IT-Lexikon
Compliance & Standards

NIS2-Richtlinie

EU-Richtlinie 2022/2555 zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen in 18 Sektoren.

Die NIS2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist die umfassendste Cybersicherheitsregulierung, die die Europäische Union bisher verabschiedet hat. Sie trat im Januar 2023 in Kraft und wurde von den Mitgliedstaaten in nationales Recht umgesetzt. In Deutschland erfolgte die Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das seit dem 6. Dezember 2025 in Kraft ist.

Zeitlicher Ablauf

Meilenstein Datum Status
Veröffentlichung der EU-Richtlinie Dezember 2022 Abgeschlossen
Inkrafttreten auf EU-Ebene Januar 2023 Abgeschlossen
Umsetzungsfrist für Mitgliedstaaten Oktober 2024 Frist abgelaufen
Deutsches NIS2UmsuCG Dezember 2025 In Kraft seit 6. Dezember 2025

Wer ist betroffen?

NIS2 erweitert den Anwendungsbereich drastisch gegenüber der Vorgängerrichtlinie. Betroffen sind mittlere und große Unternehmen (ab 50 Mitarbeitende oder 10 Millionen Euro Umsatz) in 18 Sektoren. Die Richtlinie unterscheidet zwischen 'wesentlichen Einrichtungen' (z. B. Energie, Gesundheit, Transport, digitale Infrastruktur) und 'wichtigen Einrichtungen' (z. B. verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft, Post- und Kurierdienste). Auch IT-Dienstleister und Managed-Service-Provider fallen unter die Regelung, wenn sie Kunden in regulierten Sektoren bedienen.

Kernpflichten

Betroffene Unternehmen müssen ein Risikomanagement für Cybersicherheit etablieren, das mindestens umfasst: Risikoanalysen und Sicherheitskonzepte, Vorfallbehandlung und Meldepflichten, Business Continuity und Krisenmanagement, Sicherheit in der Lieferkette, Schwachstellenmanagement und Offenlegung sowie Verschlüsselung und Zugangskontrollen. Die Anforderung an Verschlüsselung umfasst dabei auch die TLS-Konfiguration öffentlich erreichbarer Dienste — der TLS-Cipher-Check zeigt, ob veraltete Protokolle oder unsichere Cipher-Suites noch aktiv sind.

Meldepflichten

NIS2 führt strenge Meldepflichten ein: Innerhalb von 24 Stunden muss eine Frühwarnung an die zuständige Behörde erfolgen. Innerhalb von 72 Stunden ist eine vollständige Meldung mit Bewertung und Indikatoren erforderlich. Nach einem Monat muss ein Abschlussbericht vorliegen. Unternehmen ohne etabliertes SIEM und Incident-Response-Prozesse werden diese Fristen kaum einhalten können.

Geschäftsführerhaftung

Ein zentrales Novum: Die Geschäftsführung haftet persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Führungskräfte müssen Risikomanagement-Maßnahmen genehmigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Die Delegation an die IT-Abteilung allein reicht nicht mehr aus.

Bußgelder

Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegen die Obergrenzen bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

Relevanz für KMUs

Viele mittelständische Unternehmen sind erstmals von einer EU-Cybersicherheitsregulierung betroffen — entweder direkt durch ihre Größe und Branche oder indirekt über die Lieferkette. Wer bereits nach ISO 27001 oder BSI-Grundschutz arbeitet, hat eine solide Basis. Alle anderen sollten jetzt mit einer Gap-Analyse starten, um den Handlungsbedarf zu ermitteln und rechtzeitig Maßnahmen umzusetzen. Eine schnelle Standortbestimmung entlang der NIS2- und Versicherer-relevanten Mindestmaßnahmen liefert der Cyber-Versicherungs-Readiness-Check.

Häufige Fragen

Wer ist von der NIS2-Richtlinie betroffen?+
Betroffen sind mittlere und große Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in 18 Sektoren — darunter Energie, Gesundheit, Transport, digitale Infrastruktur und verarbeitendes Gewerbe. Auch IT-Dienstleister und Managed-Service-Provider fallen unter die Regelung, wenn sie Kunden in regulierten Sektoren bedienen.
Bis wann muss NIS2 in Deutschland umgesetzt werden?+
Die EU-Umsetzungsfrist lief im Oktober 2024 ab. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft.
Was sind die Strafen bei NIS2-Verstößen?+
Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegen die Obergrenzen bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.
Was ist der Unterschied zwischen NIS und NIS2?+
NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich — von wenigen kritischen Infrastruktursektoren auf 18 Sektoren und deutlich mehr Unternehmen. Neu ist zudem die persönliche Haftung der Geschäftsführung sowie strengere Meldepflichten mit 24- und 72-Stunden-Fristen.
Müssen KMUs die NIS2-Richtlinie einhalten?+
Kleine Unternehmen unter 50 Mitarbeitenden und unter 10 Millionen Euro Umsatz sind grundsätzlich ausgenommen. Mittelständler können jedoch indirekt betroffen sein, wenn sie als Zulieferer oder Dienstleister für regulierte Unternehmen tätig sind.

Verwandte Begriffe