NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie stellt eine Weiterentwicklung der ersten NIS-Richtlinie aus dem Jahr 2016 dar. Mit der NIS-Richtlinie wurden Maßnahmen zur Gewährleistung eines hohen gemeinsamen und einheitlichen EU-weiten Sicherheitsniveau von Cyber- und Informationssicherheitssystemen festgelegt.

Hieran knüpft die NIS2-Richtlinie an. Zum einen werden die bisherigen Cyber- und Informationssicherheitsanforderungen inhaltlich erweitert und verschärft. Darüber hinaus wird der persönliche Anwendungsbereich erheblich ausgeweitet.

Ziel der NIS2-Richtlinie ist es, das Cybersicherheitsniveau in den Mitgliedstaaten zu verbessern und zu vereinheitlichen. Dabei werden nicht nur die Sicherheitsanforderungen als solche verstärkt, sondern auch die Sanktionen bei Verstößen und die Haftungsregelungen erweitert.

Wie ist der Stand bei der Umsetzung der NIS2-Richtlinie in Deutschland?

Der Deutsche Bundestag hat am 13. November 2025 das Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2UmsuCG) verabschiedet. Mit Veröffentlichung im Bundesgesetzblatt tritt das Gesetz in Kraft und gilt unmittelbar. Eine Übergangsfrist ist nicht vorgesehen.

Welche Unternehmen sind von der NIS2-EU-Richtlinie betroffen?

Die Umsetzung der NIS2-Richtlinie ist für eine erhebliche Anzahl von Unternehmen relevant. Nach bisherigen Schätzungen werden ca. 30.000 bis 40.000 Unternehmen allein in Deutschland unmittelbar betroffen sein. Die hohe Anzahl ist auf den sehr weiten Anwendungsbereich der NIS2-Richtlinie zurückzuführen.

Ob ein Unternehmen künftig den Regelungen unterfällt, richtet sich nach § 28 Abs. 1 und 2 BSIG-E. Hierbei wird zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen differenziert. Die Einordnung in diese Kategorien ist nicht nur theoretischer Natur, sondern hat Auswirkung auf die Anforderungen und die einzuhaltenden Pflichten.

• Besonders wichtige Einrichtungen: zu den besonders wichtigen Einrichtungen zählen zunächst Betreiber kritischer Anlagen, qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter sowie Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetzte mit mindestens 50 Beschäftigten oder einem Jahresumsatz oder einer Jahresbilanzsumme von über 10 Millionen Euro.
• Wichtige Einrichtungen: diese umfassen (gewöhnliche) Vertrauensdiensteanbieter und Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetzte mit weniger als 50 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Euro.

Neben diesen speziellen Bereichen werden auch solche Unternehmen erfasst, deren Tätigkeit in bestimmten Sektoren erfolgt. Die Sektoren werden in Anlage 1 und 2 des BSIG-E aufgelistet. So werden zu den besonders wichtigen Einrichtungen auch solche Unternehmen gezählt, deren Tätigkeit in einem der nachfolgenden Sektoren erfolgt und die mindestens 250 Beschäftigte haben oder einen Jahresumsatz von mehr als 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Folgende Sektoren werden zu den besonders wichtigen Einrichtungen gezählt:

Zu den wichtigen Einrichtungen gehören solche, deren Tätigkeit zu einem der nachfolgen Sektoren zuzuordnen ist und die mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Insbesondere diese Einstufung ist für eine Vielzahl von Unternehmen von großer Bedeutung. Diese Regelung soll möglichst viele Unternehmen auffangen, um die angestrebte Harmonisierung bezüglich eines einheitlichen Cyber- und Informationssicherheitsniveaus zu gewährleisten.

Ob Ihr Unternehmen auch in den Anwendungsbereich der NIS2-Richtlinie fällt, können Sie leicht mit unserem NIS2-Checker hier prüfen lassen:

Zum NIS2-Checker

Was müssen betroffene Unternehmen jetzt tun, um NIS2-compliant zu sein?

