Neue Regeln für den Mittelstand durch NIS2
Was ist NIS2?
NIS2 steht für „zweite Netzwerk- und Informationssicherheitsrichtlinie“. Die Richtlinie wurde im Jahr 2022 durch das europäische Parlament verabschiedet und hat zum Ziel, die Cyberresilienz in der EU zu stärken.
Wie bei EU-Richtlinien vorgesehen, wurde die Richtlinie in ein deutsches Gesetz überführt – das NIS2-Umsetzungsgesetz, oder das „Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.
Umgangssprachlich spricht man von NIS2 und meint damit die deutsche Überführung der europäischen NIS2-Richtlinie.
Bin ich von NIS2 betroffen?
Sie wissen nicht genau, ob Ihr Unternehmen von NIS2 betroffen ist? Finden Sie es mithilfe des FitNIS2-Navigators heraus.
Der FitNIS2-Navigator
Das interaktive Tool klärt mit verschiedenen Fragen ab, ob sie von NIS2 betroffen ist, und gibt Ihnen erste Ratschläge, wie Sie Ihre Cyberresilienz stärken können.
Die TOP-5-Inhalte von NIS2
- NIS2 benennt die Befugnisse zur Umsetzung der Vorgaben. Außerdem werden Bußgelder ermöglicht.
- Der Geltungsbereich von NIS2 umfasst ca. 30.000 Unternehmen, darunter auch mittelgroße Unternehmen in kritischen Sektoren.
- NIS2 umfasst Pflichten zum Risikomanagement: Unternehmen müssen technische und organisatorische Maßnahmen umsetzen, die zu ihrem Risikoprofil passen.
- Vorfälle müssen schnell gemeldet werden: NIS2 enthält Meldefristen und kategorisiert Vorfälle nach Schweregrad.
- NIS2 ruft die Leitungsebene von Unternehmen zur Verantwortung und enthält Verpflichtungen zur Schulung und Sensibilisierung.
Wann kommt NIS2 in Deutschland?
Im Dezember 2025 wurde das NIS2-Umsetzungsgesetz verabschiedet. Dem ging ein langer Prozess voran, aber seit dem 06.12.2025 ist NIS2 in Deutschland nun geltendes Recht.
Die Umsetzung der NIS2-Richtlinie war ursprünglich für Oktober 2024 vorgesehen, das konnte aber aufgrund von vorgezogenen Bundestagswahlen nicht eingehalten werden.
Bis wann muss NIS2 umgesetzt werden?
Unternehmen, die von NIS2 betroffen sind, müssen die Vorgaben, die durch NIS2 formuliert werden, umsetzen.
Dabei gilt bereits die ursprüngliche Frist für die Umsetzung in nationales Recht als Frist für die Umsetzung der Vorgaben der EU-Richtlinie (18.10.2024). Die in NIS2 formulierten Fristen, Regelungen und Sanktionen in Deutschland gelten aber seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes am 06.12.2025.
Konkret bedeutet das: Ab dem 06.12.2025 sind die Inhalte von NIS2 in Deutschland Pflicht.
Wer muss NIS2 umsetzen?
NIS2 betrifft drei Gruppen von Unternehmen:
- Betreiber kritischer Infrastrukturen (KRITIS-Unternehmen)
- Wichtige Einrichtungen (wE)
- Besonders wichtige Einrichtungen (bwE)
Für wen ist NIS2 verpflichtend?
NIS2 ist verpflichtend, wenn ihr Unternehmen entweder als wichtige, besonders wichtige oder KRITIS-Einrichtung gilt.
Weiterhin können Unternehmen zur Umsetzung der Inhalte von NIS2 verpflichtet werden, wenn sie ein wesentlicher Bestandteil der Lieferkette von verpflichteten Unternehmen sind.
Das betroffene Unternehmen muss dann sicherstellen, dass alle wichtigen Bestandteile der Lieferkette die Regularien einhalten.
Beispiel: NIS2 und Lieferketten
Ihr Unternehmen liefert als IT-Dienstleister Cloud-Dienste für ein Krankenhaus. Sie haben weniger als 50 Mitarbeitende und weniger als 10 Mio. € Bilanzsumme und Umsatz.
Das Krankenhaus, das sie beliefern, fällt als Unternehmen der kritischen Infrastruktur unter NIS2. Deswegen stellt es Forderungen an sie, die sie umsetzen müssen, z. B. den Nachweis eines Zertifikates über IT-Sicherheit.
Ergo: Sie sind in diesem Fall durch Ihre Lieferkette von NIS2 betroffen.
NIS2 zusammengefasst
NIS2 Anwendungsbereich
NIS2 Anforderungen
NIS2 enthält essentielle Anforderungen für die Cyberresilienz von Unternehmen. Sie lassen sich in folgende Bereiche zusammenfassen:
Hierunter fallen unter anderem Risikoanalysen und Maßnahmen zur Bewältigung von Sicherheitsvorfällen, aber auch die Gewährleistung von Sicherheit der Lieferketten.
