i-doit Blog

NIS-2-Richtlinie: Zusammenfassung & Anforderungen

Geschrieben von i-doit Team | 09. April 2026

Inhaltsverzeichnis

1. NIS-2-Richtlinie: Zusammenfassung, Anforderungen und Umsetzung
 2. Was ist die NIS-2-Richtlinie?
 3. Erweiterter Geltungsbereich der NIS-2: Wer ist betroffen?
 4. Für welche Unternehmen gilt NIS-2?
 5. Neue Anforderungen an Informationssicherheit und Verpflichtungen
 6. IT-Sicherheit in der Lieferkette
 7. Cybersicherheit hat oberste Priorität
 8. Sanktionen bei Verstößen gegen NIS-2
 9. NIS-2: Umsetzung in Deutschland
 10. Das BSI als zentrale Kontrollinstanz
 11. Jetzt vorbereiten, später profitieren

NIS-2-Richtlinie: Zusammenfassung, Anforderungen und Umsetzung in Deutschland

Hier sind sich alle Akteure ausnahmsweise einmal einig: Die digitale Transformation treibt das wirtschaftliche Wachstum in Europa voran. Doch damit steigen auch die Risiken unweigerlich. Cyberangriffe bedrohen kritische Infrastrukturen und Lieferketten sind gefährdet.

Eine Reaktion der europäischen Politik war da nur folgerichtig. Durch die NIS-2-Richtlinie (NIS = Network and Information Security Directive) stärkt die EU die digitale Resilienz in Europa.

Dabei berücksichtigt die Richtlinie zahlreiche Aspekte der IT-Sicherheit. Das Spektrum reicht von technischen Maßnahmen über organisatorische Prozesse bis hin zur Sensibilisierung der Mitarbeiter. In diesem Beitrag erfahren Sie, worauf Sie sich einstellen müssen: in der EU im Allgemeinen und in Deutschland im Besonderen.

 

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist die Weiterentwicklung der ersten NIS-Richtlinie von 2016. Sie trat am 16. Januar 2023 in Kraft. Wer ist betroffen? Unternehmen, die essenzielle oder wichtige Dienstleistungen in der EU anbieten. Ihre Netzwerke und Informationssysteme sollen durch verbindliche Mindeststandards besser gegen Angriffe geschützt werden.

Die wichtigsten Punkte der NIS-2-Richtlinie im Überblick:

  • Ziel: Das Cyber-Sicherheitsniveau in der EU soll deutlich erhöht werden.
  • Geltungsbereich: Es gibt eine Erweiterung auf 18 kritische und wichtige Sektoren, inklusive komplexer Lieferketten und digitaler Dienstleister.
  • Betroffene: Von NIS-2 sind deutlich mehr mittlere und große Unternehmen sowie Anbieter von Dienstleistungen in der EU betroffen. Dies ist unabhängig vom Hauptsitz.
  • Pflichten: Es werden umfassende Sicherheitsmaßnahmen eingeführt und umgesetzt. Zusätzlich gibt es strenge Meldepflichten.
  • Sanktionen: Bei Verstößen drohen erhebliche Bußgelder, die an die DSGVO angelehnt sind.
  • Registrierung: Diese ist seit dem 18. Oktober 2024 verpflichtend.
  • Verantwortlichkeit: Es gelten eine stärkere Haftung und Verantwortlichkeit der Unternehmensleitung für die Cybersicherheit. 

Erweiterter Geltungsbereich der NIS-2: Wer ist betroffen?

Ein zentrales Merkmal der NIS-2-Richtlinie ist der deutlich erweiterte Geltungsbereich. Zu den betroffenen 18 Sektoren gehören zehn kritische und acht wichtige. NIS-2 betrifft daher deutlich mehr Sektoren und Unternehmensgrößen als frühere Richtlinien.

Kritische Sektoren

  1. Energie (Strom, Öl, Gas, Fernwärme und -kälte sowie Wasserstoff)
  2. Verkehr (Luft-, Schienen-, Wasser- und Straßenverkehr)
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheit
  6. Trinkwasserversorgung
  7. Abwasserentsorgung
  8. Digitale Infrastruktur
  9. Öffentliche Verwaltung (zentral und regional)
  10. Weltraum

Wichtige Sektoren

  1. Post- und Kurierdienste
  2. Abfallwirtschaft
  3. Herstellung und Vertrieb von Chemikalien
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Herstellung von Medizinprodukten
  6. Produktion von Kraftfahrzeugen und (Sattel-)Anhängern
  7. Herstellung anderer Verkehrsmittel und -ausrüstung
  8. Anbieter digitaler Dienste

 

Für welche Unternehmen gilt NIS-2?

Die NIS-2-Richtlinie gilt für Unternehmen ab einer Größe von 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro. Kleine Unternehmen können betroffen sein, wenn sie als besonders relevant oder risikobehaftet angesehen werden.

Damit sind über 29.000 Unternehmen in Deutschland betroffen. Die Anforderungen an die Cybersicherheit sind dabei detaillierter formuliert. Denn der Fokus liegt ausdrücklich auf einem proaktiven Cyber-Risikomanagement.

Zudem kann sich der Geltungsbereich von NIS-2 auf Unternehmen mit einem Hauptsitz außerhalb der EU erstrecken. Dies gilt für den Fall, dass sie hier Dienstleistungen anbieten. Sie haben es sich bestimmt schon gedacht: Hier geht es vor allem um Cloud-Anbieter und andere digitale Dienstleister.

