Was ist NIS2? Der vollständige Leitfaden zur EU NIS2-Richtlinie (2026)
Was ist NIS2? Die EU NIS2-Richtlinie (2022/2555) verpflichtet Organisationen in 18 kritischen Sektoren zu Cybersicherheitsmaßnahmen, Vorfallmeldung und Lieferkettensicherheit. Vollständiger Leitfaden mit Anforderungen, Strafen, Fristen und deutscher Umsetzung.
Was ist NIS2? Die EU-Cybersicherheitsrichtlinie einfach erklärt
Die NIS2-Richtlinie (EU 2022/2555) ist das aktualisierte Cybersicherheitsgesetz der Europäischen Union, das die ursprüngliche NIS-Richtlinie von 2016 ersetzt hat. Sie gilt für über 100.000 Unternehmen in 18 kritischen Sektoren mit 50 oder mehr Beschäftigten oder einem Umsatz von mindestens 10 Mio. €, fordert Risikomanagementmaßnahmen nach Artikel 21, schreibt eine 24-Stunden-Frühwarnung und eine 72-Stunden-Detailmeldung nach Artikel 23 vor und sieht Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen vor. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit zur Umsetzung in nationales Recht. NIS2 wird auch häufig als NIS2-Richtlinie gesucht — siehe die Erläuterung der NIS2-Richtlinie für die Walkthrough des Rechtstexts oder springen Sie zu den NIS2-Anforderungen und der NIS2-Compliance-Checkliste.
Wenn Sie von NIS2 gehört haben und sich fragen, was das für Ihr Unternehmen bedeutet, erklärt dieser Leitfaden alles in verständlicher Sprache.
NIS2 in einem Satz
NIS2 verpflichtet Organisationen in kritischen Sektoren, robuste Cybersicherheitsmaßnahmen umzusetzen, Sicherheitsvorfälle innerhalb strenger Fristen zu melden und die Sicherheit ihrer Lieferkette zu gewährleisten — bei echten Sanktionen bei Nichteinhaltung.
Warum gibt es NIS2?
Die erste NIS-Richtlinie (2016) war der erste Versuch der EU, sektorübergreifende Cybersicherheitsgesetzgebung zu schaffen. Sie hatte Schwächen:
- Uneinheitliche Umsetzung: Jeder Mitgliedstaat interpretierte sie anders
- Zu eng gefasst: Nur 7 Sektoren, mit großen Lücken
- Schwache Durchsetzung: Keine Mindest-Bußgeldrahmen
- Kein Lieferkettenfokus: Die wachsenden Risiken durch Drittanbieter wurden nicht adressiert
Die Bedrohungslage hat sich seit 2016 dramatisch verändert. Ransomware-Angriffe, Supply-Chain-Kompromittierungen und staatlich unterstützte Bedrohungen haben die alte Richtlinie unzureichend gemacht. NIS2 ist die Antwort der EU.
Was hat sich von NIS zu NIS2 geändert?
| Bereich | Alte NIS (2016) | NIS2 (2022) |
|---|---|---|
| Sektoren | 7 Sektoren | 18 Sektoren |
| Einrichtungstypen | KRITIS-Betreiber + DSPs | Wesentliche + Wichtige Einrichtungen |
| Größenschwelle | Ermessen der Mitgliedstaaten | Harmonisiert: 50+ MA oder 10 Mio.€+ |
| Vorfallsmeldung | Ohne unangemessene Verzögerung | 24h Frühwarnung, 72h Vollmeldung |
| Lieferkette | Nicht spezifisch adressiert | Explizite Anforderungen in Art. 21 |
| Geschäftsführerhaftung | Nicht adressiert | Persönliche Haftung |
| Sanktionen | Ermessen der Mitgliedstaaten | Mindestrahmen: 10 Mio.€/2% oder 7 Mio.€/1,4% |
Wer ist von NIS2 betroffen?
NIS2 gilt für Organisationen, die beide Kriterien erfüllen:
- In einem der 18 bezeichneten Sektoren tätig (Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur usw.)
- Größenschwellen erfüllen: 50+ Beschäftigte oder 10 Mio.€+ Jahresumsatz
In Deutschland wird die Zahl der betroffenen Einrichtungen auf ca. 29.000 geschätzt — ein massiver Anstieg gegenüber den bisherigen ca. 4.500 KRITIS-Betreibern.
Was fordert NIS2?
