NIS 2 Zusammenfassung: Die EU-Richtlinie kompakt erklärt

Das Wichtigste in Kürze:

• Die NIS-2-Richtlinie verpflichtet über 30.000 Unternehmen in Deutschland zu dokumentiertem Risikomanagement, Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden und persönlicher Haftung der Geschäftsführung – das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 geltendes Recht.
• Betroffen sind nicht mehr nur KRITIS-Betreiber: Mittelständische Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz in 18 Sektoren müssen zehn gesetzlich definierte Kernmaßnahmen umsetzen – von Risikoanalyse bis Lieferkettensicherheit.
• Unternehmen können sich seit Januar 2026 im BSI-Portal registrieren. Die vollständige Nachweispflicht greift spätestens drei Jahre nach Inkrafttreten – wer jetzt keine lückenlose IT-Dokumentation aufbaut, riskiert Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes.

Sie wissen, dass Cybersicherheit in Ihrem Unternehmen kein Randthema mehr ist. Die Meldungen über Ransomware-Angriffe auf den Mittelstand häufen sich, die Geschäftsführung fragt nach Compliance-Nachweisen – und irgendwo zwischen IT-Abteilung und Rechtsabteilung liegt eine EU-Richtlinie, die plötzlich alle betrifft. Die NIS-2-Richtlinie.

Doch was genau verlangt NIS 2 von Ihrem Unternehmen? Dieser Artikel liefert Ihnen eine kompakte Zusammenfassung: die wichtigsten Pflichten, aktuelle Fristen und eine Checkliste, mit der Sie die Umsetzung strukturiert angehen.

Die NIS-2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist der überarbeitete Rechtsrahmen der Europäischen Union für Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und verpflichtet Unternehmen in 18 Sektoren, ihre Netzwerke und IT-Systeme nach einheitlichen Standards zu schützen.

Was besagt die NIS-2-Richtlinie?

Die NIS-2-Richtlinie verfolgt ein klares Ziel: Die Cyberresilienz in der gesamten EU auf ein einheitliches Niveau heben. Dafür definiert sie verbindliche Sicherheitsanforderungen für Unternehmen und Organisationen, die für Wirtschaft und Gesellschaft kritisch sind.

Anders als ihr Vorgänger setzt NIS 2 auf einen risikobasierten Ansatz. Nicht jeder Angriff soll verhindert werden – Unternehmen sollen vielmehr so aufgestellt sein, dass sie Vorfälle erkennen, melden und bewältigen können. Der Fokus liegt auf kontinuierlicher Verbesserung, nicht auf einmaliger Prüfung.

Die Kernpflichten der Richtlinie lassen sich in fünf Bereiche zusammenfassen:

• Einheitliche Sicherheitsanforderungen für alle EU-Mitgliedstaaten
• Ein deutlich erweiterter Geltungsbereich mit mehr betroffenen Sektoren und Unternehmensgrößen
• Strenge Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden
• Schärfere Aufsichtsmechanismen durch nationale Behörden wie das BSI
• Persönliche Haftung von Leitungsorganen bei Verstößen – für viele Geschäftsführungen die einschneidendste Neuerung

Detaillierte Informationen zu Anforderungen, Sanktionen und der praktischen Umsetzung finden Sie im Blogartikel NIS-2-Richtlinie: Anforderungen, Strafen und Umsetzung.

Wer ist von NIS 2 betroffen?

Der erweiterte Geltungsbereich ist einer der größten Unterschiede zur Vorgänger-Richtlinie. Während NIS 1 nur rund 4.600 KRITIS-Betreiber in Deutschland erfasste, betrifft NIS 2 laut BSI über 30.000 Unternehmen in 18 Sektoren – darunter erstmals auch mittelständische Betriebe.

Die Richtlinie unterscheidet zwei Kategorien:

Wesentliche Einrichtungen umfassen Sektoren wie Energie, Bankwesen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur und öffentliche Verwaltung. Für sie gelten die strengsten Auflagen und eine proaktive behördliche Aufsicht.

Wichtige Einrichtungen betreffen Sektoren wie Chemie, Lebensmittelproduktion, Post- und Kurierdienste, verarbeitendes Gewerbe und Forschung. Diese werden anlassbezogen geprüft – also bei Verdacht auf Verstöße oder nach Sicherheitsvorfällen.

