EuroComply
Sign up
Back to blog
NIS2 11 min read

Was ist NIS2? Ein vollständiger Leitfaden für Unternehmen

What you need to know: Was ist NIS2? Ein vollständiger Leitfaden für Unternehmen

Die NIS2-Richtlinie (Richtlinie 2022/2555) ersetzte NIS1 im Oktober 2024. Dieser Leitfaden behandelt wesentliche und wichtige Einrichtungen, Sicherheitsmaßnahmen nach Artikel 21, Meldepflichten für Vorfälle, Haftung der Geschäftsleitung und Bußgelder.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die NIS2-Richtlinie (Richtlinie 2022/2555) ist das Cybersicherheitsrecht der Europäischen Union für kritische und wichtige Sektoren. Sie ersetzte die ursprüngliche NIS1-Richtlinie (2016/1148) und hatte eine Umsetzungsfrist bis zum 17. Oktober 2024 — das bedeutet, dass die EU-Mitgliedstaaten ihre Anforderungen bis zu diesem Datum in nationales Recht umzusetzen hatten.

NIS2 erweitert den Anwendungsbereich der verbindlichen Cybersicherheitspflichten erheblich, führt eine direkte Haftung der Geschäftsleitung ein, vereinheitlicht die Vorfallsmeldung und erhöht die Höchstbußgelder. Dieser Leitfaden behandelt alles, was betroffene Organisationen verstehen müssen.

Was ist NIS2?

NIS2 legt Mindeststandards für die Cybersicherheit von Betreibern in kritischen und wichtigen Sektoren in der gesamten EU fest. Während NIS1 eine enge Liste von Betreibern wesentlicher Dienste und Anbietern digitaler Dienste umfasste, gilt NIS2 für eine deutlich breitere Auswahl an Sektoren und Unternehmensgrößen.

Die wesentliche Änderung in NIS2 besteht im Übergang von der Selbstidentifizierung (NIS1 ließ die Mitgliedstaaten Einrichtungen benennen) zu einer größenbasierten Schwellenwertregel: Die meisten Einrichtungen in erfassten Sektoren, die den Schwellenwert für mittlere Unternehmen erreichen, fallen automatisch in den Anwendungsbereich.

NIS2 ist eine Richtlinie, keine Verordnung — sie erforderte die Umsetzung in nationales Recht. Anfang 2026 haben die meisten EU-Mitgliedstaaten die Umsetzung abgeschlossen oder weitgehend abgeschlossen, obwohl die Umsetzungsqualität und die Aufsichtskapazität variieren.

Für wen gilt NIS2?

Sektoraler Anwendungsbereich

NIS2 unterteilt erfasste Sektoren in Anhang I (Wesentliche Einrichtungen) und Anhang II (Wichtige Einrichtungen):

| Klassifizierung | Sektoren | |----------------|---------| | Wesentliche Einrichtungen (Anhang I) | Energie (Strom, Öl, Gas, Fernwärme/-kälte, Wasserstoff), Verkehr (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur (IXPs, DNS, TLD-Register, Cloud-Computing, Rechenzentren, CDNs, Vertrauensdienste, elektronische Kommunikationsnetze), IKT-Dienstleistungsmanagement (MSPs, MSSPs), Öffentliche Verwaltung (Zentralregierung), Weltraum | | Wichtige Einrichtungen (Anhang II) | Post- und Kurierdienste, Abfallwirtschaft, Herstellung und Verteilung chemischer Stoffe, Lebensmittelproduktion und -verteilung, Herstellung (Medizinprodukte, Computer/Elektronik, Maschinen, Kraftfahrzeuge, sonstige Transportmittel), Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerkplattformen), Forschungsorganisationen |

Größenschwellenwerte

Die Grundregel besagt, dass Einrichtungen in erfassten Sektoren mindestens den Schwellenwert für mittlere Unternehmen erreichen müssen, um in den Anwendungsbereich zu fallen:

  • Mittleres Unternehmen: 50+ Beschäftigte oder jährlicher Umsatz/Bilanzsumme von 10 Mio. € oder mehr
  • Großes Unternehmen: 250+ Beschäftigte oder Jahresumsatz von 50 Mio. € oder mehr oder Bilanzsumme von 43 Mio. € oder mehr

Einrichtungen unterhalb des Schwellenwerts für mittlere Unternehmen sind grundsätzlich nicht im Anwendungsbereich, es sei denn, sie werden von Mitgliedstaaten unabhängig von ihrer Größe ausdrücklich als kritisch eingestuft (Art. 2 Abs. 2) — z. B. der einzige Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat oder eine Einrichtung, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte.

