EuroComply
Konto erstellen
Back to blog
NIS2 7 min read

NIS2-Richtlinie: Wesentliche Anforderungen für Betreiber

What you need to know: NIS2-Richtlinie: Wesentliche Anforderungen für Betreiber

Die NIS2-Richtlinie hat die EU-Cybersicherheitspflichten 2024 erheblich erweitert. Dieser Leitfaden erläutert die 10 Mindestsicherheitsmaßnahmen, die Fristen für die Meldung von Sicherheitsvorfällen und die Haftungsregeln für Leitungsorgane.

Source: EuroComply Editorial (2025-01-20)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die NIS2-Richtlinie (Richtlinie 2022/2555) löste im Oktober 2024 die ursprüngliche NIS-Richtlinie ab und erweiterte sowohl den Anwendungsbereich der EU-Cybersicherheitspflichten als auch die Folgen bei Nichteinhaltung erheblich. Während die ursprüngliche NIS-Richtlinie für eine begrenzte Anzahl von Betreibern wesentlicher Dienste galt, erfasst NIS2 ein deutlich breiteres Spektrum an Sektoren, führt eine direkte Haftung von Leitungsorganen ein und harmonisiert die Anforderungen an die Meldung von Sicherheitsvorfällen unionsweit.

Wenn Ihre Organisation in einem der 18 erfassten Sektoren tätig ist, erläutert dieser Leitfaden, was Sie umsetzen müssen, welche Fristen für die Meldung von Vorfällen gelten und was die Haftung der Leitungsorgane in der Praxis bedeutet.

Anwendungsbereich: Wesentliche und wichtige Einrichtungen

NIS2 schafft zwei Kategorien regulierter Einrichtungen mit unterschiedlichen Aufsichtsregimen:

Wesentliche Einrichtungen unterliegen einer Ex-ante-Aufsicht (proaktive Überwachung). Nationale zuständige Behörden können Inspektionen und Audits durchführen, ohne auf einen Sicherheitsvorfall warten zu müssen. Sanktionen für wesentliche Einrichtungen können 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist.

Wichtige Einrichtungen unterliegen einer Ex-post-Aufsicht — Behörden können nach Hinweisen auf Nichteinhaltung oder nach einem Vorfall ermitteln. Die Sanktionen sind geringer: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Die 18 erfassten Sektoren umfassen: Energie, Verkehr, Bankwesen, Infrastruktur der Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (einschließlich DNS-Anbieter, TLD-Registries, Rechenzentren, Cloud-Anbieter, CDN-Betreiber), IKT-Dienstleistungsverwaltung (B2B-Managed-Service-Provider), öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Fertigung (Medizinprodukte, Computer, Maschinen, Fahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) sowie Forschungseinrichtungen.

Die Einstufung als wesentlich oder wichtig hängt vom Sektor und der Unternehmensgröße ab. Die meisten mittleren und großen Organisationen in den aufgeführten Sektoren fallen automatisch in den Anwendungsbereich. Zuständige Behörden können auch kleinere Einrichtungen als wesentlich oder wichtig einstufen, wenn diese für ihren Sektor kritisch sind.

Die 10 Mindestsicherheitsmaßnahmen (Artikel 21)

Artikel 21 der NIS2-Richtlinie verpflichtet alle erfassten Einrichtungen, „angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen" umzusetzen, die mindestens diese 10 Bereiche abdecken :

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme — dokumentierte Konzepte zur Risikoanalyse und Sicherheit von Informationssystemen mit definierten Rollen und Verantwortlichkeiten.

  2. Bewältigung von Sicherheitsvorfällen — etablierte Prozesse und Verfahren zur Erkennung, Reaktion und Wiederherstellung nach Sicherheitsvorfällen, einschließlich klarer Rollen, Kommunikationspläne und Beweissicherung.

  3. Aufrechterhaltung des Betriebs — Backup-Management, Notfallwiederherstellung und Krisenmanagementverfahren, die sicherstellen, dass der Betrieb nach einer erheblichen Störung wiederhergestellt werden kann.

  4. Sicherheit der Lieferkette — Bewertung der Sicherheitspraktiken direkter Lieferanten und Dienstleister sowie vertragliche Sicherheitsanforderungen entlang der Lieferkette.

  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen — einschließlich Verfahren zur Behandlung und Offenlegung von Schwachstellen für die betriebenen Systeme.

  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit — regelmäßige Tests, Audits und Überprüfungen von Sicherheitskontrollen.

  7. Grundlegende Cyber-Hygienepraktiken und Cybersicherheitsschulungen — regelmäßige Schulungen für alle Mitarbeitenden sowie dokumentierte Konzepte zu grundlegenden Hygienemaßnahmen: Patch-Zeitpläne, Zugangsverwaltung, Multi-Faktor-Authentifizierung, sichere Konfiguration.