Die Betroffenheit richtet sich primär nach Branche und Unternehmensgröße. Unternehmen mit mindestens 50 Mitarbeitenden oder über 10 Mio. Euro Jahresumsatz in einem der 18 Sektoren fallen unter die Richtlinie. Aber Vorsicht: Auch kleinere Unternehmen können betroffen sein, wenn ihr Ausfall systemische Risiken birgt.

Ob Ihr Unternehmen betroffen ist, sollten Sie nicht dem Zufall überlassen. Das BSI bietet seit Januar 2026 eine offizielle NIS-2-Betroffenheitsprüfung an. Wie Sie Ihre Betroffenheit systematisch prüfen, erklärt unser Blogartikel NIS2: Wer ist betroffen?

Länderspezifische Unterschiede gibt es ebenfalls: In Deutschland ist das NIS2UmsuCG seit Dezember 2025 in Kraft, in Österreich tritt das NISG 2026 am 1. Oktober 2026 in Kraft. Unsere Blogartikel zur NIS-2-Umsetzung in Deutschland und Österreich gehen auf die jeweiligen nationalen Besonderheiten und abweichenden Fristen ein.

Welche Unterschiede gibt es zwischen NIS 1 und NIS 2?

NIS 2 ist nicht einfach ein Update – es ist ein Paradigmenwechsel. Die folgende Gegenüberstellung zeigt die wichtigsten Veränderungen:

NIS 1 erfasste rund 4.600 Unternehmen in wenigen Sektoren. NIS 2 weitet den Geltungsbereich auf über 30.000 Unternehmen in 18 Sektoren aus. Die Sicherheitsanforderungen waren unter NIS 1 allgemein formuliert – NIS 2 konkretisiert zehn verbindliche Maßnahmen in §30 BSIG, die jedes betroffene Unternehmen umsetzen muss. Wo NIS 1 keine persönliche Haftung vorsah, macht NIS 2 Cybersicherheit zur Chefsache: Geschäftsführungen haften persönlich und dürfen diese Verantwortung nicht delegieren.

Auch bei Meldepflichten verschärft NIS 2 die Anforderungen deutlich. Statt vager Meldefristen gilt jetzt ein dreistufiges Verfahren:

• Innerhalb von 24 Stunden: Frühwarnung an das BSI nach Entdeckung eines erheblichen Sicherheitsvorfalls
• Innerhalb von 72 Stunden: Detaillierte Meldung mit erster Bewertung und Auswirkungen
• Innerhalb eines Monats: Abschlussbericht mit Analyse und ergriffenen Maßnahmen

Das BSI-Portal für Vorfallsmeldungen ist seit dem 6. Januar 2026 freigeschaltet – die strikte Einhaltung dieser Fristen ist ein zentraler Prüfpunkt bei späteren Audits.

Und nicht zuletzt: Die Bußgelder. Für wesentliche Einrichtungen drohen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 %. Dazu kommen Durchsetzungsmaßnahmen wie der Entzug von Genehmigungen oder Verbote für Führungsfunktionen.

Ein weiterer Unterschied betrifft die Lieferkette. Während NIS 1 die Absicherung externer Abhängigkeiten kaum adressierte, verlangt NIS 2, dass Unternehmen auch ihre Zulieferer und IT-Dienstleister vertraglich zu Sicherheitsmaßnahmen verpflichten. In der Praxis bedeutet das: Selbst Unternehmen, die formal nicht betroffen sind, können durch ihre Geschäftsbeziehungen indirekt unter Handlungsdruck geraten.

Welche 10 Kernmaßnahmen fordert NIS 2?

Das Herzstück der NIS-2-Umsetzung ist der Maßnahmenkatalog nach §30 BSIG. Er definiert zehn Bereiche, in denen betroffene Unternehmen nachweislich handeln müssen:

• Risikoanalyse und Risikomanagement
• Incident Management und Geschäftskontinuität
• Sicherheit der Lieferkette
• Sicherheit bei Beschaffung, Entwicklung und Wartung
• Kryptografie und perspektivisch Quantum-Readiness
• Personalsicherheit
• Zugriffskontrolle und Authentifizierung
• Mehrfaktor-Authentifizierung (MFA)
• Kommunikationssicherheit
• Netzwerk-Monitoring

Für viele Unternehmen ist die Lieferkettensicherheit die größte Herausforderung. Sie müssen nicht nur Ihre eigene IT absichern, sondern auch Dienstleister und Zulieferer vertraglich zu Sicherheitsmaßnahmen verpflichten. Wer bereits ein ISMS nach ISO 27001 oder BSI-Grundschutz betreibt, wird feststellen, dass viele dieser Anforderungen sich mit bestehenden Maßnahmen überschneiden – allerdings fordert NIS 2 in einigen Punkten wie der Lieferkettensicherheit und der Geschäftsführungshaftung zusätzliche Prozesse.