Wesentliche Einrichtungen sind typischerweise große Unternehmen in Sektoren des Anhangs I. Wichtige Einrichtungen sind typischerweise mittlere Unternehmen in einem der beiden Anhänge. Die Unterscheidung ist relevant für die Intensität der Aufsicht und die Höchstbußgelder.

Sicherheitsmaßnahmen nach Artikel 21

Artikel 21 ist das operative Kernstück von NIS2. Er verpflichtet wesentliche und wichtige Einrichtungen, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu beherrschen. Die Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz basieren und mindestens die folgenden zehn Bereiche abdecken:

| Verpflichtung | Beschreibung | |--------------|-------------| | 1. Risikomanagementsrichtlinien | Schriftliche Richtlinien zur Risikoanalyse und Sicherheit von Informationssystemen | | 2. Vorfallsbehandlung | Verfahren zur Erkennung, Klassifizierung, Reaktion und Wiederherstellung | | 3. Business Continuity | BCM-Pläne, die Backup-Management, Notfallwiederherstellung und Krisenmanagement abdecken | | 4. Lieferkettensicherheit | Sicherheit in Beschaffungsbeziehungen — Beurteilung der Sicherheitspraktiken und der Praxis zur Offenlegung von Schwachstellen bei Lieferanten | | 5. Sicherheit bei Beschaffung, Entwicklung und Wartung | Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Schwachstellenbehandlung und -offenlegung | | 6. Offenlegung von Schwachstellen | Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen, einschließlich koordinierter Offenlegung von Schwachstellen | | 7. Cyber-Hygiene und Schulung | Grundlegende Cyber-Hygienepraktiken und Cybersicherheitsschulungen für Mitarbeiter und Management | | 8. Kryptografie und Verschlüsselung | Richtlinien zur Verwendung von Kryptografie und, soweit angemessen, Verschlüsselung | | 9. Personalsicherheit und Zugangskontrolle | Asset-Management, Personalsicherheitsrichtlinien und Zugangskontrollen | | 10. Multi-Faktor-Authentifizierung (MFA) | Einsatz von MFA oder Lösungen zur kontinuierlichen Authentifizierung sowie sichere Sprach-, Video- und Textkommunikation und gesicherte Notfallkommunikation, sofern angemessen |

Die Maßnahmen müssen dem Risiko entsprechend verhältnismäßig sein — eine große Finanzmarktinfrastruktur hat andere Verpflichtungen als ein mittelständischer Lebensmittelhersteller, auch wenn beide in den Anwendungsbereich fallen.

Einrichtungen müssen auch die Sicherheit in Lieferketten berücksichtigen. Artikel 21 Abs. 3 schreibt ausdrücklich vor, dass Einrichtungen die spezifischen Schwachstellen jedes unmittelbaren Lieferanten und Dienstleisters sowie die Gesamtqualität der Produkte und Cybersicherheitspraktiken ihrer Lieferanten berücksichtigen müssen.

Vorfallsmeldung (Artikel 23)

NIS2 führt eine strukturierte, dreistufige Meldepflicht für erhebliche Vorfälle ein — Vorfälle, die erhebliche Auswirkungen auf die Erbringung von Diensten haben oder haben könnten. Ein Vorfall ist erheblich, wenn er schwerwiegende betriebliche Störungen, finanzielle Verluste oder materielle oder immaterielle Schäden bei Dritten verursacht.

| Stufe | Frist | Inhalt | |-------|-------|--------| | Frühwarnung | Innerhalb von 24 Stunden nach Kenntnisnahme | Angabe, ob der Vorfall mutmaßlich böswillig oder grenzüberschreitend ist; kurze Charakterisierung | | Vorfallsmeldung | Innerhalb von 72 Stunden nach Kenntnisnahme | Aktualisierte Bewertung des Vorfalls einschließlich anfänglicher Schwere und Auswirkungen; Kompromittierungsindikatoren, soweit verfügbar | | Abschlussbericht | Innerhalb von 1 Monat nach der Vorfallsmeldung | Vollständige Beschreibung, Art der Bedrohung oder Ursache, angewandte und laufende Minderungsmaßnahmen, grenzüberschreitende Auswirkungen |

Bei laufenden Vorfällen zum Zeitpunkt der 1-Monats-Frist wird stattdessen ein Fortschrittsbericht eingereicht; der Abschlussbericht ist einen Monat nach Abschluss des Vorfalls fällig.

