Was ist NIS‒2?
Die NIS-2-Richtlinie (EU) 2022/2555 ist eine europäische Cybersicherheitsrichtlinie mit dem Ziel, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu schaffen. „NIS" steht für Network and Information Security – die Richtlinie ist der Nachfolger des bisherigen IT-Sicherheitsgesetzes 2.0 und erweitert dessen Anforderungen erheblich.
Die NIS-2-Richtlinie verpflichtet „wesentliche" und „wichtige Einrichtungen" zu verbindlichen Maßnahmen in den Bereichen Risikomanagement, Lieferkettensicherheit, Incident Response, Meldepflichten, Dokumentation und Governance auf Geschäftsleitungsebene. Cybersicherheit wird damit von einer freiwilligen Maßnahme zur überprüfbaren, sanktionsbewehrten Pflicht.
Warum gibt es NIS‒2?
Die NIS-2-Richtlinie wurde eingeführt, weil das bisherige EU-Cybersicherheitsniveau den stark gestiegenen Bedrohungen nicht mehr gewachsen war. Ziel ist es, ein einheitliches, durchsetzbares Sicherheitsniveau zu schaffen, klare Verantwortlichkeiten festzulegen und die Resilienz von Unternehmen und ihren Lieferketten gezielt zu stärken. Insbesondere KRITIS-Betreiber und Unternehmen mit gesellschaftlich relevanten Dienstleistungen stehen im Fokus.
Mit der Verankerung persönlicher Geschäftsführerhaftung und empfindlichen Bußgeldern macht NIS-2 deutlich: Cybersicherheit ist Chefsache – keine IT‒Abteilungsaufgabe.
Seit wann gilt NIS‒2?
Die NIS-2-Richtlinie ist in Deutschland in Kraft. Am 5. Dezember 2025 wurde das Umsetzungsgesetz verkündet und trat am 6. Dezember 2025 in Kraft. Das BSI-Gesetz (BSIG) wurde angepasst: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nun für eine deutlich größere Zahl von Unternehmen die zuständige Aufsichtsbehörde.
Für betroffene Unternehmen bedeutet das: Die Registrierungspflicht beim BSI läuft bereits – wer noch nicht gehandelt hat, sollte jetzt die eigene NIS-2-Betroffenheit prüfen.
Wer ist von NIS-2 betroffen?
In Deutschland fallen rund 29.500 Organisationen unter die NIS-2-Richtlinie – darunter viele Unternehmen, die sich bisher nicht als Cybersicherheitsregulierung betroffen sahen. Betroffen sind Einrichtungen aus 18 definierten Sektoren, die bestimmte Größenkriterien erfüllen: mindestens 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz bzw. Bilanzsumme.
Welche Unternehmen fallen unter NIS2?
Unternehmen müssen eigenständig prüfen, ob NIS-2 auf sie zutrifft, da keine automatische Benachrichtigung erfolgt.
Eine hilfreiche Orientierung bietet die „NIS-2-Betroffenheitsprüfung“ des BSI
Das BSI stellt eine kostenlose Online-Betroffenheitsprüfung bereit. Der Selbsttest fragt Branche, Mitarbeiterzahl sowie Jahresumsatz und -bilanz ab und ermittelt auf dieser Basis, ob Ihre Organisation als „wesentliche" oder „wichtige Einrichtung" im Sinne der NIS-2-Richtlinie gilt. Ergänzend werden mögliche Sonderrollen und eine bestehende KRITIS-Einstufung berücksichtigt.
Unternehmen, die bereits unter die bisherigen deutschen KRITIS-Regeln fielen, sind automatisch von NIS-2 erfasst.
NIS‒2: Wesentliche vs. wichtige Einrichtungen – der Unterschied
Wesentliche Einrichtungen
haben zentrale Bedeutung für Staat, Wirtschaft und Gesellschaft. Ihr Ausfall hätte erhebliche systemische Folgen. Sie unterliegen der strengsten Aufsicht, den höchsten Sanktionen (bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes) und einer direkten Verantwortung der Geschäftsleitung.
Beispiele: Energie, Wasser, Gesundheit, Transport, Banken, Cloud-Infrastruktur.
Wichtige Einrichtungen
haben hohe wirtschaftliche und gesellschaftliche Relevanz, ohne unmittelbares Systemrisiko. Sie unterliegen denselben NIS-2-Anforderungen bei Risikomanagement, Sicherheitsmaßnahmen und Meldepflichten – jedoch mit etwas geringerer Aufsichtsintensität und niedrigeren Bußgeldobergrenzen (bis 7 Mio. € oder 1,4 % des Jahresumsatzes).
