kapitel	Titel	Kernartikel
I	Allgemeine Bestimmungen	1–6 (Gegenstand, Anwendungsbereich, Begriffsbestimmungen)
II	Risikomanagementmaßnahmen und Meldepflichten	20–26 (die zentralen Anforderungen)
III	Zuständigkeit und Registrierung	26–27
IV	Europäisches Krisenmanagement	15–16, 19
V	Informationsaustausch	29–30
VI	Aufsicht und Durchsetzung	31–36
VII	Schlussbestimmungen	37–46 (Umsetzung, Inkrafttreten, Aufhebung NIS1)

Die Anhänge definieren die Sektoren über eine Beschreibung, nicht über einen statistischen Code. In der Praxis ordnen die nationalen Umsetzungsgesetze und die ENISA-Leitlinien jeden Sektor den Wirtschaftszweigcodes NACE Rev. 2 zu, damit Organisationen ihren Anwendungsbereich bestätigen können. Die nachstehenden Tabellen verknüpfen jeden NIS2-Sektor mit seiner indikativen NACE-Fundstelle.

Anhang I — Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Sektor	Teilsektoren (Beispiele)	Indikativer NACE Rev. 2
Energie	Elektrizität, Fernwärme/-kälte, Öl, Gas, Wasserstoff	D35; C19; B06
Verkehr	Luft, Schiene, Wasser, Straße	H49–H51
Bankwesen	Kreditinstitute	K64.19
Finanzmarktinfrastrukturen	Handelsplätze, zentrale Gegenparteien	K64.99; K66
Gesundheitswesen	Gesundheitsdienstleister, EU-Referenzlabore, Arzneimittelherstellung	Q86; C21
Trinkwasser	Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch	E36
Abwasser	Sammlung, Ableitung, Behandlung von kommunalem/industriellem Abwasser	E37
Digitale Infrastruktur	IXPs, DNS, TLD-Registries, Cloud, Rechenzentren, CDNs, Vertrauensdiensteanbieter, elektronische Kommunikation	J61–J63
Verwaltung von IKT-Diensten (B2B)	Managed Service Provider, Managed Security Service Provider	J62
Öffentliche Verwaltung	Zentrale und (sofern benannt) regionale Verwaltung	O84
Weltraum	Betreiber bodengestützter Infrastruktur zur Unterstützung von Weltraumdiensten	H51; M71

Anhang II — Sonstige kritische Sektoren (wichtige Einrichtungen)

Sektor	Teilsektoren (Beispiele)	Indikativer NACE Rev. 2
Post- und Kurierdienste	Postdiensteanbieter, Kurier-/Paketzustellung	H53
Abfallbewirtschaftung	Sammlung, Behandlung, Beseitigung von Abfällen	E38
Chemische Stoffe	Herstellung, Erzeugung, Vertrieb	C20; G46.75
Lebensmittel	Produktion, Verarbeitung, Vertrieb	C10; G46.3
Verarbeitendes Gewerbe	Medizinprodukte, Computer-/Elektronik-/Optikprodukte, elektrische Ausrüstung, Maschinen, Kraftfahrzeuge, sonstige Fahrzeuge	C26; C27; C28; C29; C30; C32.5
Anbieter digitaler Dienste	Online-Marktplätze, Suchmaschinen, soziale Netzwerke	J63
Forschung	Forschungseinrichtungen	M72

Die NACE-Fundstellen sind indikativ. Der rechtlich verbindliche Anwendungsbereich ergibt sich aus der Sektorbeschreibung in den Anhängen I und II in Verbindung mit den Anwendungsbereichsregeln des Artikels 2 und Ihrem nationalen Umsetzungsgesetz — nicht aus dem NACE-Code allein.

---

Schlüsselartikel für Unternehmen

Artikel 20 — Governance

Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen:

• Risikomanagementmaßnahmen für Cybersicherheit genehmigen
• Deren Umsetzung überwachen
• Cybersicherheitsschulungen absolvieren
• Persönlich für Verstöße haften

Artikel 20 macht NIS2-Compliance zur Führungsaufgabe, nicht nur zu einer IT-Pflicht.