Erhebliche Vorfälle sind dem nationalen CSIRT (Computer Security Incident Response Team) und gegebenenfalls der zuständigen nationalen Behörde zu melden. Einrichtungen können betroffene Dienstleistungsempfänger auch ohne unangemessene Verzögerung benachrichtigen, wenn der Vorfall diese voraussichtlich betrifft.

Haftung der Geschäftsleitung (Artikel 20)

NIS2 führt eine direkte Verantwortlichkeitsanforderung auf Governance-Ebene ein. Artikel 20 schreibt vor:

  • Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die nach Artikel 21 ergriffenen Maßnahmen zum Risikomanagement der Cybersicherheit genehmigen
  • Leitungsorgane müssen die Umsetzung dieser Maßnahmen überwachen
  • Mitglieder des Leitungsorgans können für Verstöße gegen NIS2-Verpflichtungen persönlich haftbar gemacht werden

Artikel 20 Abs. 4 geht noch weiter: Zuständige Behörden können einer natürlichen Person, die auf CEO- oder gesetzlicher Vertretungsebene Leitungsaufgaben wahrnimmt, vorübergehend untersagen, Leitungsfunktionen auszuüben, wenn diese Einrichtung wiederholte Verstöße nachgewiesen hat.

Dies stellt eine erhebliche Abkehr vom typischen regulatorischen Modell dar, bei dem Bußgelder gegen die Organisation verhängt werden. NIS2 schafft eine individuelle Verantwortlichkeit, die bis in die Führungsebene und den Vorstand reicht.

Die praktische Konsequenz ist, dass Cybersicherheit keine rein technische Funktion mehr ist — sie muss als Governance-Angelegenheit behandelt werden. Vorstände und Führungsteams benötigen ausreichendes Verständnis von Cybersicherheitsrisiken, um Maßnahmen sinnvoll genehmigen und überwachen zu können.

Aufsicht und Durchsetzung

NIS2 unterscheidet zwischen Aufsichtsregimen:

  • Wesentliche Einrichtungen unterliegen einer Ex-ante-Aufsicht — proaktive, laufende aufsichtsrechtliche Überwachung einschließlich Vor-Ort-Inspektionen, externer Aufsicht, gezielter Sicherheitsprüfungen und Sicherheitsscans.
  • Wichtige Einrichtungen unterliegen einer Ex-post-Aufsicht — aufsichtsrechtliche Maßnahmen, die durch Nachweise der Nichtkonformität, Beschwerden oder Vorfälle ausgelöst werden.

Zuständige Behörden können Einrichtungen verpflichten, Informationen bereitzustellen, Sicherheitsmaßnahmen umzusetzen, betroffene Empfänger zu benachrichtigen und einen unabhängigen Sicherheitsprüfer zu bestellen.

Bußgelder (Artikel 34)

NIS2 legt Mindesthöchstbußgeldniveaus fest, die die Mitgliedstaaten umsetzen müssen. Wie bei der DSGVO werden Bußgelder auf der Grundlage des jeweils höheren Betrags festgesetzt — entweder des absoluten Betrags oder des Prozentsatzes des weltweiten Jahresumsatzes.

| Einrichtungstyp | Höchstbußgeld | |----------------|--------------| | Wesentliche Einrichtungen | 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes | | Wichtige Einrichtungen | 7.000.000 € oder 1,4 % des gesamten weltweiten Jahresumsatzes |

Die Mitgliedstaaten können in nationalen Umsetzungsgesetzen höhere Höchstgrenzen festlegen. Bußgelder werden auf nationaler Ebene von der zuständigen Aufsichtsbehörde verhängt.

Zusätzlich zu Bußgeldern können zuständige Behörden verbindliche Anweisungen, Compliance-Anordnungen und vorübergehende Verbote der Dienstleistungserbringung bei wiederholten oder schwerwiegenden Verstößen erlassen.

