Zum Inhalt springen
NIS2 kommt: Bereiten Sie Ihre Compliance strukturiert vor, bevor das deutsche Umsetzungsgesetz in Kraft tritt.Jetzt starten →

NIS2Cockpit

AnmeldenKostenlos testen
← Alle Artikel

Was ist NIS2? Die EU-Richtlinie einfach erklärt

15. Februar 2026·8 Min.·NIS2Cockpit Redaktion
NIS2EU-RichtlinieCybersicherheitGrundlagen

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union.

Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Anwendungsbereich erheblich.

Warum wurde NIS2 eingeführt?

Die erste NIS-Richtlinie hatte mehrere Schwachstellen:

  • Uneinheitliche Umsetzung in den EU-Mitgliedstaaten
  • Zu enger Anwendungsbereich — viele kritische Sektoren waren nicht erfasst
  • Unzureichende Durchsetzung — fehlende Sanktionsmechanismen
  • Mangelnde Kooperation zwischen den Mitgliedstaaten

NIS2 adressiert diese Probleme mit strengeren Anforderungen, einem erweiterten Geltungsbereich und empfindlichen Bußgeldern.

Wen betrifft NIS2?

NIS2 unterscheidet zwischen zwei Kategorien:

Wesentliche Einrichtungen (Essential Entities)

Unternehmen in Sektoren hoher Kritikalität:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasserversorgung und Abwasserentsorgung
  • Digitale Infrastruktur und IT-Dienste
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen (Important Entities)

Unternehmen in weiteren kritischen Sektoren:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Industrie
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kfz)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Größenkriterien

In der Regel sind Unternehmen betroffen mit:

  • Mindestens 50 Beschäftigten oder
  • Mindestens 10 Mio. € Jahresumsatz

Bestimmte Sektoren (z. B. DNS-Diensteanbieter, TLD-Registries) fallen unabhängig von der Größe unter NIS2.

Die wichtigsten Pflichten

1. Risikomanagement (Art. 21)

Unternehmen müssen geeignete technische, operative und organisatorische Maßnahmen ergreifen. Dazu gehören:

  • Risikoanalyse und Sicherheitskonzepte
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs (Business Continuity)
  • Sicherheit der Lieferkette
  • Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Bewertung der Wirksamkeit der Maßnahmen
  • Cyberhygiene und Schulungen
  • Kryptographie und Verschlüsselung
  • Personalsicherheit und Zugangskontrollen
  • Multi-Faktor-Authentifizierung

2. Meldepflichten (Art. 23)

Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden:

  • Frühwarnung innerhalb von 24 Stunden
  • Erstmeldung innerhalb von 72 Stunden
  • Abschlussbericht innerhalb eines Monats

3. Verantwortung der Geschäftsleitung (Art. 20)

Die Geschäftsführung muss:

  • Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen
  • An Cybersicherheitsschulungen teilnehmen
  • Bei Pflichtverletzung persönlich haften

Umsetzung in Deutschland

Deutschland setzt NIS2 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) um. Das Gesetz ändert unter anderem das BSI-Gesetz und führt neue Pflichten für rund 30.000 Unternehmen ein.

Bußgelder

Die Sanktionen sind erheblich:

  • Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Nächste Schritte

  1. Betroffenheitsprüfung — Fallen Sie unter NIS2?
  2. Gap-Analyse — Wo stehen Sie aktuell?
  3. Maßnahmenplan — Welche Lücken müssen geschlossen werden?
  4. Umsetzung — Technische und organisatorische Maßnahmen implementieren
  5. Dokumentation — Alles rechtssicher dokumentieren

Mit NIS2Cockpit können Sie alle diese Schritte strukturiert und effizient durchführen.

Hinweis: Keine Rechtsberatung

Dieser Artikel dient ausschliesslich der allgemeinen Information über die NIS2-Richtlinie und das deutsche Umsetzungsgesetz (NIS2UmsuCG). Er stellt KEINE Rechtsberatung dar und kann eine individuelle anwaltliche Prüfung nicht ersetzen. Die Anwendung gesetzlicher Anforderungen auf Ihren konkreten Einzelfall haengt von Faktoren ab, die nur durch einen qualifizierten Fachanwalt für IT-Recht oder einen NIS2-Fachberater bewertet werden können.

Der Anbieter (NIS2Cockpit / Xantix Digital) uebernimmt keine Gewähr für die Aktualität, Richtigkeit oder Vollständigkeit der dargestellten Informationen und haftet nicht für Entscheidungen oder Handlungen, die auf Basis dieses Artikels getroffen werden. Es gelten die AGB, insbesondere §2 Absatz 3 und §10.

Bereit für Ihre NIS2-Compliance?

NIS2Cockpit führt Sie strukturiert durch alle Anforderungen. 62 Controls, lückenlose Dokumentation, Made in Germany.

14 Tage kostenlos testen
Was ist NIS2? Die EU-Richtlinie einfach erklärt