Artikel 21 — Risikomanagementmaßnahmen für die Cybersicherheit

Die zentrale operative Anforderung: Organisationen müssen 10 spezifische Maßnahmen umsetzen:

1. Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
2. Bewältigung von Sicherheitsvorfällen
3. Aufrechterhaltung des Betriebs und Krisenmanagement
4. Sicherheit der Lieferkette
5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
6. Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
7. Grundlegende Verfahren zur Cyberhygiene und Cybersicherheitsschulungen
8. Konzepte für den Einsatz von Kryptografie und Verschlüsselung
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle, Asset-Management
10. Multifaktor-Authentifizierung und kontinuierliche Authentifizierungslösungen

Die Maßnahmen müssen verhältnismäßig sein — abgestimmt auf Risikoeinstufung, Unternehmensgröße und die Wahrscheinlichkeit sowie den gesellschaftlichen und wirtschaftlichen Schaden von Sicherheitsvorfällen. Viele dieser zehn Maßnahmen lassen sich unmittelbar auf die Controls eines etablierten Informationssicherheits-Managementsystems abbilden — wer bereits nach ISO 27001 arbeitet, deckt einen erheblichen Teil der Anforderungen aus Artikel 21 bereits strukturiert ab. Maßnahme 1 verlangt faktisch ein dokumentiertes Risikomanagement-Framework; ISO/IEC 27005, abgestimmt auf das interoperable EU-Framework der ENISA, ist der gängigste Weg, sie zu erfüllen.

Zuordnung der Artikel-21-Maßnahmen zu ISO 27001:2022 Anhang A

Die meisten Organisationen, die bereits ein ISO-27001-ISMS betreiben, können den Großteil von Artikel 21 anhand bestehender Controls aus Anhang A nachweisen. ISO 27001 ist ein starkes Fundament, aber nicht automatisch gleichbedeutend mit NIS2-Compliance — NIS2 ergänzt die Governance-Haftung (Artikel 20), die gesetzliche Meldepflicht (Artikel 23) und die aufsichtsrechtliche Registrierung, die außerhalb der Norm liegen (siehe ISO 27001 ist keine NIS2-Compliance). Die folgende Zuordnung zeigt die relevantesten Controls aus Anhang A (ISO/IEC 27002:2022) für jede Maßnahme.

Maßnahme nach Artikel 21(2)	Relevanteste Controls aus ISO/IEC 27001:2022 Anhang A
(a) Risikoanalyse & Sicherheitskonzepte	A.5.1, A.5.9, A.5.12, A.5.35 (Abschnitte 6.1.2–6.1.3)
(b) Bewältigung von Sicherheitsvorfällen	A.5.24–A.5.28, A.6.8, A.8.15, A.8.16
(c) Betriebskontinuität, Backup & Krisenmanagement	A.5.29, A.5.30, A.8.13, A.8.14
(d) Lieferkettensicherheit	A.5.19, A.5.20, A.5.21, A.5.22, A.5.23
(e) Sicherheit bei Erwerb, Entwicklung & Wartung	A.8.8, A.8.9, A.8.19, A.8.25, A.8.28
(f) Wirksamkeitsbewertung	A.5.35, A.5.36 (Abschnitte 9.1, 9.2, 9.3)
(g) Cyberhygiene & Schulungen	A.5.15, A.6.3, A.8.7, A.8.8 (Abschnitt 7.3)
(h) Kryptografie & Verschlüsselung	A.8.24
(i) Personalsicherheit, Zugriffskontrolle & Asset-Management	A.6.1–A.6.6, A.5.15–A.5.18, A.5.9–A.5.11
(j) MFA & gesicherte Kommunikation	A.5.16, A.5.17, A.8.5, A.5.14

Die Multifaktor-Authentifizierung (Maßnahme j) wird in ISO 27001 nicht ausdrücklich genannt, ist aber die risikobasierte Standardumsetzung von A.8.5 (sichere Authentifizierung). Die Lücke, die ISO 27001 nicht schließt — und die Aufsichtsbehörden prüfen werden — ist die gesetzliche und Governance-Ebene: die Managementschulung und -haftung nach Artikel 20, die Meldeworkflows nach Artikel 23 sowie die nationale Registrierung.

