NIS2: die neue EU-Richtlinie für Cybersicherheit

Was ist NIS2?

NIS2 ist der Nachfolger der ersten Netz- und Informationssicherheitsrichtlinie (NIS1) aus 2016. Sie wurde als Richtlinie (EU) 2022/2555 im Dezember 2022 verabschiedet und soll in der ganzen EU ein einheitlich hohes Niveau der Cybersicherheit erreichen.

Zielsetzung: Der Kreis der betroffenen Unternehmen wird deutlich erweitert (von rund 4.500 KRITIS-Betrieben auf etwa 30.000 Unternehmen), die Pflichten werden konkreter, die Meldewege kürzer, die Sanktionen härter. NIS2 verlangt nicht nur technische Maßnahmen, sondern auch organisatorische: Governance, Lieferkettensicherheit, Incident-Response, Business Continuity.

Ein neuer Hebel: Die Geschäftsleitung haftet persönlich für die Umsetzung. Wer Cybersicherheit bisher an die IT delegiert hat, muss sich selbst mit den Themen vertraut machen und entsprechend schulen lassen.

Rechtsgrundlage

In Deutschland gilt NIS2 über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), in Kraft seit 6. Dezember 2025. Das Gesetz ändert unter anderem das BSI-Gesetz und führt neue Pflichten für betroffene Unternehmen ein. Zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die EU-Umsetzungsfrist war eigentlich der 17. Oktober 2024. Deutschland hat sich verspätet, was die Kommission 2025 mit einem Vertragsverletzungsverfahren gegen mehrere Mitgliedstaaten beantwortete. Für Unternehmen hatte die Verzögerung einen Vorteil: mehr Vorbereitungszeit. Jetzt ist das Gesetz aber in Kraft, und die BSI-Registrierungsfrist vom 6. März 2026 ist verstrichen.

Wer ist betroffen?

NIS2 definiert zwei Kategorien:

• Wesentliche Einrichtungen (essential entities): große Betreiber kritischer Infrastruktur. Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, ITK-Dienstleister, Weltraum. Strengere Aufsicht, höhere Bußgelder.
• Wichtige Einrichtungen (important entities): mittlere Unternehmen in erweiterten Branchen. Post und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, Forschung, Anbieter digitaler Dienste, Hersteller von IT-Hardware.

Als Größenkriterium gilt grob: Ab 50 Mitarbeitern oder 10 Mio Euro Umsatz ist ein Unternehmen im Geltungsbereich, sofern es in einer der 18 Branchen tätig ist. Für einige Sektoren (Energie, Banken, digitale Infrastruktur) gilt NIS2 unabhängig von der Größe.

Wer unsicher ist, ob er unter NIS2 fällt, findet auf der Website des BSI einen Betroffenheitscheck.

Pflichten: Risikomanagement, Meldung, Schulung

NIS2 verlangt ein umfassendes Risikomanagement nach § 8a BSIG-neu. Dazu gehören:

• Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme.
• Incident Handling: Prozesse zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle.
• Business Continuity: Notfallpläne, Backup-Management, Wiederanlaufverfahren.
• Lieferkettensicherheit: Anforderungen an IT-Dienstleister und Zulieferer.
• Zugriffskontrolle, Multi-Faktor-Authentifizierung, Kryptografie (Stand der Technik).
• Schulung und Sensibilisierung der Mitarbeiter, insbesondere der Geschäftsleitung.

Besonders wichtig sind die Meldefristen:

Bußgelder und persönliche Haftung

NIS2 verschärft die Sanktionen deutlich:

• Wesentliche Einrichtungen: bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (jeweils höherer Wert).
• Wichtige Einrichtungen: bis 7 Millionen Euro oder 1,4 Prozent Weltumsatz.
• Persönliche Haftung der Geschäftsleitung: Vorstände und Geschäftsführer können persönlich in Anspruch genommen werden, wenn sie Aufsichts- oder Schulungspflichten verletzen.

Im Extremfall kann das BSI zusätzlich temporäre Betriebsuntersagungen anordnen, bis Sicherheitsmängel beseitigt sind. Das ist ein völlig neuer Hebel, den es unter NIS1 nicht gab.

Beispielrechnung: Maschinenbau-Mittelständler

Eine GmbH mit 180 Mitarbeitern und 45 Mio Euro Umsatz, Maschinenbau, Sektor Produktion. Einordnung:

• Wichtige Einrichtung, da mittlere Unternehmensgröße und Branche im NIS2-Katalog.
• BSI-Registrierung war bis 6. März 2026 Pflicht, Unterlassung ist eigenständiger Bußgeldtatbestand.
• Umsetzungsaufwand je nach Ausgangslage: 50.000 bis 250.000 Euro einmalig plus 30.000 Euro jährlich.
• Typische Maßnahmen: Penetrationstest, SIEM-Einführung, ISMS-Aufbau nach ISO 27001, Mitarbeiter-Schulung, Supply-Chain-Assessment.
• Geschäftsleitung: mindestens 8 Stunden Cybersicherheits-Schulung pro Jahr dokumentiert.

Theoretisches Bußgeld-Maximum bei grobem Verstoß: 7 Mio Euro oder 1,4 Prozent Weltumsatz (hier 630.000 Euro). Der höhere Wert (7 Mio) gilt.

So setzt Du NIS2 praktisch um

1. Betroffenheit klären: Branche plus Größe prüfen. Der BSI-Selbstcheck ist der einfachste Einstieg.
2. Registrierung beim BSI: war bis 6. März 2026 Pflicht, sollte bei versäumter Frist umgehend nachgeholt werden.
3. Ist-Analyse: Welche technischen und organisatorischen Maßnahmen existieren bereits? Typisch ist eine Gap-Analyse nach ISO 27001 oder IT-Grundschutz.
4. Maßnahmen priorisieren: Multi-Faktor-Authentifizierung, Backup-Konzept, Incident-Response-Plan sind low hanging fruit.
5. Geschäftsleitung schulen: NIS2 verlangt dokumentierte Schulung. 1 Tag Seminar plus regelmäßige Updates reichen in der Regel.
6. Dokumentieren: Nur dokumentierte Maßnahmen zählen im Prüfungsfall. Ein ISMS-Tool oder eine strukturierte Word-Dokumentation hilft.