Die Europäische Union hat ihre neue Richtlinie für die IT-Sicherheit in Unternehmen und Organisationen veröffentlicht. Welche Anforderungen jetzt gelten und welche Unternehmen von der NIS2 Richtlinie betroffen sind, liest du hier im Blog Wissenswertes.
Was ist NIS2?
Die NIS2 Directive (Abk. für Network and Information Security Directive 2) der EU ist eine überarbeitete Richtlinie, die Mindeststandards für IT- und Cybersicherheit festlegt (Quelle: Europäische Kommission).
Bild: ALEXANDRE LALLEMAND über Unsplash
Das NIS2 Gesetz gilt seit 2023 und wurde seit 2024 in nationales Recht der einzelnen Mitgliedstaaten umgesetzt. Ende 2025 endeten in Deutschland die Übergangsfristen und die NIS2 trat vollständig in Kraft (Quelle: Bundesamt für Sicherheit in der Informationstechnik).
Was ist die NIS2 Richtlinie?
Im Kern verpflichtet die Richtlinie Unternehmen zu einer höheren IT-Sicherheit. Die NIS2 Richtlinie verpflichtet zu einem umfassenden Risikomanagement sowie klaren Prozessen und Meldepflichten für den Umgang mit Sicherheitsvorfällen. Gemäß dieser Sicherheitsanforderungen müssen Unternehmen Vorfälle innerhalb von 24 Stunden nach Kenntniserlangung an das Bundesamt für Sicherheit in der Informationstechnik melden (Quelle: NIS2 Meldepflicht beim Bundesamt für Sicherheit in der Informationstechnik).
Mach dein Unternehmen fit für die NIS-2-Richtlinie! Lerne in den Zertifikatskursen zu IT- und Sicherheitsthemen, wie z.B. Cyber Security Advisor (IHK), Betrieblicher Datenschutzbeauftragter (IHK), Informationssicherheitsbeauftragter (IHK), IT-Administrator (IHK) etc., die Grundlagen, wie sich Unternehmen vor den Gefahren aus dem Cyberraum schützen können.
Wer kann Insolvenzverfahren beantragen?
Mit dem Übergang in nationales Recht stieg auch der Kreis der betroffenen Unternehmen. Davor galt die ursprüngliche NIS1 Richtlinie, die sich nur auf wenige Unternehmen und Einrichtungen der kritischen Infrastruktur erstreckte.
Betroffen von der NIS1 Richtlinie waren größtenteils Unternehmen, bei denen cyberbedingte Ausfälle größere Auswirkungen auf die Infrastruktur gehabt hätten, wie etwa Telekommunikationsanbieter oder größere medizinische Einrichtungen.
Welche Unternehmen fallen unter NIS2?
Ebenso fielen Unternehmen unter die NIS1, bei denen aufgrund ihrer Bedeutung für die Infrastruktur ein hohes Cybersicherheitsniveau unerlässlich war, wie zum Beispiel Energieversorger. Durch die Neufassung der EU NIS2 sind auch kleinere Unternehmen betroffen bzw. wurde die Definition und der Anwendungsbereich, was zur kritischen Infrastruktur zählt, deutlich erweitert. Zusätzlich berücksichtigt NIS 2.0 nun stärker die Abhängigkeiten innerhalb der Lieferketten, wodurch auch Dienstleister und Hersteller mit indirekter Systemrelevanz in den Geltungsbereich der Regulierung rücken.
NIS2: Wer ist betroffen?
Mit der Verabschiedung des NIS2 Gesetzes wurde auch eine Neufassung der Definition der kritischen Infrastruktur vorgenommen. Unter die neuen NIS2 Anforderungen fallen daher mittlerweile auch kleinere oder mittelständische Unternehmen, wenn sie aus bestimmten Branchen und Sektoren stammen, die als Kritische Infrastruktur (KRITIS) gelten oder essenzielle digitale Dienste bereitstellen und zu sicherheitsrelevanten Wertschöpfungsketten beitragen. Dadurch wächst unter der neuen Gesetzgebung der Kreis der Verpflichteten erheblich und umfasst erstmals auch viele spezialisierte Dienstleister und Unternehmen aus dem Mittelstand, die zuvor in der ersten NIS-Regulierung als KRITIS‑Betreiber erfasst wurden.
Was muss für NIS2 umgesetzt werden?
Um die NIS2 Compliance zu erfüllen, müssen Unternehmen ein umfassendes Risikomanagement etablieren, das Bedrohungen systematisch bewertet und geeignete Schutzmaßnahmen definiert. Dazu gehören technische Sicherheitsvorkehrungen wie Verschlüsselung, Zugriffskontrollen, Patch-Management und Netzwerksegmentierung. Dazu zählen ebenfalls organisatorische Maßnahmen wie klare Rollen in der IT, interne Sicherheitsrichtlinien und ein Notfallprotokoll, das in kürzester Zeit Sicherheitsvorfälle erkennt, dokumentiert und meldet, sowie Schulungen der Mitarbeitenden. Ergänzend verlangen die NIS2 Anforderungen ein belastbares Business‑Continuity‑Management mit Backup‑ und Wiederanlaufstrategien und für Unternehmen in Europa eine regelmäßige Überprüfung von Partnern und Dienstleistern entlang der Lieferketten.
Welche Sektoren hat NIS2?
Neben Branchen und Sektoren aus der kritischen Infrastruktur können auch Unternehmen unter die NIS2 fallen, die sicherheitsrelevante Produkte herstellen oder digitale Dienste wie Rechenzentren und Cloud‑Services bereitstellen.
Bild: Adi Goldstein über Unsplash
Entscheidend ist, dass ihre Leistungen von Organisationen genutzt werden, deren Funktionsfähigkeit für die öffentliche Versorgung oder Sicherheit wesentlich ist, wodurch auch indirekt systemrelevante Anbieter in den Anwendungsbereich der NIS2 rücken.
Was bedeutet NIS2UmsuCG?
Die Abkürzung NIS2UmsuCG steht für NIS2-Umsetzungs- und Cybersicherheitsgesetz und ist die deutsche Gesetzgebung, mit der die europäische Richtlinie ins hiesige Recht übertragen wird. Das NIS2UmsuCG legt fest, welche Unternehmen in Deutschland unter das NIS2 Gesetz fallen und welchen Compliance-Anforderungen bzw. Meldepflichten sie nachkommen müssen.
Außerdem verpflichtet das NIS2UmsuCG auch die Behörden der Bundesverwaltung zu einheitlichen IT-Sicherheitsstandards und zur Erfüllung der Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Ein weiterer Kernpunkt des NIS2UmsuCG ist die angestrebte Verbesserung der Zusammenarbeit zwischen den EU-Staaten bei der Abwehr von Cyberbedrohungen (Quelle: Bundesregierung).
Wann tritt NIS2UmsuCG in Kraft?
Das NIS2UmsuCG ist Anfang Dezember 2025 in Deutschland in Kraft getreten. Eine Übergangsfrist ist nicht vorgesehen. Darüber hinaus müssen sich Unternehmen aus dem Bereich KRITIS bzw. Unternehmen, die von NIS2 betroffen sind, beim BSI registrieren (Quelle: Bundesamt für Sicherheit in der Informationstechnik).