  8. Konzepte und Verfahren für den Einsatz von Kryptografie — und gegebenenfalls Verschlüsselung, einschließlich Schlüsselverwaltung.

  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen — Personalsicherheitsverfahren, Verwaltung von Berechtigungen und ein gepflegtes Anlageverzeichnis.

  10. Verwendung von Multi-Faktor-Authentifizierung, kontinuierlichen Authentifizierungslösungen, gesicherten Sprach-, Video- und Textkommunikationssystemen sowie gesicherten Notfallkommunikationssystemen — soweit dies für die Organisation angemessen ist.

Die Maßnahmen müssen verhältnismäßig zum Risiko, zur Größe der Einrichtung und den potenziellen gesellschaftlichen und wirtschaftlichen Auswirkungen eines Vorfalls sein. Das bedeutet nicht, dass kleine Organisationen die Anforderungen ignorieren können — vielmehr werden sie in einem Verhältnis zur Bedrohungslage angewendet.

Meldung von Sicherheitsvorfällen: Dreistufige Frist

Artikel 23 der NIS2-Richtlinie führt ein harmonisiertes dreistufiges Meldeverfahren für erhebliche Sicherheitsvorfälle ein. Ein erheblicher Sicherheitsvorfall ist ein solcher, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder dazu geeignet ist, oder der andere natürliche oder juristische Personen beeinträchtigt hat oder dazu geeignet ist.

Stufe 1 — Frühwarnung (innerhalb von 24 Stunden) : Melden Sie dem nationalen CSIRT oder der zuständigen Behörde, dass ein erheblicher Sicherheitsvorfall eingetreten ist oder vermutet wird. In diesem Stadium ist keine vollständige Bewertung erforderlich — der Zweck besteht darin, den Behörden eine frühzeitige Kenntnisnahme zu ermöglichen.

Stufe 2 — Meldung des Sicherheitsvorfalls (innerhalb von 72 Stunden) : Übermitteln Sie eine Vorfallmeldung mit einer ersten Bewertung des Schweregrads und der Auswirkungen des Vorfalls, etwaigen Kompromittierungsindikatoren und Angaben dazu, ob der Vorfall vermutlich kriminellen oder böswilligen Charakter hat.

Stufe 3 — Abschlussbericht (innerhalb eines Monats) : Legen Sie einen detaillierten Abschlussbericht vor, der eine Beschreibung des Vorfalls einschließlich seines Schweregrads und seiner Auswirkungen, die Art der Bedrohung oder Grundursache, angewandte und laufende Abhilfemaßnahmen sowie bei grenzüberschreitenden Auswirkungen die von anderen betroffenen Mitgliedstaaten benötigten Informationen enthält.

Das Versäumen dieser Fristen — insbesondere der 24-Stunden- und 72-Stunden-Fenster — stellt einen direkten Compliance-Verstoß dar und ist Grundlage für aufsichtsbehördliche Maßnahmen.

Haftung der Leitungsorgane (Artikel 20)

Eine der bedeutendsten Neuerungen der NIS2-Richtlinie ist die direkte persönliche Haftung von Leitungsorganen. Artikel 20 verpflichtet die Mitgliedstaaten sicherzustellen, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Cybersicherheitsrisikomanagementmaßnahmen der Einrichtung genehmigen und überwachen und dass Mitglieder der Leitungsorgane für Verstöße persönlich haftbar gemacht werden können.

In der Praxis bedeutet dies : Vorstände und Geschäftsführung müssen in den Grundlagen der Cybersicherheit geschult werden, die Sicherheitskonzepte und Verfahren zur Reaktion auf Vorfälle der Organisation formell genehmigen und regelmäßige Berichte über den Sicherheitsstatus der Organisation erhalten. Die Haftung der Leitungsorgane ist nicht delegierbar — die Bestellung eines CISO enthebt den Vorstand nicht von seiner Verantwortung.

Übergang von NIS1

Wenn Ihre Organisation der ursprünglichen NIS-Richtlinie unterlag, beginnen Sie nicht von Grund auf neu — aber erhebliche Lücken sind wahrscheinlich. NIS2 fügt strengere Anforderungen an die Lieferkettensicherheit hinzu, eine formale Genehmigungspflicht für Leitungsorgane, die es unter NIS1 nicht gab, spezifischere Schulungspflichten und ein präziseres Rahmenwerk mit 10 Maßnahmen. Die Umsetzungsfrist im Oktober 2024 ist abgelaufen, und nationale zuständige Behörden überwachen die Compliance aktiv.

