Zum Inhalt gehen
NIS2

FAQ zur NIS2-Richtlinie in Deutschland

·
8 Minuten Lesezeit
HR auf der einen Seite, IT auf der anderen?
Verwalten Sie Geräte, Lizenzen und Sicherheit an einem Ort. Synchronisiert mit den Ein- und Austritten Ihres Teams. Entdecken Sie Factorial IT
Verfasst von

Die NIS2-Richtlinie in Deutschland ist seit Ende 2026 Gesetz und stellt einen Wendepunkt für die Cybersicherheit dar. Viele Unternehmen sind unsicher, ob sie betroffen sind und welche Schritte zur Umsetzung erforderlich sind. Dieses FAQ liefert klare Antworten auf die wichtigsten Fragen zur neuen Regulierung, den damit verbundenen Pflichten und den Risiken bei Nichteinhaltung, damit Sie die Anforderungen für Ihr Unternehmen schnell einordnen können.

Wichtige Fakten

  • Gesetzlicher Status: Die NIS2-Richtlinie wurde durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in deutsches Recht überführt und ist seit dem 6. Dezember 2025 in Kraft.
  • Betroffene Unternehmen: Schätzungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge sind rund 30.000 Unternehmen in Deutschland von der Regulierung betroffen.
  • Registrierungslücke: Obwohl die Registrierungsfrist am 6. März 2026 endete, hatten sich bis dahin laut Branchenberichten nur etwa 11.500 der betroffenen Unternehmen beim BSI registriert, was eine erhebliche Compliance-Lücke aufzeigt.
  • Wirtschaftlicher Schaden: Laut einer Bitkom-Studie verursachten Cyberangriffe in der deutschen Wirtschaft im letzten Jahr einen Schaden von rund 202,4 Milliarden Euro. Das unterstreicht die Dringlichkeit der NIS2-Maßnahmen.

Was ist die NIS2-Richtlinie und was bezweckt sie?

Die NIS2-Richtlinie ist ein europäischer Rechtsakt, die darauf abzielt, die Cybersicherheit in der gesamten Europäischen Union zu verbessern. Ihr Hauptziel ist es, wesentliche Unternehmen und Dienste besser vor Cyberangriffen zu schützen, indem gemeinsame Sicherheits- und Risikomanagementanforderungen festgelegt werden. Darüber hinaus soll die Zusammenarbeit zwischen den Ländern gestärkt und sichergestellt werden, dass Organisationen schnell auf Sicherheitsvorfälle reagieren.

Was sind die wesentlichen Änderungen von NIS2 gegenüber NIS1?

Einerseits erweitert NIS2 den Geltungsbereich der vorherigen Richtlinie (NIS1) und umfasst viel mehr Unternehmen und Sektoren. Andererseits legt sie strengere Regeln für das Risikomanagement, die Meldepflichten bei Vorfällen und die Aufsicht fest. Ein weiterer wesentlicher Unterschied besteht darin, dass sie die Verantwortung der Unternehmensleitung erhöht und die Sanktionen bei Nichteinhaltung verschärft. Zudem geht die NIS2-Richtlinie laut BSI-Gesetz (BSIG) nun weit über die traditionellen KRITIS-Betreiber hinaus.

Seit wann gilt die NIS2-Richtlinie in Deutschland?

Die EU-Frist zur Umsetzung der NIS2-Richtlinie in nationales Recht endete am 17. Oktober 2024. Nach einer Verzögerung hat Deutschland das entsprechende Gesetz, das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG), verabschiedet. Es wurde im Bundesgesetzblatt verkündet und trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Seit diesem Datum sind die Vorschriften für betroffene Unternehmen bindend. Eine erste wichtige Frist zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete bereits am 6. März 2026.

Welche Unternehmen sind von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie gilt für Unternehmen, die in Deutschland tätig sind und als besonders wichtige oder wichtige Einrichtungen gelten. Das sind solche, die in kritischen Sektoren tätig sind oder erhebliche Auswirkungen auf die deutsche Wirtschaft oder Gesellschaft haben.

Im Allgemeinen betrifft das Gesetz mittlere und große Unternehmen (ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz) und schließt laut Schätzungen des BSI und verschiedener Branchenverbände etwa 30.000 Organisationen im ganzen Land ein. Es kann jedoch auch kleinere Organisationen umfassen, wenn ihre Tätigkeit von den Behörden (dem BSI) als besonders kritisch eingestuft wird.

Welche Sektoren fallen unter die NIS2-Regulierung?

In Deutschland behält das Gesetz genau die gleiche europäische Unterscheidung zwischen Sektoren mit hoher Kritikalität (besonders wichtige Einrichtungen) und anderen kritischen Sektoren (wichtige Einrichtungen) bei.

Sektoren mit hoher Kritikalität:

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (Managed Service Provider)
  • Öffentliche Verwaltung
  • Weltraum

Weitere kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung, Produktion und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren (einschließlich Maschinenbau, Kraftfahrzeuge, Elektronik usw.)
  • Anbieter von digitalen Diensten (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
  • Forschung

Inwieweit betrifft NIS2 den deutschen Mittelstand?

Obwohl sich die NIS2-Richtlinie primär an mittlere und große Unternehmen richtet, hat sie massive Auswirkungen auf den deutschen Mittelstand. Laut einer Analyse der DIHK haben gerade mittelständische Unternehmen Schwierigkeiten, ihre Betroffenheit korrekt einzuschätzen, was das Risiko von Compliance-Verstößen erhöht.