Für betroffene Organisationen empfiehlt sich ein strukturiertes Vorgehen in mehreren Schritten:

1. Betroffenheitsanalyse & Scoping
   Prüfung, ob das Unternehmen unter den Anwendungsbereich des NIS2UmsuCG fällt, Zuordnung zu „besonders wichtigen“ bzw. „wichtigen“ Einrichtungen und Abgrenzung der relevanten Geschäftsprozesse und Systeme.
2. Gap-Analyse & Risikoaufnahme
   Systematische Analyse bestehender Prozesse und Kontrollen entlang der NIS-2-Vorgaben – von Governance-Strukturen und ISMS über Incident-Management bis hin zu Lieferketten-Risiken – zur Identifikation konkreter Lücken.
3. Maßnahmenplan & Roadmap
   Entwicklung eines priorisierten Maßnahmenplans mit klaren Verantwortlichkeiten, Zeitplänen und Meilensteinen, der sowohl schnelle „Quick Wins“ als auch die Einführung oder Weiterentwicklung eines Informationssicherheitsmanagementsystems (z. B. nach ISO 27001) umfasst.
4. Umsetzung, Schulung und kontinuierliche Verbesserung
   Umsetzung der technischen und organisatorischen Maßnahmen, Aufbau eines wirksamen Melde- und Reporting-Regimes, Sensibilisierung der Mitarbeitenden sowie Etablierung eines kontinuierlichen Verbesserungsprozesses.

Welche Anforderungen stellt NIS2 an die Cybersicherheit betroffener Unternehmen?

Die NIS2-Richtlinie verpflichtet die betroffenen Unternehmen zu umfassenden Risikomanagementmaßnahmen im Hinblick auf ihre Cybersicherheit. Die künftig einzuhaltenden Pflichten sind in den §§ 30 bis 42 BSIG-E geregelt.

Übergeordnet sind besonders wichtige Einrichtungen und wichtige Einrichtungen nach § 30 Abs. 1 S. 1 BSIG-E verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

Um welche Maßnahmen es sich hierbei handeln soll, wird in § 30 Abs. 2 BSIG-E näher erläutert. Zu beachten ist, dass die Aufzählung nicht abschließend ist und nur den Mindeststandard festlegt. Darüber hinaus werden die Maßnahmen durch Durchführungsrechtsakte der Europäischen Kommission weiter präzisiert.

Risikomanagementmaßnahmen (§ 30 BSIG-E)

Betrifft:

• Besonders wichtige Einrichtungen
• Wichtige Einrichtungen

Maßnahmen:

• Risikoanalysekonzepte und Konzepte für die Sicherheit in der Informationstechnologie
• Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs (Backup-Management; Wiederherstellung nach einem Notfall, Krisenmanagement)
• Sicherheit in der Lieferkette
• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen
• Evaluationskonzepte und -verfahren bzgl. der Wirksamkeit der Risikomanagementmaßnahmen
• Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnologie
• Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
• Sicherheit des Personals
• Zugriffskontrolle
• Verwendung von Multi-Fakor-Authentifizierung
• Gesicherte Sprach-, Video- und Textkommunikation
• sofern erforderlich, gesicherte Notfallkommunikation innerhalb der Einrichtung

Meldepflichten (§ 32 BSIG-E)

Betrifft:

• Besonders wichtige Einrichtungen
• Wichtige Einrichtungen

Maßnahmen:

• Unverzügliche Meldung (Höchstfrist 24h) nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall. Die Meldung muss Angaben darüber enthalten, ob der Verdacht auf rechtswidrige / böswillige Handlungen besteht oder der Vorfall grenzüberschreitende Auswirkung hat.
• Abgabe eines vollständigen Berichts innerhalb von 72h nach Kenntniserlangung. Der Bericht muss die Angaben der ersten Meldung bestätigen oder aktualisieren und eine erste Bewertung des Vorfalls enthalten.
• ggf. (auf Anfrage) Abgabe einer Zwischenmeldung
• Abgabe eines ausführlichen Abschlussberichts nach einem Monat bzw. sofern der Vorfall noch andauert, Abgabe eines Zwischenberichts.