Artikel 23 — Meldepflichten

Bei einem erheblichen Sicherheitsvorfall muss die betroffene Einrichtung an das nationale CSIRT oder die zuständige Behörde melden:

Frist	Meldung	Inhalt
24 Stunden	Frühwarnung	Vermutete böswillige Ursache; mögliche grenzüberschreitende Auswirkungen
72 Stunden	Meldung des Sicherheitsvorfalls	Aktualisierte Einschätzung, Schwere und Auswirkungen, Kompromittierungsindikatoren
1 Monat	Abschlussbericht	Detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen

Artikel 32–36 — Aufsicht und Durchsetzung

Wesentliche Einrichtungen unterliegen proaktiver Aufsicht (regelmäßige Audits, Vor-Ort-Prüfungen, Sicherheitsscans). Wichtige Einrichtungen unterliegen reaktiver Aufsicht (ausgelöst durch Vorfälle oder Hinweise auf Nichteinhaltung).

Bußgeldschwellen (Artikel 34):

• Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

---

Nationaler Umsetzungsstand und Durchsetzungsrealität 2026

Die Umsetzungsfrist war der 17. Oktober 2024. Nur wenige Mitgliedstaaten hielten sie ein; die meisten verfehlten sie. Die wichtigste Entwicklung ist keine einzelne Ländertabelle, die schnell veraltet, sondern das Durchsetzungsmuster, das bis Mitte 2026 den Europäischen Gerichtshof erreicht hat:

• 28. November 2024: Die Europäische Kommission leitete Vertragsverletzungsverfahren (Aufforderungsschreiben) gegen 23 Mitgliedstaaten ein, die NIS2 nicht vollständig umgesetzt hatten.
• 7. Mai 2025: Die Kommission richtete mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten, die die vollständige Umsetzung noch immer nicht notifiziert hatten.
• 2026: Die Kommission eskalierte die langsamsten Fälle in Richtung Europäischer Gerichtshof (EuGH) — die letzte Stufe des Vertragsverletzungsverfahrens und die einzige, die einem Mitgliedstaat Pauschalbeträge und tägliche Zwangsgelder auferlegen kann. Frankreich und Spanien wurden unter den wegen Nichtumsetzung verwiesenen Staaten genannt.
• Sachstand Mitte 2026: Rund 20 Mitgliedstaaten haben nationale NIS2-Gesetze verabschiedet oder in Kraft gesetzt, eine Minderheit ist noch ausstehend. Luxemburg etwa setzte NIS2 mit seinem Gesetz vom 5. Mai 2026 um (in Kraft seit 10. Mai 2026; betroffene Einrichtungen müssen sich bis 10. Juli 2026 selbst registrieren) — ein gutes Beispiel dafür, dass „die Frist" zunehmend ein nationaler Go-Live-Termin ist und nicht das EU-Datum aus 2024.
• Noch keine abgeschlossenen Bußgelder: Stand Mitte 2026 hat keine nationale Behörde (BSI, CCB, ANSSI, ACN und vergleichbare) ein abschließendes NIS2-Bußgeld veröffentlicht. Juristische Kommentatoren bezeichnen 2026 als das Jahr, in dem die ersten Durchsetzungsmaßnahmen beginnen, nachdem die Aufsichtsregime nun aktiv sind.
• Operative Realität: Organisationen mit Tätigkeit in mehreren Ländern benötigen eine länderspezifische Sicht auf Anwendungsbereich, Registrierung, Meldekanäle, Aufsichtsbehörde und sektorspezifische Leitlinien.

