Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist das umfassendste Cybersicherheitsgesetz, das die EU je verabschiedet hat. Das Ziel der NIS 2: die Cybersicherheit in der gesamten EU zu stärken. Seit dem 18. Dezember 2025 ist das NIS2UmsuCG in Kraft — die Umsetzung in nationales Recht erfolgte ohne Übergangsfrist. Für Unternehmen in Deutschland und Europa stellt die Richtlinie das Thema Informationssicherheit auf eine völlig neue Grundlage. Trotzdem wissen viele Unternehmen und Organisationen nicht, ob sie betroffen sind. In diesem Artikel erklären wir die NIS-2-Richtlinie einfach und verständlich: welche Sektoren und wichtige Einrichtungen betroffen sind, welche Risikomanagementmaßnahmen Unternehmen ergreifen müssen, welche Meldepflichten bei Sicherheitsvorfällen gelten — und welche Sicherheitsmaßnahmen Sie jetzt ergreifen müssen.
Die NIS-2-Richtlinie ist eine EU-Richtlinie zur Stärkung der Cybersicherheit und Informationssicherheit in Europa. Sie ersetzt die erste NIS-Richtlinie (NIS 1) von 2016 und erweitert den Geltungsbereich auf Netz- und Informationssystemen in 18 kritischen Sektoren. Die komplexe Bedrohungslage — Ransomware auf Krankenhäuser, Supply-Chain-Attacken auf Softwareanbieter, Cyberbedrohungen gegen Unternehmen und Organisationen — erfordert neue gesetzliche Anforderungen im Bereich der Cybersicherheit. Die NIS-2-Richtlinie zielt darauf ab, die Inhalte der NIS 2 verbindlich für alle Mitgliedstaaten umzusetzen.
Die Richtlinie erweitert den Anwendungsbereich auf 18 Sektoren, verschärft die Anforderungen mit konkreten Risikomanagementmaßnahmen, führt persönliche Haftung der Geschäftsführung ein, verkürzt Meldefristen bei Sicherheitsvorfällen auf innerhalb von 24 Stunden an das BSI und erhöht Bußgelder auf bis zu 10 Millionen Euro. In Deutschland wurde die EU-Richtlinie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt — als Teil des Gesetzes zur Umsetzung der NIS-2-Richtlinie. Die Umsetzung in nationales Recht war ursprünglich bis Oktober 2024 vorgesehen, verzögerte sich aber aufgrund politischer Umstände. Die NIS2-Richtlinie in nationales Recht zu überführen, war für alle Mitgliedstaaten verpflichtend.
Die Betroffenheit hängt von Branche und Unternehmensgröße ab. Die NIS-2-Richtlinie gilt für Unternehmen mit mindestens 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in 18 Sektoren. Die NIS-2-Richtlinie unterscheidet zwischen wesentliche und wichtige Einrichtungen.
Besonders wichtige Einrichtungen umfassen Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement und öffentliche Verwaltung. Wichtige Einrichtungen sind Unternehmen in den weiteren kritischen Sektoren: Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste (Dienstleister, Marktplätze, Suchmaschinen) und Forschungseinrichtungen. Bestimmte Unternehmen und Organisationen fallen unabhängig von ihrer Größe unter die NIS-2-Richtlinie — etwa Betreiber kritischer Infrastrukturen.
Die Richtlinie verpflichtet betroffene Unternehmen, die Cybersicherheit in ihrer gesamten Lieferkette sicherzustellen und die Einhaltung der Anforderungen durch Dienstleister zu überprüfen. Was das für Unternehmen bedeutet: Wenn Ihre Kunden unter NIS-2 fallen, werden diese Nachweise von Ihnen verlangen. Wer die geforderten Sicherheitsmaßnahmen nicht nachweisen kann, riskiert den Verlust der Geschäftsbeziehung. Ein Metallverarbeitungsbetrieb, der für einen Energieversorger produziert? Betroffen über die Lieferkette. Eine IT-GmbH, die Managed Services für einen Klinikkonzern erbringt? Ebenfalls betroffen. Mehr dazu in unserem Artikel NIS2 Lieferantenaudit: So bestehen KMU als Zulieferer.