Außerdem Schulungen und Sensibilisierungsmaßnahmen.
Durch NIS2 entstehen verstärkte Meldepflichten. Unter anderem muss eine Meldung 24 Stunden nach einem Sicherheitsvorfall an eine Meldestelle erfolgen, die dann innerhalb von 72 Stunden näher beschrieben werden muss.
Unternehmen, die von NIS2 betroffen sind, müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Wie das geht, lernen Sie hier.
Unter NIS2 müssen Unternehmen ihre Cyberresilienz regelmäßig nachweisen und überprüfen. Dazu gehören die Dokumentation technischer und organisatorischer Sicherheitsmaßnahmen, laufende Risikoanalysen sowie die Durchführung interner und externer Audits. Ergänzend sind Penetrationstests, Schwachstellenanalysen und die Nachweise von Mitarbeiterschulungen sowie Sensibilisierungsmaßnahmen erforderlich. Auch die Protokollierung von Sicherheitsvorfällen und deren Meldung an die zuständigen Stellen gehört zu den zentralen Prüfpflichten.
Laut NIS2 ist die Geschäftsleitung von betroffenen Einrichtungen verpflichtet, die Maßnahmen für Risikomanagement umzusetzen. Das bedeutet auch, dass sich Geschäftsleitungen regelmäßig weiterbilden müssen, und grundsätzlich über Cybersicherheitsthemen informiert sein müssen.
Geschäftsleitungen werden in NIS2 auch
Für KRITIS-Unternehmen gelten außerdem höhere Anforderungen, die dazu dienen, im Krisenfall die kritische Infrastruktur aufrecht erhalten zu können.
Grundsätzlich gilt: KRITIS-Unternehmen werden als besonders wichtige Einrichtungen gezählt. Deswegen gelten alle Anforderungen an besonders wichtige Einrichtungen auch für KRITIS-Unternehmen. Es kommen allerdings weitere Anforderungen auf KRITIS-Unternehmen zu.
Eine besondere Maßnahme für kritische Infrastruktur ist der Einsatz von Systemen zur Angriffserkennung. Außerdem werden aufwändigere Maßnahmen verlangt.
Andere gesetzliche Vorgaben und NIS2
Sowohl NIS2 als auch der Cyber Resilience Act sind EU-Rechtsakte, die das Thema Cybersicherheit betreffen. Sie ergänzen sich, betreffen aber unterschiedliche Bereiche. Der CRA ist eine Verordnung, keine Richtlinie, und regelt digitale Produkte, aber keine Organisationsstrukturen.
Entsprechend sind die Adressaten Hersteller, Importeure und Händler von Produkten. Setzen Sie in Ihrem Unternehmen ein digitales Produkt ein, dann muss der Hersteller des Produktes in Folge des CRA für dessen Sicherheit sorgen. Sie sind allerdings laut NIS2 dafür zuständig, das Produkt ordnungsgemäß zu konfigurieren und zu betreiben, und die Sicherheit zu überwachen.
DORA ist eine EU-Verordnung, die die Resilienz im Finanzwesen regelt. NIS2 und DORA sind somit stark verzahnt und funktionieren komplementär – DORA hat im Finanzsektor allerdings Vorrang. Wenn ein Unternehmen also komplett von DORA betroffen ist, muss dieses Unternehmen die Vorgaben von NIS2 nicht zusätzlich umsetzen. Dies gilt allerdings nur, wenn das gesamte Unternehmen bereits unter DORA fällt.
Sind Sie sich nicht sicher, ob Ihr Unternehmen von DORA betroffen ist, ist es notwendig, rechtliche Beratung bei einer geeigneten Rechtsanwaltskanzlei zu suchen.
Der ISO27001 ist ein internationaler Standard für Informationsmanagementsysteme (ISMS). Als internationaler Standard ist die Umsetzung eines Managementsystems nach ISO27001 freiwillig.
Bei der Umsetzung der Vorgaben von NIS2 kann ein ISMS eine große Unterstützung sein, denn es deckt elementare Bestandteile der Vorgaben bereits ab, wie zum Beispiel die Risikobewertung und -behandlung, Incident Response und Business Continuity.
Infobox: Sie wollen in ihrem Unternehmen ein ISMS aufbauen? Die ISMS-Werkstatt bringt Sie auf den richtigen Weg. Mehr Informationen finden Sie hier.
Während ISO27001 sich mit ISMS befasst, liegt der Fokus von IEC62443 auf der Sicherheit von industriellen Steuerungs- und Automatisierungssystemen (ICS/OT). Dabei liegt der Fokus auf der Sicherheitsarchitektur dieser Systeme und Prozessen um deren Sicherheit sicherzustellen.
Für Unternehmen die im industriellen Sektor tätig sind und unter NIS2 fallen, kann die Umsetzung der Vorgaben von IEC62443 nützlich sein, um die Vorgaben von NIS2 zu erfüllen.