Registrierungspflicht (§ 33 BSIG-E)

Betrifft:

• Besonders wichtige Einrichtungen
• Wichtige Einrichtungen
• Domain-Name-Registry-Diensteanbieter

Maßnahmen:

• Registrierung beim BSI bei erstmaliger oder erneuter Einstufung als eine der betroffenen Einrichtungen.

Die Registrierung muss folgende Angaben umfassen:

• Name und Rechtsform der Einrichtung und (falls einschlägig) Handelsregisternummer
• Anschrift und Kontaktdaten
• Benennung des Sektors und der einschlägigen Branche
• Auflistung der EU-Mitgliedstaaten, in denen das Unternehmen seine Dienste erbringt
• Zuständige Aufsichtsbehörden auf Bundes- und Länderebene

Unterrichtungspflicht (§ 35 BSIG-E)

Betrifft:

• Besonders wichtige Einrichtungen
• Wichtige Einrichtungen

Maßnahmen:

• Auf Anordnung des BSI muss das Unternehmen bei einem erheblichen Sicherheitsvorfall die Empfänger der Dienste hierüber unterrichten. Die Unterrichtung kann auch durch Veröffentlichung auf der Website erfolgen.
• Für Einrichtungen aus den Sektoren Finanzwesen, Sozialversicherungsträger, Grundsicherung der Arbeitssuchenden, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste muss die Unterrichtung zudem die Abhilfemaßnahmen beinhalten.

Informationspflicht ggü. der Öffentlichkeit (§ 36 Abs. 2 BSIG-E)

Betrifft:

• Besonders wichtige Einrichtungen
• Wichtige Einrichtungen

Maßnahmen:

• Das BSI kann nach Anhörung der betroffenen Einrichtung, diese dazu verpflichten, die Öffentlichkeit über den Sicherheitsvorfall zu informieren.
• Hierfür ist erforderlich, dass die Offenlegung im öffentlichen Interesse ist oder zur Sensibilisierung der Öffentlichkeit beiträgt.

Für die Betreiber von kritischen Anlagen werden diese Pflichten teils noch verschärft und darüber hinaus noch weitere Pflichten auferlegt. Diese verschärften und zusätzlichen Pflichten umfassen:

• Besondere Risikomanagementmaßnahmen (§ 31 BSIG-E): die regulären Maßnahmen nach § 30 Abs. 2 BSIG-E werden verschärft. Die Betreiber müssen alle Maßnahmen treffen, die nicht außer Verhältnis zu den Folgen eines Ausfalls oder Beeinträchtigung stehen. Darüber hinaus sind sie zum Einsatz von Systemen zur Angriffserkennung verpflichtet.
• Zusätzliche Angaben bei der Meldepflicht nach § 32 BSIG-E: Betreiber kritischer Anlagen müssen neben den Angaben aus § 32 Abs. 1 BSIG-E ebenfalls die Art der betroffenen Anlage und der kritischen Dienstleistung sowie die Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung übermitteln.
• Zusätzliche Angaben bei der Registrierung nach § 33 BSIG-E: bei der Registrierung haben die Betreiber zudem die öffentlichen IP-Adressbereiche der betriebenen Anlagen sowie die ermittelte Anlagenkategorie, die ermittelte Versorgungskennzahlen sowie den Standort der Anlage und eine Kontaktstelle anzugeben. Die Betreiber haben eine dauerhafte Erreichbarkeit der Kontaktstelle zu gewährleisten.
• Nachweispflicht (§ 39 BSIG-E): die Betreiber haben frühestens nach drei Jahre, nachdem sie erstmals oder erneut als Betreiber von kritischen Anlagen gelten, die Umsetzung der Risikomanagementmaßnahmen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Diese Nachweispflicht ist nach der ersten Überprüfung alle drei Jahre fällig.