Nach dem NIS2UmsuCG muss die Geschäftsleitung die Risikomanagement-Maßnahmen persönlich genehmigen — nicht delegieren, sondern persönlich freigeben. Die Geschäftsführung muss deren Umsetzung und Überwachung sicherstellen und selbst an Cybersicherheitsschulungen teilnehmen. Bei Pflichtverletzung haftet die Geschäftsführung persönlich — auch mit dem Privatvermögen. Diese Verantwortung ist ausdrücklich nicht auf den CISO oder IT-Leiter delegierbar. Unternehmen müssen sicherstellen, dass die Geschäftsleitung ihre Pflichten kennt. Details auf unserer Seite NIS2 Geschäftsführer-Haftung.
Die NIS-2-Richtlinie definiert konkrete Risikomanagementmaßnahmen. Unternehmen müssen geeignete Sicherheitsmaßnahmen ergreifen:
Risikomanagement: Systematische Risikoanalyse, technische Maßnahmen (Verschlüsselung, Zugangskontrolle, Netzwerksegmentierung), organisatorische Maßnahmen (Sicherheitsrichtlinien, Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit) und Business Continuity mit Wiederherstellung nach einem Notfall.
Meldepflichten bei Sicherheitsvorfällen: Betroffene Unternehmen müssen Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung an das BSI melden, innerhalb von 72 Stunden eine detaillierte Meldung nachliefern und nach einem Monat einen Abschlussbericht vorlegen. Jeder Vorfall mit erheblichen Auswirkungen auf Netz- und Informationssysteme muss gemeldet werden.
Sicherheit der Lieferkette: Bewertung der Sicherheitsmaßnahmen aller Zulieferer und Dienstleister, vertragliche Vereinbarungen und regelmäßige Überprüfung. Die Richtlinie sieht vor, dass betroffene Unternehmen die Einhaltung der Cybersicherheitsstandards bei Dienstleistern kontrollieren.
Schulungspflicht: Alle relevanten Mitarbeitenden — einschließlich der Geschäftsführung und des Management — müssen regelmäßig in Cybersicherheit geschult werden. Neben klassischen Schulungen gewinnen Workshops und Vorträge an Bedeutung, die das Thema Informationssicherheit praxisnah vermitteln. Unternehmen sind verpflichtet, Schulungsnachweise zu dokumentieren.
Registrierungspflicht: Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren und eine Kontaktstelle für Cybersicherheitsvorfälle benennen. Die Registrierung muss innerhalb von drei Monaten nach Inkrafttreten erfolgen.
Ein Verstoß gegen die NIS-2-Richtlinie hat weitreichende Konsequenzen für betroffene Unternehmen und Organisationen. Besonders wichtige Einrichtungen riskieren Bußgelder bis 10 Millionen Euro oder 2 % des Jahresumsatzes. Wichtige Einrichtungen bis 7 Mio. Euro oder 1,4 % des Umsatzes. Das BSI kann bei einem Verstoß organisatorische und technische Maßnahmen anordnen und die Geschäftsführung vorübergehend von der Ausübung ihrer Tätigkeit untersagen. Ein Verstoß gegen die Meldepflichten bei Sicherheitsvorfällen kann eigenständige Bußgelder auslösen. Die Sanktionen sind deutlich schärfer als bei der alten NIS-Richtlinie — betroffene Unternehmen müssen die Einhaltung dokumentieren, um jeden Verstoß zu vermeiden.
| Aspekt | DSGVO | NIS-2 |
|---|---|---|
| Schutzobjekt | Personenbezogene Daten | Netz- und Informationssysteme |
| Meldefrist | 72 Stunden | 24 Stunden (Frühwarnung) |
| Bußgelder | Bis 20 Mio. € / 4 % Umsatz | Bis 10 Mio. € / 2 % Umsatz |
| Aufsichtsbehörde | Landesdatenschutzbehörden | BSI (Bundesamt für Sicherheit in der Informationstechnik) |
| Persönliche Haftung GF | Indirekt | Direkt verankert |
NIS-2 und DSGVO schließen sich nicht aus. Bei einem Cyberangriff, der auch personenbezogene Daten betrifft, müssen betroffene Unternehmen beide Meldewege bedienen — BSI und Datenschutzbehörde. Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) betreiben, sind strategisch im Vorteil — geschützte Netz- und Informationssysteme und dokumentierte Prozesse helfen bei der Einhaltung beider Regelwerke.
