NIS2 Richtlinie: Anforderungen, Pflichten und Compliance für Unternehmen

NIS2 Compliance für Unternehmen – verständlich erklärt, systematisch umgesetzt.

Die NIS2 Compliance stellt Unternehmen vor neue Herausforderungen im Bereich IT-Sicherheit. Besonders mittelständische Unternehmen und KRITIS-Betreiber müssen ihre Sicherheitsmaßnahmen erweitern und gesetzliche Anforderungen erfüllen. Mit einem strukturierten NIS2 Risikomanagement können Unternehmen Bedrohungen frühzeitig erkennen und ihre IT-Sicherheitsstrategie gezielt verbessern. Diese Seite gibt Ihnen einen vollständigen Überblick: Was fordert NIS2? Wer ist betroffen? Und wie erfüllen Sie die NIS2 Anforderungen effizient – ohne Ihre IT-Abteilung zu überlasten?

Lösung ansehen NIS2 Compliance prüfen

Was ist NIS2?

Die NIS2 Richtlinie (EU) 2022/2555 ist eine europäische Cybersicherheitsrichtlinie mit dem Ziel, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu schaffen. „NIS" steht für Network and Information Security – die Richtlinie ist der Nachfolger des bisherigen IT-Sicherheitsgesetzes 2.0 und erweitert dessen Anforderungen erheblich. Die NIS2 Richtlinie verpflichtet „wesentliche" und „wichtige Einrichtungen" zu verbindlichen Maßnahmen in den Bereichen Risikomanagement, Lieferkettensicherheit, Incident Response, Meldepflichten, Dokumentation und Governance auf Geschäftsleitungsebene. Cybersicherheit wird damit von einer freiwilligen Maßnahme zur überprüfbaren, sanktionsbewehrten Pflicht.

Zur NIS2 Richtlinie

Warum gibt es NIS2?

Die NIS2 Richtlinie wurde eingeführt, weil das bisherige EU-Cybersicherheitsniveau den stark gestiegenen Bedrohungen nicht mehr gewachsen war. Ziel ist es, ein einheitliches, durchsetzbares Sicherheitsniveau zu schaffen, klare Verantwortlichkeiten festzulegen und die Resilienz von Unternehmen und ihren Lieferketten gezielt zu stärken. Insbesondere KRITIS-Betreiber und Unternehmen mit gesellschaftlich relevanten Dienstleistungen stehen im Fokus. Mit der Verankerung persönlicher Geschäftsführerhaftung und empfindlichen Bußgeldern macht NIS2 deutlich: Cybersicherheit ist Chefsache – keine IT‒Abteilungsaufgabe.

Seit wann gilt NIS2?

Die NIS2 Richtlinie ist in Deutschland in Kraft. Am 5. Dezember 2025 wurde das Umsetzungsgesetz verkündet und trat am 6. Dezember 2025 in Kraft. Das BSI-Gesetz (BSIG) wurde angepasst: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nun für eine deutlich größere Zahl von Unternehmen die zuständige Aufsichtsbehörde. Für betroffene Unternehmen bedeutet das: Die Registrierungspflicht beim BSI läuft bereits – wer noch nicht gehandelt hat, sollte jetzt die eigene NIS2 Betroffenheit prüfen.

Das BSI informiert zu NIS2

NIS2 betroffene Unternehmen: Wer muss die Richtlinie umsetzen?

In Deutschland fallen rund 29.500 Organisationen unter die NIS2 Richtlinie – darunter viele Unternehmen, die sich bisher nicht als Cybersicherheitsregulierung betroffen sahen. Betroffen sind Einrichtungen aus 18 definierten Sektoren, die bestimmte Größenkriterien erfüllen: mindestens 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz bzw. Bilanzsumme.

Neben klassischen KRITIS-Betreibern aus Energie, Wasser und Gesundheit fallen nun auch mittelständische Unternehmen aus Bereichen wie Maschinenbau, Lebensmittelproduktion, Chemie und digitale Dienste unter die Pflichten der NIS2 Richtlinie. Unternehmen müssen eigenständig prüfen, ob sie betroffen sind – eine automatische Benachrichtigung erfolgt nicht.