Organisationen, die neu mit NIS2 konfrontiert sind, sollten mit einer Lückenanalyse gegenüber den 10 Maßnahmen nach Artikel 21 beginnen, ihre Fähigkeiten zur Erkennung und Meldung von Vorfällen gegenüber dem dreistufigen Zeitplan abbilden und sicherstellen, dass die Geschäftsleitung die Sicherheitskonzepte formell genehmigt und eine angemessene Schulung erhalten hat.


Zuletzt aktualisiert: Mai 2026.

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Häufig gestellte Fragen

Wie stellen wir fest, ob unsere Organisation unter NIS2 als wesentliche oder wichtige Einrichtung eingestuft wird ?

Die Einstufung hängt von Ihrem Sektor und den in der nationalen Umsetzungsgesetzgebung definierten Größenschwellenwerten ab. Die NIS2-Richtlinie selbst verwendet die EU-Definition für mittlere und große Unternehmen (50+ Mitarbeitende oder 10 Mio. Euro+ Jahresumsatz). Organisationen in den aufgeführten Sektoren, die diese Schwellenwerte erfüllen, sollten davon ausgehen, dass sie in den Anwendungsbereich fallen, und prüfen, ob sie anhand ihrer spezifischen Sektorkategorie als wesentlich oder wichtig einzustufen sind. Zuständige Behörden in jedem Mitgliedstaat veröffentlichen sektorspezifische Leitlinien und können Organisationen direkt über ihre Einstufung informieren. Im Zweifelsfall ist der sicherste Ansatz, Ihre Organisation als wichtige Einrichtung zu behandeln und die Maßnahmen nach Artikel 21 entsprechend umzusetzen, während Sie auf eine formelle Einstufung warten.

Gilt NIS2 für Tochtergesellschaften von Nicht-EU-Unternehmen, die in der EU tätig sind ?

Ja. Der territoriale Anwendungsbereich von NIS2 erfasst Einrichtungen, die Dienste anbieten oder Tätigkeiten innerhalb der EU ausüben, unabhängig davon, wo das Mutterunternehmen seinen Sitz hat. Eine Tochtergesellschaft oder Niederlassung, die in einem EU-Mitgliedstaat tätig ist und die Sektor- und Größenschwellenwerte erfüllt, unterliegt NIS2 in diesem Mitgliedstaat. Wenn die Einrichtung in mehreren Mitgliedstaaten tätig ist, wird sie in der Regel von dem Mitgliedstaat beaufsichtigt, in dem sie ihre Hauptniederlassung hat, mit Koordinierung zwischen den nationalen zuständigen Behörden bei grenzüberschreitenden Vorfällen.

Welches Verhältnis besteht zwischen NIS2 und der DSGVO bei der Meldung von Sicherheitsvorfällen ?

NIS2 und die DSGVO sehen beide Meldepflichten für Sicherheitsvorfälle vor, basieren jedoch auf unterschiedlichen Auslösern und Fristen. Artikel 33 DSGVO verlangt die Meldung einer Datenpanne bei der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden — ein Standard, der für Datenpannen mit personenbezogenen Daten gilt. Artikel 23 NIS2 verlangt die Meldung von erheblichen Sicherheitsvorfällen, die Netz- und Informationssysteme betreffen, unabhängig davon, ob personenbezogene Daten betroffen sind. Ein Vorfall kann beide Meldepflichten gleichzeitig auslösen. In diesem Fall sollten Meldungen sowohl an das CSIRT oder die nach NIS2 zuständige Behörde als auch an die datenschutzrechtliche Aufsichtsbehörde erfolgen, wobei die jeweiligen Fristen parallel laufen.

Quellen

  • EUR-Lex, Richtlinie (EU) 2022/2555 (NIS2-Richtlinie): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555
  • Agentur der Europäischen Union für Cybersicherheit (ENISA), NIS2-Umsetzungsleitlinien: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
  • Europäische Kommission, NIS2-Umsetzung und nationale zuständige Behörden: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
  • ENISA, Gute Praktiken für die Sicherheit des Internets der Dinge und verwandter Technologien: https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot

Key takeaways: NIS2-Richtlinie: Wesentliche Anforderungen für Betreiber

This article covers: Anwendungsbereich: Wesentliche und wichtige Einrichtungen, Die 10 Mindestsicherheitsmaßnahmen (Artikel 21), Meldung von Sicherheitsvorfällen: Dreistufige Frist.

  • Anwendungsbereich: Wesentliche und wichtige Einrichtungen
  • Die 10 Mindestsicherheitsmaßnahmen (Artikel 21)
  • Meldung von Sicherheitsvorfällen: Dreistufige Frist
  • Haftung der Leitungsorgane (Artikel 20)
  • Übergang von NIS1
Source: EuroComply Editorial (2025-01-20)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.