Für die Planung sollten Sie die EU-Richtlinie von der nationalen Umsetzungsebene trennen:

Land oder Markt	Was lokal zu prüfen ist
Deutschland	BSI-Aufsicht, KRITIS- und Schwellenwerte für betroffene Einrichtungen, Registrierungsprozess und deutschsprachige Nachweiserwartungen
Frankreich	ANSSI-Leitlinien, Sektorzuordnung, nationaler Meldeprozess und Umsetzungszeitplan
Niederlande	Zuständigkeiten von NCSC-NL und Sektorbehörden, Registrierung und Vorfallmeldung
Belgien	Leitlinien des Centre for Cybersecurity Belgium (CCB), Bestätigung des Anwendungsbereichs und Meldeprozess
Italien	Melde- und Registrierungsverfahren von ACN und CSIRT Italia sowie Sektorleitlinien
Grenzüberschreitende Gruppen	Welche Rechtseinheit in den Anwendungsbereich fällt, welche Behörde Meldungen erhält und wie Nachweise zwischen Einheiten geteilt werden

Deutschland: Das NIS2UmsuCG passierte den Bundestag am 13. November 2025 und den Bundesrat am 20./21. November 2025; es ist seit rund dem 1. Januar 2026 in Kraft. Rund 29.500 KMU sind betroffen. Ab Dezember 2026 gilt eine 8-stündige Schulungspflicht für die Geschäftsführung. Betroffene Unternehmen müssen sich beim BSI registrieren.

Die offizielle Umsetzungsseite der Europäischen Kommission sollte als Ausgangspunkt verstanden werden, nicht als einzige Quelle. Ihre tatsächlichen Pflichten hängen vom nationalen Gesetz und den Leitlinien ab, die für die jeweilige Rechtseinheit und den jeweiligen Sektor gelten.

---

Zuständige Behörden

Jeder Mitgliedstaat benennt eine oder mehrere zuständige Behörden für die NIS2-Aufsicht:

Land	Behörde	Funktion
Deutschland	BSI (Bundesamt für Sicherheit in der Informationstechnik)	Aufsicht + nationales CSIRT
Frankreich	ANSSI (Agence nationale de la sécurité des systèmes d'information)	Aufsicht + nationales CSIRT
Niederlande	NCSC-NL + Sektorbehörden	Aufsicht; NCSC-NL = nationales CSIRT
Belgien	CCB (Centre for Cybersecurity Belgium)	Aufsicht + nationales CSIRT
Italien	ACN (Agenzia per la Cybersicurezza Nazionale)	Aufsicht + nationales CSIRT

Organisationen müssen erhebliche Sicherheitsvorfälle an ihr nationales CSIRT melden und sich möglicherweise bei der zuständigen Behörde registrieren lassen.

---

NIS2 jenseits der EU-27: das Vereinigte Königreich und Norwegen/EWR

NIS2 ist eine EU-Richtlinie, doch der Cybersicherheitsraum Europas reicht über die EU-27 hinaus. Paneuropäische Gruppen, die im Vereinigten Königreich und im EWR tätig sind, sehen sich parallelen — und teils strengeren — Regimen gegenüber, gegen die jedes NIS2-Programm konzipiert sein sollte.

Vereinigtes Königreich — Cyber Security and Resilience Bill

Das Vereinigte Königreich hat NIS2 nicht übernommen; es ersetzt seine eigenen NIS Regulations 2018 durch die Cyber Security and Resilience (Network and Information Systems) Bill. Der Gesetzentwurf wurde in der King's Speech im Juli 2024 angekündigt, am 12. November 2025 ins Parlament eingebracht und hatte seine zweite Lesung am 6. Januar 2026. Die königliche Zustimmung (Royal Assent) wird im Laufe des Jahres 2026 erwartet, wobei ein Großteil der inhaltlichen Ausgestaltung später über sekundäres Recht und Verhaltenskodizes folgt — mit voller operativer Wirkung ist erst um 2028 zu rechnen.