Entscheidend ist: Alle zehn Bereiche müssen dokumentiert und nachweisbar umgesetzt sein. Genau hier scheitern viele Unternehmen – nicht an der Technik, sondern an der lückenlosen Dokumentation.

Was hat sich 2025 und 2026 geändert?

Das Jahr 2025 hat die Rechtslage für NIS 2 in Deutschland grundlegend verändert. Nachdem die EU-Frist im Oktober 2024 verstrichen war, hat Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) mit Verspätung am 13. November 2025 im Bundestag beschlossen. Seit dem 6. Dezember 2025 ist es geltendes Recht – ohne Übergangsfrist für die Maßnahmenpflichten.

Seit dem 6. Januar 2026 ist das BSI-Registrierungsportal online. Besonders wichtige Einrichtungen mussten sich bis spätestens 6. März 2026 registrieren. Wichtige Einrichtungen sollten die Registrierung schnellstmöglich nachholen.

In Österreich wurde das NISG 2026 am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Es tritt am 1. Oktober 2026 in Kraft und betrifft dort rund 4.000 Unternehmen.

Auf EU-Ebene hat die Europäische Kommission im Januar 2026 einen Änderungsvorschlag zur NIS-2-Richtlinie vorgelegt. Die geplanten Anpassungen umfassen unter anderem vereinfachte Zuständigkeitsregeln für international tätige Unternehmen, zertifizierungsbasierte Compliance-Nachweise und eine mögliche Neuklassifizierung von Einrichtungen. Diese Änderungen sind noch nicht beschlossen – die aktuellen Pflichten gelten unverändert.

Für betroffene Unternehmen bedeutet das: Abwarten ist keine Option. Das BSI kann die vollständige Nachweisführung spätestens drei Jahre nach Inkrafttreten einfordern. Wer diese Zeit nicht als Aufbauspielraum nutzt, gerät unter Druck. Und die Erfahrung aus der DSGVO-Einführung zeigt: Unternehmen, die erst unter Zeitdruck reagieren, zahlen am Ende mehr – in Beratungshonoraren, in Nacharbeit und im schlimmsten Fall in Bußgeldern.

Wie bereiten Sie Ihr Unternehmen auf NIS 2 vor?

Die Umsetzung der NIS-2-Anforderungen lässt sich in sieben Handlungsfelder gliedern. Nicht alle sind gleich aufwendig – und nicht alle erfordern externe Hilfe. Entscheidend ist, dass Sie strukturiert vorgehen.

Betroffenheit klären und registrieren. Prüfen Sie anhand von Branche, Unternehmensgröße und Tätigkeitsfeld, ob Sie unter NIS 2 fallen. Registrieren Sie sich im BSI-Portal, falls noch nicht geschehen. Dokumentieren Sie diese Prüfung rechtssicher – auch ein negatives Ergebnis muss begründbar sein.

Definieren Sie Verantwortlichkeiten auf Geschäftsführungsebene. NIS 2 verlangt, dass Cybersicherheit Chefsache ist – mit klaren Entscheidungswegen und dokumentierten Zuständigkeiten. Eine IT-Sicherheitsbeauftragte oder ein Ansprechpartner für Vorfälle sollte benannt sein, bevor der erste Vorfall eintritt. Leitungsorgane müssen sich zudem selbst in Cybersicherheitsfragen schulen lassen – eine Pflicht, die viele Geschäftsführungen bisher nicht auf dem Schirm haben.

Führen Sie eine strukturierte Risikoanalyse durch und bewerten Sie den Schutzbedarf Ihrer Systeme, Daten und Prozesse. Berücksichtigen Sie dabei nicht nur externe Bedrohungen wie Ransomware, sondern auch interne Schwachstellen – Fehlkonfigurationen, verwaiste Accounts, nicht dokumentierte Schatten-IT.