Zu den Risikomanagementmaßnahmen gehören nicht nur solche, die unmittelbar den eigenen Betrieb betreffen. Wie § 30 Abs. 2 Nr. 4 BSIG-E zeigt, müssen die betroffenen Unternehmen auch die Sicherheit der Lieferkette gewährleisten. Die Gesetzesbegründung zum NIS2UmsuCG bestimmt neben den einzuhaltenden Sicherheitsmaßnahmen etwa vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zur Bewältigung von Cybersicherheitsvorfällen, sowie die Berücksichtigung von Empfehlungen des BSI in Bezug auf Produkte und Dienstleistungen.

Ebenfalls sollten die Unternehmen ihre Lieferanten zur Beachtung von grundsätzlichen Prinzipien wie Security by Design oder Security by Default ermahnen bzw. verpflichten. Die Umsetzung der NIS2-Richtlinie bedeutet insofern für Unternehmen nicht nur die für sie unmittelbar eigenen Prozesse anzupassen und zu verbessern. Vielmehr müssen auch die Prozesse und Systeme der Lieferanten und Dienstleister überprüft werden und eng zusammengearbeitet werden, um mögliche Sicherheitslücken zu beheben.

Welche Sanktionen sieht die NIS2-Richtlinie für Verstöße vor?

Verstöße gegen die Anforderungen der NIS2-Richtlinie werden als Ordnungswidrigkeiten geahndet. Als Sanktionsform sieht § 65 Abs. 5 bis 7 BSIG-E erhebliche Geldbußen vor. Die Höhe der Bußgelder bemisst sich einerseits danach, gegen welche Pflicht das Unternehmen verstoßen hat und andererseits, ob es sich um eine besonders wichtige Einrichtung oder eine wichtige Einrichtung handelt.

• Besonders wichtige Einrichtungen: gegen Unternehmen, die zu den besonders wichtigen Einrichtungen zählen, können Bußgelder bis zu 10 Millionen Euro verhängt werden. Sofern das Unternehmen einen Jahresumsatz von mehr als 500 Millionen Euro haben, kann das Bußgeld sogar bis zu 2 % des Vorjahresumsatzes betragen.
• Wichtige Einrichtungen: gegen Unternehmen, die zu den wichtigen Einrichtungen zählen, können Bußgelder bis zu 7 Millionen Euro bzw. (bei einem Jahresumsatz von mehr als 500 Millionen Euro) in Höhe von bis zu 1,4 % des Vorjahresumsatzes.

Zu beachten ist, dass es sich bei dem Jahresumsatz nicht etwa um den national erwirtschafteten Umsatz handelt. Vielmehr wird der Jahresumsatz anhand des gesamten weltweiten getätigten Umsatzes des Unternehmens bemessen.

Wer ist im Unternehmen für die Umsetzung der NIS2-Anforderungen verantwortlich?

Die Umsetzung, die Einhaltung und die Überwachung der Risikomanagementmaßnahmen obliegt nach § 38 Abs. 1 BSIG-E der Geschäftsleitung der jeweiligen Einrichtung. Wenn die Geschäftsleitung diese Pflicht verletzt, haftet sie gemäß § 38 Abs. 2 S. 1 BSIG-E gegenüber dem Unternehmen für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts.

Diese Haftungsregelung stellt an sich keine Besonderheit dar, sondern entspricht im Wesentlichen den geltenden Haftungsregelungen. Der Vorschrift kommt insofern mehr eine Klarstellungsfunktion zu. Nur falls es für die Einrichtung keine Binnenhaftung gibt, findet die Haftungsregelung des § 38 Abs. 2 S. 1 BSIG-E Anwendung. In den vorausgegangenen Versionen des NIS2UmsuCG untersagte § 38 BSIG-E der Einrichtung zudem, dass die Einrichtung nicht auf die Ersatzansprüche gegenüber der Geschäftsleitung verzichten kann.