Praktische Unterschiede zu NIS2 für grenzüberschreitend tätige Betreiber:

• Anwendungsbereich: Die britische Bill erweitert NIS1 auf Rechenzentren, Managed Service Provider (MSPs) und benannte „kritische Zulieferer", ist aber enger und flexibler als die abschließend aufgezählten 18 Sektoren von NIS2 — Sektoren können später durch ministerielle Benennung hinzugefügt werden.
• Meldung: weitgehend angeglichen — eine 24-stündige Erstmeldung und ein 72-stündiger vollständiger Bericht an die Regulierungsbehörde und das NCSC (das britische CSIRT).
• Sanktionen: in mancher Hinsicht härter als die NIS2-Mindestwerte — bis zu 17 Millionen £ oder 4 % des weltweiten Umsatzes bei schwerwiegenden Verstößen, 10 Millionen £ oder 2 % bei weniger schwerwiegenden, zuzüglich täglicher Zwangsgelder.

Ein Unternehmen, das beiden Regimen unterliegt, darf nicht davon ausgehen, dass NIS2-Nachweise die britischen Pflichten erfüllen — die Pflichten überschneiden sich, doch Auslöser, Benennungen und Verhaltenskodizes unterscheiden sich.

Norwegen und der EWR

Norwegen ist nicht in der EU, aber im Europäischen Wirtschaftsraum (EWR), sodass NIS2 das Land über das EWR-Abkommen erreicht und nicht unmittelbar. Zwei Stränge laufen parallel:

• Digital Security Act (digitalsikkerhetsloven) — eine erweiterte Umsetzung der ursprünglichen NIS1, in Kraft seit dem 1. Oktober 2025. Sie benennt die Nasjonal sikkerhetsmyndighet (NSM) als nationale zentrale Anlaufstelle und erlaubt bereits Bußgelder von bis zu 4 % des Umsatzes (gedeckelt bei rund 50 Millionen NOK).
• NIS2-Angleichung — geplant vor allem über Änderungen des Sicherheitsgesetzes (sikkerhetsloven), sobald NIS2 in Anhang XI des EWR-Abkommens übernommen ist. Der norwegische Umsetzungsplan zielt auf ein Inkrafttreten des Gesetzes um den 1. Juli 2026, eine Registrierungsfrist zum 1. Oktober 2026 und erste Audits durch NSM bzw. Sektorregulierer ab Mitte 2027, wobei der Anwendungsbereich von rund 600 auf etwa 5.000 Organisationen wächst. Die NSM fungiert als nationales CSIRT, mit derselben Meldekaskade von 24 Stunden / 72 Stunden / 30 Tagen.

Für eine europäische Gruppe mit mehreren Einheiten lautet die praktische Erkenntnis: Die operativen Maßnahmen (im Stil von Artikel 21) sind über die EU, das Vereinigte Königreich und Norwegen hinweg weitgehend übertragbar, doch Meldekanäle, Registrierung und Aufsichtsbehörden sind jurisdiktionsspezifisch — genau die Ebene, die ein einheitliches Nachweissystem beherrschen muss.

---

NIS2-Richtlinie im Verhältnis zu anderen EU-Gesetzen

Gesetz	Verhältnis zur NIS2-Richtlinie
DORA vs. NIS2 (Digital Operational Resilience Act)	Lex specialis für den Finanzsektor. Finanzeinrichtungen, die DORA unterliegen, gelten bezüglich gleichwertiger NIS2-Anforderungen als compliant. DORA ist eine Verordnung (unmittelbar anwendbar).
Cyber Resilience Act (CRA)	Gilt für Hersteller von Produkten mit digitalen Elementen. Ergänzt NIS2 auf Lieferkettenebene. CRA-Konformität kann zu den Anforderungen nach Artikel 21 Absatz 2 Buchstabe d NIS2 beitragen. Die September-2026-Meldepflicht ist die erste harte Durchsetzungsfrist für Produkthersteller.
DSGVO	Meldepflichten nach Artikel 23 NIS2 und nach Artikel 33 DSGVO können für denselben Vorfall gleichzeitig gelten. Unterschiedliche Fristen: NIS2 (24/72 Stunden), DSGVO (72 Stunden an Aufsichtsbehörde).
EU Cybersecurity Act	Stellt das Zertifizierungsrahmenwerk bereit, auf das Artikel 24 NIS2 verweist.