Beispiele: Postdienste, Chemie, Lebensmittelproduktion, Maschinenbau, größere Industrie- und Dienstleistungsunternehmen.
Die zentralen NIS‒2‒Anforderungen im Überblick
Mit Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes unterliegen rund 29.500 Einrichtungen erstmals verbindlichen gesetzlichen Cybersicherheitspflichten. Das BSI wird zur zuständigen Aufsichtsbehörde. Die Kernpflichten umfassen fünf Handlungsfelder:
Registrierungspflicht
Betroffene Unternehmen müssen sich spätestens drei Monate nach erstmaliger Betroffenheit über Mein Unternehmenskonto (MUK) und das BSI-Portal registrieren. Änderungen sind innerhalb von zwei Wochen zu melden.
NIS-2-Meldepflicht
Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden: Erstmeldung innerhalb von 24 Stunden, qualifizierte Folgemeldung nach 72 Stunden, Abschlussbericht innerhalb von 30 Tagen – jeweils an das BSI über das CSIRT-Portal.
NIS-2-Risikomanagement
Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen müssen umgesetzt und nachvollziehbar dokumentiert werden. Die Geschäftsleitung trägt die persönliche Verantwortung für Einführung und Wirksamkeit.
NIS-2-Lieferkette
Sicherheitsbezogene Aspekte aller unmittelbaren Anbieter und Dienstleister müssen kontinuierlich bewertet und dokumentiert werden.
Dokumentation & Governance
Alle Maßnahmen müssen lückenlos dokumentiert und jederzeit auditbereit sein. Die Geschäftsführung muss sich regelmäßig schulen lassen und haftet persönlich bei Pflichtverletzungen.
Das sind die konkreten Anforderungen von NIS‒2:
NIS-2 macht Cybersicherheit zur messbaren, sanktionierten Pflicht. Erstmals legt eine EU-Richtlinie verbindliche Mindeststandards für Risikomanagement, technische Schutzmaßnahmen und Incident Response fest – mit persönlicher Haftung der Geschäftsführung und Bußgeldern von bis zu 10 Millionen Euro.
Die NIS-2-Anforderungen gliedern sich in fünf zentrale Handlungsfelder, die betroffene Unternehmen nachweislich umsetzen müssen: Geschäftsführungsverantwortung mit Schulungspflicht, technische Schutzmaßnahmen (MFA, Verschlüsselung), Meldepflicht innerhalb von 24 Stunden, Lieferkettensicherheit durch kontinuierliche Lieferantenprüfung sowie vollständige Compliance-Dokumentation für Audits und Behörden.
Die größten Herausforderungen bei der NIS‒2‒Compliance
Lieferketten- und Drittpartnerrisiken
Third-Party-Risikomanagement war für viele mittelständische Unternehmen bisher kein strukturierter Prozess. NIS-2-Lieferkette-Anforderungen verlangen nun, Sicherheitsanforderungen vertraglich zu verankern, Nachweise von Dienstleistern einzuholen und bei Schwachstellen unverzüglich zu reagieren.
Kontinuierliches Schwachstellenmanagement
NIS-2-Anforderungen verlangen proaktives Erkennen und Schließen von Sicherheitslücken – inklusive regelmäßiger Vulnerability Scans und Penetrationstests, die viele Unternehmen bisher nicht etabliert haben.
Nachweis der Maßnahmenwirksamkeit
Die Richtlinie fordert messbare Ergebnisse, nicht nur dokumentierte Absichten. Das erfordert Kennzahlen, unabhängige Prüfungen und zertifizierte Audits – und damit neue interne Strukturen.
Einhalten der NIS-2-Meldepflicht
Die 24-Stunden-Frist für die Erstmeldung stellt insbesondere kleine und mittelgroße Unternehmen vor erhebliche organisatorische Herausforderungen. Ohne etablierte Prozesse, klare Zuständigkeiten und belastbare Informationsgrundlagen ist diese Frist kaum einzuhalten.
NIS-2-Anforderungen erfüllen: drei entscheidende Schritte
Verantwortlichkeiten definieren
NIS-2 macht Cybersicherheit zur Managementaufgabe. Der erste Schritt ist die eindeutige Benennung von Zuständigkeiten für Risikobewertung, Präventionsmaßnahmen, Incident Response und Meldepflichten gegenüber dem BSI.
Stabile Prozesse etablieren
NIS-2-Compliance verlangt nachvollziehbare Abläufe. Bestehende IT-Betriebsprozesse, Risikomanagement-Workflows und Vorfallbehandlungsverfahren müssen geprüft, erweitert und lückenlos dokumentiert werden – auditbereit für das BSI.