Diese Regelung ist in dem aktuellen Entwurf nicht mehr enthalten. Insofern dürften entsprechende Verzichtserklärungen nunmehr zulässig sein. Wie mit solcher Verzichtserklärung jedoch in der Praxis umgegangen wird und ob diese wirksam sind, wird sich anhand der Rechtsprechung zeigen müssen. Die Geschäftsleitung ist nach § 38 Abs. 3 BSIG-E ferner dazu verpflichtet, regelmäßig an Schulungen teilzunehmen. Zusammenfassend lässt sich also sagen, dass NIS2 die Cybersicherheit zur Chefsache macht.

In welchem Verhältnis steht NIS2 zu anderen Regulierungen, wie kritis, CER und CRA?

Nicht nur die NIS2-Richtlinie hat sich zum Ziel gesetzt, kritische Infrastrukturen besser zu schützen und widerstandsfähiger zu machen. Am selben Tag wie die NIS2-Richtlinie trat auch die Critical Entities Resilience-Richtlinie (CER-Richtlinie) in Kraft.

Ferner wird mit dem Cyber Resilience Act (CRA) eine weitere produktbezogene Verordnung in Kraft treten, die höhere Sicherheitsanforderungen bei der Herstellung und Entwicklung von Produkten mit digitalen Elementen (Hardware und Software) vorsieht.

Die verschiedenen Regelungswerke betreffen insofern zwar unterschiedliche Bereiche, sind jedoch eng miteinander verbunden.

Welche Vorteile bietet die Umsetzung der NIS2-Anforderungen?

Wenngleich die Umsetzung der NIS2-Richtlinie für die betroffenen Unternehmen einen nicht zu unterschätzenden Aufwand bedeutet, sollten die damit verbundenen Vorteile für Organisationen nicht aus dem Auge verloren werden.

Durch die erhöhten Sicherheitsanforderungen verringert sich das Risiko eines Cybersicherheitsvorfalls bzw. die Folgen eines solchen Vorfalls. Denn zum einen werden die Systeme werden widerstandsfähiger sein. Zum anderen können Gefahren schneller erkannt werden. Dies sollte es Unternehmen, die ihren Pflichten nach NIS2 vollständig nachkommen, ermöglichen bestehende Risiken schnell abzustellen.

Auch die Zusammenarbeit und Austausch mit den zuständigen Behörden und gegebenenfalls anderen Unternehmen stärkt die Sicherheit der Systeme und das Bewusstsein für Cybergefahren.

Nicht zu unterschätzen sind schließlich die Auswirkungen auf die Kundenbeziehungen und den Wettbewerb. Denn bei der Zusammenarbeit von Unternehmen wird das Thema Risikomanagement zukünftig eine bedeutende Rolle einnehmen. Ein Unternehmen, welches mit den Anforderungen der NIS2-Richtlinie compliant ist, ist attraktiver in der Zusammenarbeit und wird mehr Vertrauen genießen. Auch die öffentliche Wahrnehmung des Unternehmens kann durch die Einhaltung der Anforderungen positiv beeinflusst werden.

Was beinhaltet die NIS2-Beratung und -Betreuung durch ISiCO?

Wir bieten ihnen umfassende Beratungs-, Schulungs- und Unterstützungsleistungen, um sie bei der Umsetzung der NIS2-Richtlinie zu unterstützen. Dazu gehören die Analyse der spezifischen Anforderungen, die Entwicklung und Implementierung angepasster Sicherheitsmaßnahmen sowie Schulungen und Bewusstseinsbildung der Beschäftigten.

Unsere Expertise und maßgeschneiderten Services bieten nicht nur eine Brücke zur Compliance, sondern auch einen Wettbewerbsvorteil durch verstärkte Sicherheitsmaßnahmen und die Optimierung Ihrer Geschäftsprozesse. Von der ersten Analyse bis zur finalen Implementierung der erforderlichen Maßnahmen – wir stehen Ihnen zur Seite, um sicherzustellen, dass Ihr Unternehmen nicht nur den gesetzlichen Anforderungen entspricht, sondern auch zukunftssicher wird.

Häufige Fragen zur NIS2-Richtlinie