NIS2 gilt für diese Unternehmen: Infografik zeigt Betroffenheitskriterien der NIS2-Richtlinie für deutsche Unternehmen. Dargestellt sind größenabhängige Sektoren (ab 50 Mitarbeitende oder 10 Mio. Euro Umsatz) wie Energie, Transport, Gesundheitswesen, Digitale Infrastruktur, Telekommunikation, Finanzen, Wasser, Abfall, Lebensmittel, Post, Produktion, Chemikalien, Weltraum, Forschung und Digitale Dienste sowie größenunabhängige Sektoren wie DNS-Dienste, TLD-Registries, qualifizierte Vertrauensdienste und öffentliche Verwaltung. Visuelle Übersicht zur NIS2-Compliance und Cybersicherheitspflichten.

Welche Unternehmen fallen unter NIS2?

Unternehmen müssen eigenständig prüfen, ob NIS2 auf sie zutrifft, da keine automatische Benachrichtigung erfolgt.

Eine hilfreiche Orientierung bietet die „NIS2 Betroffenheitsprüfung“ des BSI

Das BSI stellt eine kostenlose Online-Betroffenheitsprüfung bereit. Der Selbsttest fragt Branche, Mitarbeiterzahl sowie Jahresumsatz und -bilanz ab und ermittelt auf dieser Basis, ob Ihre Organisation als „wesentliche" oder „wichtige Einrichtung" im Sinne der NIS2 Richtlinie gilt. Ergänzend werden mögliche Sonderrollen und eine bestehende KRITIS-Einstufung berücksichtigt.

Selbsttest durchführen

In der Praxis prüfen Sie zwei zentrale Kriterien:

Gehört Ihre Organisation zu einem der 18 NIS2 Sektoren?
Erfüllen Sie die Größenschwelle (≥50 Mitarbeitende oder ≥10 Mio. € Umsatz/Bilanz)?

Zur vollständigen Richtlinie

Unternehmen, die bereits unter die bisherigen deutschen KRITIS-Regeln fielen, sind automatisch von NIS2 erfasst.

NIS2: Wesentliche vs. wichtige Einrichtungen – der Unterschied

Infografik zur NIS2-Richtlinie mit Darstellung des Unterschieds zwischen wesentlichen und wichtigen Einrichtungen. In der Mitte ein Kreis mit „NIS 2“, umgeben von Sektoren wie Energie, Verkehr, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Bankenwesen, Finanzmarktinfrastruktur, Post- und Kurierdienste, Lebensmittel, chemische Produkte, Forschung, digitale Dienste, Produktion wichtiger Produkte, Abfall- und Abwasserwirtschaft sowie Weltraum.

Wesentliche Einrichtungen

Wesentliche Einrichtungen haben zentrale Bedeutung für Staat, Wirtschaft und Gesellschaft. Ihr Ausfall hätte erhebliche systemische Folgen. Sie unterliegen der strengsten Aufsicht, den höchsten Sanktionen (bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes) und einer direkten Verantwortung der Geschäftsleitung.

Beispiele: Energie, Wasser, Gesundheit, Transport, Banken, Cloud-Infrastruktur.

Wichtige Einrichtungen

Wichtige Einrichtungen haben hohe wirtschaftliche und gesellschaftliche Relevanz, ohne unmittelbares Systemrisiko. Sie unterliegen denselben NIS2 Anforderungen bei Risikomanagement, Sicherheitsmaßnahmen und Meldepflichten – jedoch mit etwas geringerer Aufsichtsintensität und niedrigeren Bußgeldobergrenzen (bis 7 Mio. € oder 1,4 % des Jahresumsatzes).

Beispiele: Postdienste, Chemie, Lebensmittelproduktion, Maschinenbau, größere Industrie- und Dienstleistungsunternehmen.