Unternehmen müssen jetzt handeln, um die Einhaltung der Anforderungen zu erfüllen. Die Umsetzung beginnen Sie mit diesen Schritten:
Als spezialisierte Berater für Datenschutz und Informationssicherheit unterstützen wir Unternehmen in Hamburg und deutschlandweit bei der NIS-2 Umsetzung mit maßgeschneiderten Lösungen:
Viele Unternehmen denken bei NIS-2 zuerst an die großen Konzerne. Aber gerade der Mittelstand hat den größten Handlungsbedarf. Die Strukturen für systematische Cybersicherheit fehlen oft. Die gute Nachricht: Mit einem klaren Fahrplan ist die Umsetzung machbar.
Nils OehmichenDatenschutzberater bei frag.hugo
Unsicher, ob NIS-2 Ihr Unternehmen betrifft?
In einem kostenlosen Erstgespräch prüfen wir Ihre Betroffenheit und zeigen den Handlungsbedarf.
Erstgespräch buchen →Ja. Das NIS2UmsuCG gilt seit Dezember 2025 ohne Übergangsfrist. Die NIS-2-Richtlinie wurde nationales Recht umgesetzt — betroffene Unternehmen müssen die neuen Anforderungen der Richtlinie sofort erfüllen und die Umsetzung beginnen. Die Umsetzung der NIS-Richtlinie erfolgte verspätet, da Deutschland die Frist bis Oktober 2024 verfehlt hatte. Für Unternehmen in Deutschland bedeutet das: sofortiger Handlungsbedarf ohne Schonfrist.
Direkt betroffen sind Unternehmen in 18 Sektoren ab 50 Mitarbeitende oder 10 Mio. Euro Umsatz. Wesentliche und wichtige Einrichtungen müssen Risikomanagementmaßnahmen umsetzen. Über die Lieferkette können auch kleinere Unternehmen betroffen sein — die NIS-2-Richtlinie betroffen sind auch Dienstleister, deren Kunden in kritischen Sektoren tätig sind. Das BSI überwacht die Einhaltung. Bei Verstößen drohen Bußgelder und persönliche Haftung der Geschäftsführung.
Ein Verstoß gegen die Meldepflichten löst eigenständige Bußgelder aus. Betroffene Unternehmen müssen Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden. Das Bundesamt für Sicherheit in der Informationstechnik kann Bußgelder bis 10 Millionen Euro verhängen. Unternehmen müssen Incident-Response-Prozesse etablieren, die eine fristgerechte Meldung sicherstellen.
Betroffene Unternehmen müssen ergreifen: systematisches Risikomanagement für Netz- und Informationssysteme, Verschlüsselung, Zugangskontrolle, Netzwerksegmentierung, Sicherheit der Lieferkette, Business-Continuity-Management mit Wiederherstellung nach einem Notfall und Schulungen zur Cybersicherheit. Die Sicherheitsmaßnahmen müssen an die spezifischen Cyberbedrohungen im jeweiligen Sektor angepasst sein. Die Richtlinie legt die Mindestanforderungen fest — die Umsetzung der NIS2-Richtlinie in nationales Recht konkretisiert die Pflichten für Unternehmen in Deutschland.
Dienstleister, die über die Lieferkette betroffen sind, können die Einhaltung durch dokumentierte Sicherheitsmaßnahmen für ihre Netz- und Informationssysteme, regelmäßige Risikobewertungen und Incident-Response-Prozesse nachweisen. Unser Hugo Shield unterstützt Dienstleister und betroffene Unternehmen bei der systematischen Dokumentation — als Bestandteil der NIS2-Richtlinie ist die Lieferkettensicherheit ein zentraler Nachweis gegenüber Kunden in kritischen Sektoren.
Inhaltsverzeichnis
DORA gilt seit Januar 2025 für alle Finanzunternehmen in der EU. Die 5 Pflichten, BaFin-Anforderungen und Ihre Schritt-für-Schritt-Umsetzung im Überblick.
WeiterlesenCloud-Sicherheit für Unternehmen: Die größten Risiken bei AWS, Azure & Co. und konkrete Schutzmaßnahmen nach DSGVO und NIS2. Mit Checkliste für KMU.
WeiterlesenIT-Sicherheit Gehalt in Deutschland: Durchschnittsverdienst, Einstiegsgehalt und was CISOs, Pentester und Security-Analysten netto verdienen.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
