NIS2-Richtlinie
EU-Richtlinie 2022/2555 zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen in 18 Sektoren.
Die NIS2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist die umfassendste Cybersicherheitsregulierung, die die Europäische Union bisher verabschiedet hat. Sie trat im Januar 2023 in Kraft und wurde von den Mitgliedstaaten in nationales Recht umgesetzt. In Deutschland erfolgte die Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das seit dem 6. Dezember 2025 in Kraft ist.
Zeitlicher Ablauf
| Meilenstein | Datum | Status |
|---|---|---|
| Veröffentlichung der EU-Richtlinie | Dezember 2022 | Abgeschlossen |
| Inkrafttreten auf EU-Ebene | Januar 2023 | Abgeschlossen |
| Umsetzungsfrist für Mitgliedstaaten | Oktober 2024 | Frist abgelaufen |
| Deutsches NIS2UmsuCG | Dezember 2025 | In Kraft seit 6. Dezember 2025 |
Wer ist betroffen?
NIS2 erweitert den Anwendungsbereich drastisch gegenüber der Vorgängerrichtlinie. Betroffen sind mittlere und große Unternehmen (ab 50 Mitarbeitende oder 10 Millionen Euro Umsatz) in 18 Sektoren. Die Richtlinie unterscheidet zwischen 'wesentlichen Einrichtungen' (z. B. Energie, Gesundheit, Transport, digitale Infrastruktur) und 'wichtigen Einrichtungen' (z. B. verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft, Post- und Kurierdienste). Auch IT-Dienstleister und Managed-Service-Provider fallen unter die Regelung, wenn sie Kunden in regulierten Sektoren bedienen.
Kernpflichten
Betroffene Unternehmen müssen ein Risikomanagement für Cybersicherheit etablieren, das mindestens umfasst: Risikoanalysen und Sicherheitskonzepte, Vorfallbehandlung und Meldepflichten, Business Continuity und Krisenmanagement, Sicherheit in der Lieferkette, Schwachstellenmanagement und Offenlegung sowie Verschlüsselung und Zugangskontrollen. Die Anforderung an Verschlüsselung umfasst dabei auch die TLS-Konfiguration öffentlich erreichbarer Dienste — der TLS-Cipher-Check zeigt, ob veraltete Protokolle oder unsichere Cipher-Suites noch aktiv sind.
Meldepflichten
NIS2 führt strenge Meldepflichten ein: Innerhalb von 24 Stunden muss eine Frühwarnung an die zuständige Behörde erfolgen. Innerhalb von 72 Stunden ist eine vollständige Meldung mit Bewertung und Indikatoren erforderlich. Nach einem Monat muss ein Abschlussbericht vorliegen. Unternehmen ohne etabliertes SIEM und Incident-Response-Prozesse werden diese Fristen kaum einhalten können.
Geschäftsführerhaftung
Ein zentrales Novum: Die Geschäftsführung haftet persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Führungskräfte müssen Risikomanagement-Maßnahmen genehmigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Die Delegation an die IT-Abteilung allein reicht nicht mehr aus.
Bußgelder
Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegen die Obergrenzen bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.
Relevanz für KMUs
Viele mittelständische Unternehmen sind erstmals von einer EU-Cybersicherheitsregulierung betroffen — entweder direkt durch ihre Größe und Branche oder indirekt über die Lieferkette. Wer bereits nach ISO 27001 oder BSI-Grundschutz arbeitet, hat eine solide Basis. Alle anderen sollten jetzt mit einer Gap-Analyse starten, um den Handlungsbedarf zu ermitteln und rechtzeitig Maßnahmen umzusetzen. Eine schnelle Standortbestimmung entlang der NIS2- und Versicherer-relevanten Mindestmaßnahmen liefert der Cyber-Versicherungs-Readiness-Check.