Verhältnis zu anderen EU-Verordnungen

NIS2 gilt neben anderen EU-Instrumenten für Cybersicherheit und Datenschutz, nicht anstelle davon:

  • DSGVO — Eine Datenpanne kann gleichzeitig die DSGVO-Meldepflicht (72 Stunden, Art. 33 DSGVO) und die NIS2-Vorfallsmeldung auslösen. Die beiden Meldepflichten laufen parallel.
  • DORA (Digital Operational Resilience Act, VO 2022/2554) — Gilt für Finanzunternehmen (Banken, Versicherer, Investmentfirmen, Kryptowertedienstleister, Zahlungsinstitute). Soweit DORA gilt, hat es gegenüber NIS2 Vorrang für diese Einrichtungen (lex specialis).
  • Cyber Resilience Act (CRA) — Gilt für Hersteller von Produkten mit digitalen Elementen. Betrifft Produktsicherheit, nicht operative Sicherheit.
  • Sektorale Regulierungen — Einrichtungen im Gesundheits-, Energie- und Verkehrssektor unterliegen zusätzlichen sektorspezifischen Anforderungen, die NIS2 überlagern.

Umsetzungsschritte für KMU und den Mittelstand

Für Organisationen, die neu unter NIS2 fallen (von denen viele unter NIS1 nicht erfasst waren), umfasst die Umsetzung typischerweise drei Phasen:

Phase 1 — Scoping und Lückenanalyse (Monate 1–2)

Prüfen Sie, ob Ihre Organisation in den Anwendungsbereich fällt: Überprüfen Sie den Sektor (Anhang I oder II) und den Größenschwellenwert. Ermitteln Sie, welche zuständige Behörde des Mitgliedstaats Sie beaufsichtigt (grundsätzlich der Staat, in dem Sie ansässig sind oder in dem Sie den Dienst erbringen). Registrieren Sie sich bei der zuständigen Behörde, sofern dies erforderlich ist — mehrere Mitgliedstaaten verlangen eine Selbstregistrierung für erfasste Einrichtungen. Führen Sie eine Lückenanalyse gegenüber den zehn Verpflichtungen aus Artikel 21 durch.

Phase 2 — Grundlegende Kontrollen (Monate 3–6)

Setzen Sie die Maßnahmen mit höchster Priorität um oder formalisieren Sie diese: Vorfallsbehandlungsverfahren, BCM-/DR-Pläne, Zugangskontrolle und MFA, Lieferkettenbewertung, Schwachstellenmanagement und Mitarbeiterschulung. Dokumentieren Sie alles — die NIS2-Aufsicht stützt sich stark auf schriftliche Nachweise.

Phase 3 — Governance und laufende Sicherstellung (Monat 6+)

Integrieren Sie Cybersicherheit in die Vorstands-/Unternehmensführung. Etablieren Sie Genehmigungsverfahren und Überwachungsprozesse der Geschäftsleitung (Art. 20). Implementieren Sie eine kontinuierliche Überwachung zur Vorfallserkennung. Testen Sie BCM- und Incident-Response-Verfahren mindestens jährlich. Entwickeln Sie ein Programm zur Sicherheitsbewertung der Lieferkette für kritische Lieferanten.

Wichtige Fragen an Lieferanten: Verfügen sie über ein dokumentiertes Informationssicherheits-Managementsystem (ISO 27001 oder gleichwertig)? Wie gehen sie mit der Offenlegung von Schwachstellen um? Welche Vorfallsmeldepflichten haben sie Ihnen gegenüber? Welche BCM-Fähigkeiten haben sie?

Zusammenfassung

NIS2 stellt einen grundlegenden Wandel in der EU-Cybersicherheitsregulierung dar. Die Richtlinie hat einen breiteren Anwendungsbereich als NIS1, ist in ihren Sicherheitsverpflichtungen detaillierter, stellt höhere Anforderungen an die Geschwindigkeit der Vorfallsmeldung und ist direkter in ihren Bestimmungen zur Managementverantwortung. Für neu in den Anwendungsbereich fallende Organisationen lautet die praktische Priorität: Anwendungsbereich bestätigen, wo erforderlich registrieren, eine Lückenanalyse gegenüber Artikel 21 durchführen und die Governance-Infrastruktur aufbauen, die Art. 20 fordert. Die Bestimmungen zur Haftung der Geschäftsleitung bedeuten, dass Cybersicherheits-Compliance keine delegierbare IT-Funktion mehr ist — sie erfordert aktives Engagement der Führungsebene.