Bauen Sie Ihre IT-Dokumentation auf oder aktualisieren Sie sie. Netzwerktopologien, Serverinventare, Berechtigungsstrukturen, eingesetzte Software – all das muss vollständig, aktuell und nachvollziehbar dokumentiert sein. Viele Unternehmen unterschätzen den Aufwand: Laut dem Cyber Security Report 2026 von Schwarz Digits unterschätzen 48 Prozent der befragten Unternehmen ihre NIS2-Pflichten. Bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitenden schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus. Automatisierte IT-Dokumentationslösungen reduzieren den Aufwand hier auf wenige Stunden statt Wochen manueller Arbeit.

Implementieren Sie technische Schutzmaßnahmen wie Zugriffskontrollen, MFA, Verschlüsselung und Netzwerk-Monitoring. Entwickeln Sie parallel einen Incident-Response-Plan, der die 24-Stunden-Meldefrist zuverlässig einhalten kann. Und vergessen Sie nicht den Wiederanlaufplan – bei einem Ausfall kritischer Systeme muss Ihr Notfall- und Wiederanlaufkonzept greifen.

Schulen Sie Ihre Mitarbeitenden regelmäßig. NIS 2 schreibt in Artikel 20 explizit vor, dass Leitungsorgane an Cybersicherheitsschulungen teilnehmen. Beziehen Sie auch Lieferanten und externe Dienstleister ein – die Lieferkettensicherheit zählt zu den anspruchsvollsten Pflichten der Richtlinie.

Zuletzt: Dokumentieren Sie alles. Jede umgesetzte Maßnahme, jede Risikoanalyse, jede Schulung muss nachweisbar sein. Bereiten Sie sich auf mögliche Prüfungen durch das BSI vor, indem Sie Ihre Nachweise in strukturierter, digitaler Form vorhalten. Ein Ordner mit PDF-Scans reicht dafür nicht aus – gefragt sind aktuelle, maschinenlesbare Daten, die bei Bedarf in Berichte überführt werden können.

Weiterführende Artikel:

• https://www.docusnap.com/it-dokumentation/nis2-compliance
• https://www.docusnap.com/it-dokumentation/nis2-audit
• https://www.docusnap.com/it-dokumentation/nis2-schweiz

FAQ: Häufig gestellte Fragen zur NIS-2-Zusammenfassung

Welche Fristen gelten aktuell für die NIS-2-Umsetzung in Deutschland?

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Die Pflichten zur Umsetzung der Sicherheitsmaßnahmen gelten sofort – eine formale Übergangsfrist gibt es nicht. Das BSI kann den vollständigen Nachweis aller Maßnahmen aber erst nach spätestens drei Jahren verlangen. Die Registrierung im BSI-Portal ist seit dem 6. Januar 2026 möglich und für alle betroffenen Einrichtungen verpflichtend.

Haftet die Geschäftsführung persönlich bei Verstößen gegen NIS 2?

Ja. Die NIS-2-Richtlinie macht Cybersicherheit zur nicht delegierbaren Pflicht der Geschäftsleitung. Leitungsorgane müssen die Umsetzung der Risikomanagementmaßnahmen aktiv überwachen und sich selbst in Cybersicherheitsfragen schulen lassen. Bei Verstößen können sie persönlich haftbar gemacht werden – bis hin zum Verbot der Ausübung von Leitungsfunktionen.

Was unterscheidet NIS 2 von der KRITIS-Verordnung?

Die KRITIS-Regulierung erfasste bisher nur Betreiber kritischer Infrastrukturen ab bestimmten Schwellenwerten. NIS 2 geht deutlich weiter: Sie betrifft auch mittelständische Unternehmen, die keine kritische Infrastruktur betreiben, aber in einem der 18 definierten Sektoren tätig sind. Beide Regelungsrahmen existieren parallel – das KRITIS-Dachgesetz ergänzt NIS 2 ab 2026 um physische Resilienz-Anforderungen.

Wie hängen NIS 2 und ISO 27001 zusammen?

Ein bestehendes ISMS nach ISO 27001 oder BSI-Grundschutz deckt viele der zehn NIS-2-Kernmaßnahmen bereits ab. Allerdings geht NIS 2 in einigen Punkten weiter – etwa bei der persönlichen Geschäftsführungshaftung, den konkreten Meldepflichten und der Lieferkettensicherheit. Ein ISO-27001-Zertifikat ist daher eine gute Basis, aber kein automatischer NIS-2-Compliance-Nachweis.

‍