Die zentralen NIS2 Anforderungen im Überblick

Mit Inkrafttreten des deutschen NIS2 Umsetzungsgesetzes unterliegen rund 29.500 Einrichtungen erstmals verbindlichen gesetzlichen Cybersicherheitspflichten. Das BSI wird zur zuständigen Aufsichtsbehörde. Die Kernpflichten umfassen fünf Handlungsfelder:

Registrierungspflicht

NIS2 Meldepflicht

NIS2 Risikomanagement

NIS2 Lieferkette

Dokumentation & Governance

Das sind die konkreten Anforderungen von NIS2:

NIS2 macht Cybersicherheit zur messbaren, sanktionierten Pflicht. Erstmals legt eine EU-Richtlinie verbindliche Mindeststandards für Risikomanagement, technische Schutzmaßnahmen und Incident Response fest – mit persönlicher Haftung der Geschäftsführung und Bußgeldern von bis zu 10 Millionen Euro. Die NIS2 Anforderungen gliedern sich in fünf zentrale Handlungsfelder, die betroffene Unternehmen nachweislich umsetzen müssen: Geschäftsführungsverantwortung mit Schulungspflicht, technische Schutzmaßnahmen (MFA, Verschlüsselung), Meldepflicht innerhalb von 24 Stunden, Lieferkettensicherheit durch kontinuierliche Lieferantenprüfung sowie vollständige Compliance-Dokumentation für Audits und Behörden.

Infografik zeigt die 5 zentralen NIS2-Anforderungen für deutsche Unternehmen: Geschäftsführungsverantwortung mit Schulungspflicht, technische Sicherheitsmaßnahmen wie MFA und Verschlüsselung, 24-Stunden-Meldepflicht bei Vorfällen, Lieferantenprüfung und vollständige Compliance-Dokumentation. Bußgelder bis 10 Millionen Euro bei Verstößen.

Die größten Herausforderungen bei der NIS2 Compliance

Lieferketten- und Drittpartnerrisiken

Kontinuierliches Schwachstellenmanagement

Nachweis der Maßnahmenwirksamkeit

Einhalten der NIS2 Meldepflicht

NIS2 Anforderungen erfüllen: drei entscheidende Schritte

Verantwortlichkeiten definieren

NIS2 macht Cybersicherheit zur Managementaufgabe. Der erste Schritt ist die eindeutige Benennung von Zuständigkeiten für Risikobewertung, Präventionsmaßnahmen, Incident Response und Meldepflichten gegenüber dem BSI.

Stabile Prozesse etablieren

NIS2 Compliance verlangt nachvollziehbare Abläufe. Bestehende IT-Betriebsprozesse, Risikomanagement-Workflows und Vorfallbehandlungsverfahren müssen geprüft, erweitert und lückenlos dokumentiert werden – auditbereit für das BSI.

Automatisierung einsetzen

Manuelle Dokumentation, isolierte Excel-Listen und Einzelprüfungen von Lieferanten sind fehleranfällig und zu langsam für die NIS2 Meldepflicht mit 24-Stunden-Frist. Automatisierte Tools übernehmen kontinuierliches Monitoring, Risikoüberwachung und Nachweisführung – ohne Mehraufwand für Ihre IT.

Was passiert bei Verstößen gegen die NIS2 Richtlinie?

NIS2 verankert Cybersicherheit nicht nur als technische Anforderung, sondern als wirtschaftlich und haftungsrechtlich relevante Managementpflicht. Die Bußgeldsystematik ist in § 65 BSIG geregelt: Wesentliche Einrichtungen: Geldbußen von bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen: Sanktionen von bis zu 7 Mio. Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes. Hinzu kommt die persönliche Haftung der Geschäftsführung bei Verletzung der Überwachungspflichten. Die Frage ist nicht mehr ob ein Unternehmen von NIS2 Anforderungen betroffen ist – sondern wie schnell es reagiert.