Zuletzt aktualisiert: April 2026.

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Häufig gestellte Fragen

Wie erkenne ich, ob mein Unternehmen eine wesentliche oder wichtige Einrichtung unter NIS2 ist?

Die Einordnung unter NIS2 hängt von zwei Faktoren ab: ob Ihr Sektor in Anhang I (wesentlich) oder Anhang II (wichtig) der Richtlinie 2022/2555 aufgeführt ist und ob Ihre Organisation den Schwellenwert für mittlere Unternehmen von 50 oder mehr Beschäftigten oder mindestens 10 Millionen Euro Jahresumsatz oder Bilanzsumme erfüllt. Wenn Sie in einem erfassten Sektor tätig sind und diesen Schwellenwert erreichen, fallen Sie standardmäßig in den Anwendungsbereich — Sie müssen nicht auf eine behördliche Mitteilung warten. Wesentliche Einrichtungen sind in der Regel große Unternehmen (250+ Beschäftigte oder 50 Mio. € Umsatz oder mehr) in Sektoren des Anhangs I. Wichtige Einrichtungen sind mittlere oder große Unternehmen in einem der beiden Anhänge. Art. 2 Abs. 2 ermöglicht es Mitgliedstaaten auch, kleinere Einrichtungen in den Anwendungsbereich aufzunehmen, wenn diese unabhängig von ihrer Größe für die öffentliche Sicherheit, die innere Sicherheit oder die Wirtschaft kritisch sind.

Was verlangt NIS2 für die Vorfallsmeldung?

Artikel 23 NIS2 legt ein dreistufiges Meldeverfahren für erhebliche Vorfälle fest. Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls muss die Einrichtung eine Frühwarnung beim nationalen CSIRT einreichen, die angibt, ob der Vorfall auf böswilliges Handeln zurückzuführen zu sein scheint und ob er voraussichtlich grenzüberschreitende Auswirkungen haben wird. Innerhalb von 72 Stunden muss eine umfassendere Vorfallsmeldung mit einer anfänglichen Schweregradbewertung und Kompromittierungsindikatoren folgen. Ein Abschlussbericht mit der Ursache, den angewandten Minderungsmaßnahmen und etwaigen grenzüberschreitenden Auswirkungen ist innerhalb eines Monats nach der ursprünglichen Meldung fällig. Ein Vorfall ist erheblich, wenn er schwerwiegende betriebliche Störungen oder finanzielle Verluste verursacht oder andere Organisationen betrifft — die ENISA-Leitlinien zur Vorfallsklassifizierung bieten praktische Beispiele zur Kalibrierung von Schwellenwerten.

Welche Sanktionen drohen bei Nichteinhaltung von NIS2?

Artikel 34 NIS2 legt Mindesthöchstbußgelder fest, die die Mitgliedstaaten in nationales Recht umsetzen müssen. Für wesentliche Einrichtungen beträgt das Höchstbußgeld 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen beträgt das Höchstbußgeld 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes. Die Mitgliedstaaten können höhere Höchstgrenzen festlegen. Neben Bußgeldern können zuständige Behörden verbindliche Anweisungen erlassen, unabhängige Sicherheitsprüfungen anordnen und — bei wiederholten oder schwerwiegenden Verstößen — leitenden Führungskräften nach Artikel 32 vorübergehend die Ausübung ihrer Funktionen untersagen. Die Haftungsbestimmungen nach Artikel 20 bedeuten, dass nicht nur die Organisation, sondern auch einzelne Führungskräfte bei anhaltenden Verstößen Konsequenzen tragen können.

Quellen

Key takeaways: Was ist NIS2? Ein vollständiger Leitfaden für Unternehmen

This article covers: Was ist NIS2?, Für wen gilt NIS2?, Sicherheitsmaßnahmen nach Artikel 21.

  • Was ist NIS2?
  • Für wen gilt NIS2?
  • Sicherheitsmaßnahmen nach Artikel 21
  • Vorfallsmeldung (Artikel 23)
  • Haftung der Geschäftsleitung (Artikel 20)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Was ist NIS2? Ein vollständiger Leitfaden für Unternehmen