 

Neue Anforderungen an Informationssicherheit und Verpflichtungen

Der Umfang der Pflichten wurde deutlich ausgeweitet. NIS-2 verpflichtet Unternehmen, ein umfassendes Cyber-Risikomanagement einzuführen. Was bedeutet das konkret? Gefordert werden unter anderem diese organisatorischen Maßnahmen:

  • Strukturierte Sicherheitsrichtlinien
  • Planung regelmäßiger Risikoanalysen
  • Klare Verantwortlichkeiten
  • Kontinuierliche Schulungen

Technische Maßnahmen müssen ebenfalls implementiert werden. Hierzu zählen Verschlüsselung, Zugangskontrollen, Intrusion Detection, Business Continuity Management (BCM) und Schwachstellenmanagement. Auch moderne Authentifizierungsverfahren, interne Krisenkommunikation und Audit-Prozesse sind verpflichtend.

Incident-Handling wird ebenfalls verlangt. Es umfasst folgende Aspekte:

  • Zugangskontrollen und Zutrittsbeschränkungen
  • Verwendung moderner Verschlüsselungstechnologien
  • Einführung von BCM
  • Notfallpläne und Prozesse zur Wiederherstellung
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen

Daher benötigen Unternehmen eine umfassende und jederzeit aktuelle Dokumentation ihrer IT-Sicherheitsmaßnahmen. Nur dann können sie schwarz auf weiß nachweisen, dass sie sich an die NIS-2-Richtlinie halten.

 

IT-Sicherheit in der Lieferkette

Unternehmen sind jetzt verpflichtet, auch die Sicherheitsmaßnahmen von Zulieferern, Dienstleistern und Partnern in den Blick zu nehmen. Diese müssen geprüft und vertraglich abgesichert werden. Damit sollen potenzielle Schwachstellen in der Wertschöpfungskette reduziert werden: An einer lückenlosen Dokumentation und Transparenz über alle Schnittstellen hinweg führt kein Weg vorbei.

 

Cybersicherheit hat oberste Priorität

Geschäftsführende und Vorstände sind direkt verantwortlich für die Umsetzung der NIS-2-Richtlinie. Cybersicherheit ist daher keine rein technische Aufgabe mehr. Sie ist jetzt ein wichtiger Teil der unternehmerischen Führungsverantwortung. Bei grober Fahrlässigkeit kann eine persönliche Haftung greifen, sogar Bußgelder gegen Einzelpersonen sind möglich.

 

Sanktionen bei Verstößen gegen NIS-2

Die NIS-2-Richtlinie schreibt empfindliche Strafen vor: Für kritische Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Bei wichtigen Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Zusätzlich können operative Maßnahmen angeordnet werden. Hierzu gehören z. B. die Einschränkung von Dienstleistungen oder die Verpflichtung zu Audits durch die Aufsichtsbehörden.

 

NIS-2: Umsetzung in Deutschland

Die Richtlinie musste bis spätestens zum 17. Oktober 2024 in nationales Recht überführt werden. In Deutschland erfolgte die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Seit dem 18. Oktober 2024 müssen sich Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

 

Das BSI als zentrale Kontrollinstanz

Wie oben bereits angedeutet: Hierzulande hat das BSI eine zentrale Rolle bei der Umsetzung von NIS-2. Es prüft jedoch nicht nur Registrierungen. Daneben kontrolliert es die Einhaltung der Anforderungen, führt Sicherheits-Audits durch und verhängt Sanktionen. Gleichzeitig stellt das BSI Leitfäden, Webinare und Checklisten zur Verfügung. Auch die Koordination bei Sicherheitsvorfällen übernimmt das BSI.

 Durch folgende Maßnahmen können sich Unternehmen absichern:

  • Aufbau von Cyber-Risikomanagement
  • Implementierung von BCM und Notfallmanagement
  • Einführung von Zutrittsbeschränkungen und Verschlüsselung
  • Frühzeitige Registrierung beim BSI
  • Integration von IT-Sicherheit in die Unternehmensstrategie

 

Wie kann i-doit bei der Einhaltung und Umsetzung der NIS-2-Richtlinie unterstützen?

i-doit unterstützt Unternehmen bei der Einhaltung der NIS-2-Richtlinie durch eine zentrale und nachvollziehbare IT-Dokumentation aller Systeme, Prozesse und Abhängigkeiten. Risiken und Schutzbedarfe lassen sich systematisch bewerten, Sicherheitsmaßnahmen dokumentieren und Verantwortlichkeiten klar zuweisen.

Auch Notfallmanagement und Business-Continuity-Konzepte können strukturiert abgebildet und mit relevanten Assets verknüpft werden. Für Audits und Behördenanfragen stellt i-doit übersichtliche Reports und eine revisionssichere Nachweisführung bereit.

Vorteile von i-doit auf einen Blick:

  • Konformes Asset- und Configuration-Management sowie Schutzbedarfsermittlung
  • Technische und organisatorische Maßnahmen dokumentieren
  • Dokumentation von Notfallmanagement und Konzepten
  • Vorbereitung auf Audits und Behördenanfragen
  • Reporting und Auditierung

 

Jetzt vorbereiten, später profitieren

Man kann es nicht genug betonen: Die NIS-2-Richtlinie ist ein Meilenstein für die Cybersicherheit in Europa. Und sie ist eine unmissverständliche Aufforderung an Unternehmen, IT-Sicherheit die nötige Aufmerksamkeit zu schenken. Wenn Sie frühzeitig handeln, vermeiden Sie nicht nur Bußgelder. Sie stärken auch das Vertrauen aller Beteiligten in Ihr Unternehmen.

Mit der IT-Dokumentation von i-doit und dem i-doit Add-on ISMS gewährleisten Sie sichere IT-Prozesse und treten gegenüber Ihren Stakeholdern rechtssicher auf. 
Vollständigen Beitrag anzeigen