Werkzeuge und Tools für NIS2 Compliance:

NIS2 Compliance fordert Echtzeit-Überwachung, automatisierte Meldeprozesse und kontinuierliche Risikoanalysen. Manuelle Prozesse sind dafür zu langsam und zu fehleranfällig – insbesondere bei der 24-Stunden-Erstmeldefrist. Die richtige Tool-Infrastruktur macht NIS2 Anforderungen praktisch umsetzbar: Cyber Threat Intelligence erkennt Angriffe, bevor sie stattfinden. SIEM-Integration dokumentiert Vorfälle automatisch. Compliance-Dashboards liefern BSI-konforme Reports auf Knopfdruck. Und kontinuierliches Dark Web Monitoring überwacht die eigene Angriffsfläche sowie die Sicherheitslage in der Lieferkette – rund um die Uhr, ohne manuelle Auswertung.

Tool ansehen

Vorteile von Tools bei der NIS2 Umsetzung

Je früher relevante Risiken und Bedrohungen erkannt werden, desto wirksamer greifen Schutzmaßnahmen. Diese Geschwindigkeit ist ohne automatisierte Werkzeuge kaum realisierbar – insbesondere für Unternehmen, die die NIS2 Meldepflicht einhalten müssen.

Mehr Übersicht

Relevante Sicherheitsinformationen sind zentral verfügbar, jederzeit nachvollziehbar und auditbereit – das reduziert Komplexität und erleichtert fundierte Entscheidungen auf Managementebene.

Schnellere Prozesse

Strukturierte Erfassung und automatisierte Bewertung von Vorfällen ermöglichen eine zügige Reaktion und unterstützen die Einhaltung der strengen NIS2 Meldefristen.

Einheitliche Bewertungen

Standardisierte Bewertungslogiken schaffen Vergleichbarkeit, reduzieren Interpretationsspielräume und erhöhen die Nachvollziehbarkeit gegenüber dem BSI und anderen Aufsichtsbehörden.

Was muss ein gutes Tool können, um bei der Erfüllung der NIS2 Anforderungen zu unterstützen?

Ein geeignetes Tool für NIS2 Compliance muss drei Kernkriterien abdecken:

Kontinuierliches Monitoring

Nachweisfähigkeit gegenüber dem BSI

Früherkennung von NIS2 Lieferkette Risiken

Tool ansehen

Wichtige Fragen zu NIS2:

Welche Unternehmen fallen unter NIS2?

NIS2 betrifft Organisationen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in 18 Sektoren, darunter Energie, Transport, Gesundheitswesen, Digitale Infrastruktur, Telekommunikation und Finanzwesen. Zusätzlich sind DNS-Dienste, TLD-Registries, qualifizierte Vertrauensdienste und die öffentliche Verwaltung unabhängig von ihrer Größe betroffen. In Deutschland betrifft NIS2 rund 30.000 Unternehmen.

Welche Strafen drohen bei NIS2 Verstößen?

Was sind die wichtigsten NIS2 Anforderungen?

Wie hilft Cyber Threat Intelligence bei NIS2 Compliance?

Cyber Threat Intelligence automatisiert zentrale NIS2 Anforderungen: Dark Web Monitoring erkennt Bedrohungen frühzeitig, Third-Party Risk Intelligence überwacht die Lieferkette kontinuierlich, automatische Incident-Reporting-Systeme erstellen BSI-konforme Meldungen und Compliance-Dashboards dokumentieren alle Maßnahmen audit-sicher. Tools schaffen die Geschwindigkeit und Konsistenz, die NIS2 fordert.

Was ist der Unterschied zwischen "besonders wichtigen" und "wichtigen" Einrichtungen?

Besonders wichtige Einrichtungen (früher KRITIS) sind Großunternehmen ab 250 Mitarbeitenden in kritischen Sektoren wie Energie oder Gesundheit. Sie unterliegen regelmäßigen behördlichen Prüfungen und strengeren Sanktionen. Wichtige Einrichtungen sind mittelgroße Unternehmen (50-249 Mitarbeitende) oder Organisationen in weniger kritischen Sektoren. Sie werden nur bei Verdacht oder nach Sicherheitsvorfällen geprüft.

Bis wann muss ich mich beim BSI registrieren?

Wie lauten die Meldefristen von NIS2 bei Sicherheitsvorfällen?

Welche Schulungspflichten haben Geschäftsführer?

Wie überwache ich meine Lieferkette NIS2-konform?

Kann ich NIS2 Compliance ohne externe Tools erreichen?