NIS2 basiert auf drei Säulen:
1. Risikomanagementmaßnahmen (Artikel 21)
Zehn konkrete Cybersicherheitsmaßnahmen: Risikoanalyse, Vorfallbewältigung, Business Continuity, Lieferkettensicherheit, Netzwerksicherheit, Wirksamkeitsbewertung, Schulungen, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung.
Das Schlüsselwort in Artikel 21 ist operativ. Konzepte allein reichen nicht. Die Maßnahmen müssen in der Praxis funktionieren und nachweisbar sein.
2. Vorfallsmeldung (Artikel 23)
- Innerhalb von 24 Stunden: Frühwarnung an das nationale CSIRT/BSI
- Innerhalb von 72 Stunden: Vollständige Vorfallsmeldung
- Innerhalb von 1 Monat: Abschlussbericht mit Ursachenanalyse
3. Governance und Verantwortlichkeit (Artikel 20)
Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen, Schulungen absolvieren und persönlich für Verstöße haften.
NIS2-Sanktionen
- Wesentliche Einrichtungen: Bis zu 10 Mio.€ oder 2% des globalen Umsatzes
- Wichtige Einrichtungen: Bis zu 7 Mio.€ oder 1,4% des globalen Umsatzes
- Geschäftsführung: Persönliche Haftung, mögliche vorübergehende Tätigkeitsverbote
NIS2-Zeitplan
| Datum | Meilenstein |
|---|---|
| 16. Jan. 2023 | NIS2 in Kraft getreten |
| 17. Okt. 2024 | Frist für nationale Umsetzung |
| 17. Apr. 2025 | Frist für Einrichtungslisten |
| Laufend | Deutsche Umsetzung (NIS2UmsuCG) im Verfahren |
Nächste Schritte
- Lesen Sie unseren vollständigen NIS2 Compliance Leitfaden für detaillierte Umsetzungshinweise
- Nutzen Sie die NIS2 Checkliste zur Standortbestimmung
- Erfahren Sie, warum ISO 27001 allein nicht NIS2 Compliance ist
- Vergleichen Sie Compliance-Automatisierungs-Software, wenn Sie bewerten, welche Plattform EU-Anforderungen operativ am besten abdeckt
Aktualisiert März 2026. Dieser Leitfaden wird fortlaufend an den Stand der nationalen Umsetzung angepasst.
Häufig gestellte Fragen
Wofür steht NIS2?
NIS2 steht für die Richtlinie über Netz- und Informationssicherheit 2 (englisch: Network and Information Security Directive 2). Offiziell ist es die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016/1148) mit breiterem Anwendungsbereich und strengeren Anforderungen.
Seit wann gilt NIS2?
NIS2 trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Deutschland hat diese Frist nicht eingehalten — das NIS2-Umsetzungsgesetz (NIS2UmsuCG) befindet sich noch im Gesetzgebungsverfahren (Stand Anfang 2026).
Welche Sektoren betrifft NIS2?
NIS2 betrifft 18 Sektoren, aufgeteilt in wesentliche Einrichtungen (Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstverwaltung, öffentliche Verwaltung, Weltraum) und wichtige Einrichtungen (Post, Abfall, Chemie, Lebensmittel, Fertigung, digitale Anbieter, Forschung). Das ist deutlich breiter als die 7 Sektoren der alten NIS-Richtlinie.
Gilt NIS2 auch für kleine Unternehmen?
NIS2 gilt grundsätzlich für mittlere und große Unternehmen (50+ Beschäftigte oder 10 Mio.€+ Umsatz) in den betroffenen Sektoren. Kleine Unternehmen sind in der Regel ausgenommen, es sei denn, sie sind in bestimmten kritischen Bereichen tätig (qualifizierte Vertrauensdiensteanbieter, TLD-Register, DNS-Diensteanbieter), wo NIS2 unabhängig von der Größe gilt.
Was passiert bei Nichteinhaltung von NIS2?
Bei Verstößen gegen NIS2 drohen Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen und bis zu 7 Millionen Euro oder 1,4% für wichtige Einrichtungen. Zusätzlich können Geschäftsführer persönlich haftbar gemacht und vorübergehend von Leitungsfunktionen ausgeschlossen werden.
Was hat NIS2 mit dem BSI zu tun?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zentrale Aufsichtsbehörde für NIS2 in Deutschland fungieren. Es wird die Registrierung betroffener Einrichtungen verwalten, Meldungen von Sicherheitsvorfällen entgegennehmen, Aufsichtsmaßnahmen durchführen und Bußgelder verhängen können.