Automatisierung einsetzen
Manuelle Dokumentation, isolierte Excel-Listen und Einzelprüfungen von Lieferanten sind fehleranfällig und zu langsam für die NIS-2-Meldepflicht mit 24-Stunden-Frist. Automatisierte Tools übernehmen kontinuierliches Monitoring, Risikoüberwachung und Nachweisführung – ohne Mehraufwand für Ihre IT.
Was passiert bei Verstößen gegen die NIS-2-Richtlinie?
NIS-2 verankert Cybersicherheit nicht nur als technische Anforderung, sondern als wirtschaftlich und haftungsrechtlich relevante Managementpflicht. Die Bußgeldsystematik ist in § 65 BSIG geregelt:
Wesentliche Einrichtungen: Geldbußen von bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Wichtige Einrichtungen: Sanktionen von bis zu 7 Mio. Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes.
Hinzu kommt die persönliche Haftung der Geschäftsführung bei Verletzung der Überwachungspflichten. Die Frage ist nicht mehr ob ein Unternehmen von NIS-2-Anforderungen betroffen ist – sondern wie schnell es reagiert.
Tool ist cool" – Werkzeuge für NIS‒2‒Compliance
NIS-2-Compliance fordert Echtzeit-Überwachung, automatisierte Meldeprozesse und kontinuierliche Risikoanalysen. Manuelle Prozesse sind dafür zu langsam und zu fehleranfällig – insbesondere bei der 24-Stunden-Erstmeldefrist.
Die richtige Tool-Infrastruktur macht NIS-2-Anforderungen praktisch umsetzbar: Cyber Threat Intelligence erkennt Angriffe, bevor sie stattfinden. SIEM-Integration dokumentiert Vorfälle automatisch. Compliance-Dashboards liefern BSI-konforme Reports auf Knopfdruck. Und kontinuierliches Dark Web Monitoring überwacht die eigene Angriffsfläche sowie die Sicherheitslage in der Lieferkette – rund um die Uhr, ohne manuelle Auswertung.
Welche Vorteile bietet der Einsatz von Tools zur Erfüllung der NIS‒2‒Anforderungen?
Je früher relevante Risiken und Bedrohungen erkannt werden, desto wirksamer greifen Schutzmaßnahmen. Diese Geschwindigkeit ist ohne automatisierte Werkzeuge kaum realisierbar – insbesondere für Unternehmen, die die NIS-2-Meldepflicht einhalten müssen.
Es wird über-sichtlicher
Relevante Sicherheitsinformationen sind zentral verfügbar, jederzeit nachvollziehbar und auditbereit – das reduziert Komplexität und erleichtert fundierte Entscheidungen auf Managementebene.
Prozesse werden schneller
Strukturierte Erfassung und automatisierte Bewertung von Vorfällen ermöglichen eine zügige Reaktion und unterstützen die Einhaltung der strengen NIS-2-Meldefristen.
Bewertungen werden einheitlich
Standardisierte Bewertungslogiken schaffen Vergleichbarkeit, reduzieren Interpretationsspielräume und erhöhen die Nachvollziehbarkeit gegenüber dem BSI und anderen Aufsichtsbehörden.
Was muss ein gutes Tool können, um bei der Erfüllung der NIS‒2 Anforderungen zu unterstützen?
Ein geeignetes Tool sollte insbesondere folgende Kriterien abdecken:
Kontinuierliches Monitoring
Das Tool überwacht Risiken fortlaufend, erkennt Veränderungen frühzeitig und macht neue Schwachstellen oder Angriffsindikatoren sichtbar – auch außerhalb der eigenen IT-Infrastruktur, z. B. im Dark Web.
Nachweisfähigkeit gegenüber dem BSI
Alle Maßnahmen müssen belegbar sein. Ein geeignetes Tool erzeugt strukturierte Dokumentationen, Reports und Statusübersichten, die im Prüfungs- oder Auditfall sofort verfügbar sind – konform mit den Anforderungen aus § 30 BSIG.
Früherkennung von NIS-2-Lieferkette-Risiken
Das Tool muss Risiken bei Zulieferern und Dienstleistern kontinuierlich überwachen: Copycat-Domains, kompromittierte Mailserver, öffentlich bekannte Schwachstellen, ablaufende Zertifikate. Risiken entstehen oft außerhalb der eigenen IT – und genau dort setzt Cyber Threat Intelligence an.
Wichtige Fragen zu NIS2:
Welche Unternehmen fallen unter NIS2?