---

Was die NIS2-Richtlinie für Ihr Unternehmen bedeutet

Die NIS2-Richtlinie verlangt operative Cybersicherheit, nicht nur dokumentierte Konzepte. Erwägungsgrund 79 stellt klar: Risikomanagementmaßnahmen müssen verhältnismäßig sein und tatsächliche Risikoexposition berücksichtigen. Erwägungsgrund 93 betont die direkte Eigentümerschaft der Leitungsorgane für Cybersicherheitsrisiken.

Für eine glaubwürdige Compliance-Umsetzung benötigen Organisationen:

1. Funktionsfähige Erkennungs- und Meldeworkflows für die 24/72-Stunden-Fristen
2. Lieferkettenmonitoring, das über jährliche Fragebögen hinausgeht
3. Nachweismanagement, das eine prüfbare Compliance-Spur schafft
4. Management-Schulungen und Governance, die Aufsicht auf Führungsebene belegen

Wenn Sie entscheiden müssen, welcher Tool-Stack diese operative Ebene tragen kann, starten Sie mit unserem NIS2-Software-Vergleich und unserem Vergleich von Compliance-Automatisierungs-Software, die EU-native Plattformen von US-first-Tools mit leichterer NIS2-Abdeckung trennen.

---

Wie Orbiq bei der NIS2-Compliance hilft

Orbiq adressiert die operativen Lücken, die NIS2-Compliance in der Praxis erschweren:

• Kontinuierliches Monitoring: Automatisierte Nachweiserhebung für alle 10 Maßnahmen nach Artikel 21
• Vendor Assurance: Zentralisierte Lieferantenbewertungen und kontinuierliches Third-Party-Monitoring
• Trust Center: Öffentlich zugängliches Compliance-Portal für Kunden, Prüfer und Behörden
• Nachweismanagement: Automatische Erfassung und Organisation von Compliance-Nachweisen

Im Unterschied zu US-amerikanischen Plattformen ist Orbiq von Grund auf für europäische Compliance konzipiert — mit EU-Datenspeicherung und direktem Verständnis der Anforderungen von BSI, ANSSI und anderen zuständigen Behörden.

---

Weiterführende NIS2-Artikel

• Was ist NIS2? Vollständiger Leitfaden zur EU-NIS2-Richtlinie
• NIS2-Compliance: Anforderungen und Umsetzung
• NIS2-Anforderungen: Vollständiger Leitfaden
• NIS2-Checkliste: Vollständige Anforderungen nach Artikel 21
• NIS2-Meldepflicht: Die 24-Stunden-Frist
• NIS2-Lieferkettensicherheit: Warum jährliche Bewertungen nicht ausreichen
• ISO 27001 ist keine NIS2-Compliance

---

Quellen

1. EUR-Lex — Richtlinie (EU) 2022/2555 — offizieller NIS2-Rechtstext.
2. Europäische Kommission — Politikseite zur NIS2-Richtlinie — Sachstand, Umsetzung und Durchsetzung.
3. Europäische Kommission — 23 Mitgliedstaaten zur vollständigen Umsetzung aufgefordert, 28. November 2024 — Aufforderungsschreiben.
4. Europäische Kommission — mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten, 7. Mai 2025 — mit Gründen versehene Stellungnahmen.
5. ENISA — Ressourcen zur NIS2-Richtlinie — Umsetzungsleitlinien und technische Maßnahmen.
6. ISO/IEC 27001:2022 — Norm für Informationssicherheits-Managementsysteme, auf die sich die Zuordnung zu Anhang A bezieht.
7. UK Parliament — Cyber Security and Resilience Bill — britische NIS-Reform, eingebracht am 12. November 2025.
8. Nasjonal sikkerhetsmyndighet (NSM) — norwegische nationale Sicherheitsbehörde und CSIRT für die NIS-Umsetzung über den EWR.

---

Zuletzt aktualisiert Juni 2026. Der Umsetzungsstand ändert sich durch nationale Gesetze und Notifizierungen der Kommission; prüfen Sie länderspezifische Details, bevor Sie sich auf Fristen verlassen.