NIS2 betrifft Organisationen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in 18 Sektoren, darunter Energie, Transport, Gesundheitswesen, Digitale Infrastruktur, Telekommunikation und Finanzwesen. Zusätzlich sind DNS-Dienste, TLD-Registries, qualifizierte Vertrauensdienste und die öffentliche Verwaltung unabhängig von ihrer Größe betroffen. In Deutschland
betrifft NIS2 rund 30.000 Unternehmen.
Welche Strafen drohen bei NIS2-Verstößen?
Bei Verstößen gegen NIS2-Anforderungen drohen Bußgelder zwischen 100.000 Euro und 20 Millionen Euro, abhängig von der Schwere des Verstoßes. Besonders wichtige Einrichtungen können mit bis zu 2% des weltweiten Jahresumsatzes sanktioniert
werden. Zusätzlich können Geschäftsführer persönlich haften, wenn sie ihre Überwachungspflichten verletzen.
Was sind die wichtigsten NIS2-Anforderungen?
NIS2 fordert ein umfassendes Risikomanagement mit Risikoanalysen, technischen Schutzmaßnahmen (MFA, Verschlüsselung), Incident Management mit 24-Stunden-Meldefristen, Business Continuity Management, Lieferkettensicherheit und Management-Verantwortung inklusive Schulungspflichten. Alle Maßnahmen müssen lückenlos dokumentiert werden.
Wie hilft Cyber Threat Intelligence bei NIS2-Compliance?
Cyber Threat Intelligence automatisiert zentrale NIS2-Anforderungen: Dark Web Monitoring erkennt Bedrohungen frühzeitig, Third-Party Risk Intelligence überwacht die Lieferkette kontinuierlich, automatische Incident-Reporting-Systeme erstellen BSI-konforme Meldungen und Compliance-Dashboards dokumentieren alle Maßnahmen audit-sicher. Tools schaffen die Geschwindigkeit und Konsistenz, die NIS2 fordert.
Was ist der Unterschied zwischen "besonders wichtigen" und "wichtigen" Einrichtungen?
Besonders wichtige Einrichtungen (früher KRITIS) sind Großunternehmen ab 250 Mitarbeitenden in kritischen Sektoren wie Energie oder Gesundheit. Sie unterliegen regelmäßigen behördlichen Prüfungen und strengeren Sanktionen. Wichtige Einrichtungen sind mittelgroße Unternehmen (50-249 Mitarbeitende) oder Organisationen in weniger kritischen Sektoren. Sie werden nur bei Verdacht
oder nach Sicherheitsvorfällen geprüft.
Bis wann muss ich mich beim BSI registrieren?
Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten des NIS2-Umsetzungsgesetzes (Dezember 2025) beim BSI registrieren. Die Registrierung erfolgt über das BSI-Portal und erfordert Angaben zu Sektor, Branche, Kontaktdaten und allen EU-Mitgliedstaaten, in denen das Unternehmen tätig ist.
Wie lauten die Meldefristen von NIS2 bei Sicherheitsvorfällen?
NIS2 definiert ein mehrstufiges Meldeverfahren: Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, erste Bewertung mit Auswirkungsanalyse innerhalb von 72 Stunden und ein ausführlicher Abschlussbericht spätestens nach
einem Monat. Alle Meldungen erfolgen an das BSI über das CSIRT-Portal.
Welche Schulungspflichten haben Geschäftsführer?
Die Geschäftsführung muss sich alle drei Jahre mindestens vier Stunden zu Cyberrisiko-Bewertung und -Management schulen lassen. Sie trägt die Verantwortung für die Billigung und Überwachung aller Risikomanagement-
Maßnahmen und haftet persönlich bei Pflichtverletzungen.
Wie überwache ich meine Lieferkette NIS2-konform?
NIS2 fordert die Bewertung sicherheitsbezogener Aspekte bei allen unmittelbaren Anbietern und Dienstleistern. Dies erfordert kontinuierliches Monitoring, automatische Alerts bei Sicherheitsvorfällen und dokumentierte Risikoanalysen.
Moderne Third-Party Risk Intelligence Plattformen automatisieren diese Prozesse durch Echtzeit-Überwachung und Risk-Scoring.
Kann ich NIS2-Compliance ohne externe Tools erreichen?
Theoretisch ja – praktisch kaum. NIS2 fordert Echtzeit-Monitoring, kontinuierliche Risikoanalysen, 24/7-Überwachung und 24-Stunden-Reaktionszeiten. Manuelle Prozesse schaffen weder die erforderliche Geschwindigkeit noch die geforderte Konsistenz
bei Dokumentation und Reporting. Zudem sind die Personalkosten für manuelle Compliance höher als Tool-Investitionen.