Viele dieser KMUs werden direkt betroffen sein, wenn sie in kritischen Sektoren tätig sind, oder indirekt, wenn sie Teil der Lieferkette eines verpflichteten Großunternehmens sind. In der Praxis werden sich viele deutsche KMUs schnell anpassen müssen, da ihre Firmenkunden von ihnen verlangen werden, bestimmte Cybersicherheitsanforderungen zu erfüllen, um ihre Verträge nicht zu verlieren.

Was bedeuten die Kategorien „besonders wichtige“ und „wichtige“ Einrichtungen?

Das deutsche Gesetz zur Umsetzung von NIS2 teilt Unternehmen in zwei Hauptgruppen ein:

  • Besonders wichtige Einrichtungen (): Dies sind Organisationen in Sektoren mit hoher Kritikalität (wie Energie, Verkehr oder Gesundheitswesen), die einer stärkeren proaktiven Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterliegen.
  • Wichtige Einrichtungen (): Sie gehören zu anderen relevanten Sektoren, weisen jedoch eine etwas geringere Kritikalität auf. Ihre Aufsicht ist in der Regel reaktiv (meistens nach einem Vorfall).

Gilt NIS2 auch für Unternehmen in der Lieferkette?

Ja, die Sicherheit der Lieferkette ist ein zentraler Aspekt von NIS2. Auch wenn Ihr Unternehmen die Schwellenwerte für eine direkte Regulierung nicht erreicht, sind Sie betroffen, wenn Sie als Zuliefer- oder Dienstleistungsunternehmen für eine regulierte Einrichtung tätig sind.

Die verpflichteten Organisationen sind gesetzlich verpflichtet, die Sicherheit aller ihrer Zulieferunternehmen zu gewährleisten. Auf dem deutschen Markt (der stark von der Fertigungs- und Automobilindustrie geprägt ist) ist es bereits Realität, dass Großkonzerne beginnen, strenge Cybersicherheitsmaßnahmen, rigorose Prüfungen oder Zertifizierungen (wie TISAX oder ISO 27001) von Dritten zu verlangen.

In der Praxis wird sich die überwiegende Mehrheit der B2B-Unternehmen indirekt an NIS2 anpassen müssen, um weiterhin mit ihren Kunden zusammenarbeiten zu können.

Welche konkreten Pflichten ergeben sich aus NIS2 für Unternehmen?

Die Richtlinie legt eine Reihe von Pflichten fest, die sich auf das proaktive Cybersicherheitsmanagement und die Risikominderung konzentrieren. Zu den wichtigsten gehören:

  • Governance und Unternehmensverantwortung: Die oberste Leitung (Geschäftsführung) trägt die letztendliche Verantwortung für die Cybersicherheit, muss die Maßnahmen genehmigen und klare Rollen definieren. Im im Falle von Fahrlässigkeit übernimmt sie die direkte und persönliche Verantwortung.
  • Risikomanagement im Bereich der Cybersicherheit: Kontinuierliche Bewertung und Steuerung der Risiken, die IT-Systeme, Netzwerke und physische Dienste betreffen.
  • Technische und organisatorische Sicherheitsmaßnahmen: Implementierung strenger Zugangskontrollen, Mehrfaktorauthentifizierung, Datenverschlüsselung, Infrastrukturschutz und grundlegender Cyberhygiene.
  • Sicherheit in der Lieferkette: Sicherstellen, dass direkte Zuliefer- und Dienstleistungsunternehmen gleichwertige Cybersicherheitsanforderungen erfüllen, um Angriffe durch Dritte zu verhindern.
  • Meldepflichten und Berichterstattung bei Sicherheitsvorfällen: Meldung von schwerwiegenden Bedrohungen und Sicherheitsvorfällen an die zuständigen Behörden (in Deutschland an das BSI) unter strikter Einhaltung der gesetzlichen Fristen (24 Stunden, 72 Stunden und 1 Monat).
  • Prüfungen und Audits: Durchführung regelmäßiger Bewertungen, Sicherheitsaudits und Simulationen, um die Wirksamkeit der implementierten Maßnahmen zu überprüfen.
  • Sensibilisierung und Schulung: Obligatorische und regelmäßige Schulung des gesamten Personals (einschließlich der Geschäftsführung) in Bezug auf Cybersicherheit und bewährte Praktiken.
  • Kontinuitäts- und Wiederherstellungspläne: Gewährleistung, dass das Unternehmen nach einem schweren Vorfall den Betrieb aufrechterhalten und sich schnell erholen kann (durch Notfallwiederherstellungspläne und sichere Backups).
  • Berichterstattung und Dokumentation: Führen von dokumentierten Aufzeichnungen über alle Richtlinien, ergriffenen Maßnahmen, Nachweise und Risikobewertungen.
  • Zusammenarbeit mit Behörden: Aktive Zusammenarbeit mit dem BSI und Teilnahme an Netzwerken zum Informationsaustausch über Cyberbedrohungen.

Die Umsetzung dieser Maßnahmen wird in der Praxis oft durch etablierte Standards wie die ISO/IEC 27001 erleichtert. Fachleute gehen davon aus, dass eine bestehende ISO-27001-Zertifizierung bereits 70–80 % der technischen und organisatorischen Anforderungen von NIS2 abdeckt.

Welche Meldepflichten gelten für Sicherheitsvorfälle?

NIS2 ist bei den Reaktionszeiten extrem streng. Sie verpflichtet die Unternehmen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) jeden erheblichen Sicherheitsvorfall nach einem festen Stufenmodell zu melden:

  • Frühwarnung: Innerhalb von maximal 24 Stunden nach Kenntniserlangung des Vorfalls muss eine erste Meldung an das BSI erfolgen (auch wenn noch nicht alle Details vorliegen).
  • Förmliche Meldung: Innerhalb von maximal 72 Stunden muss eine Aktualisierung übermittelt werden, die eine erste Bewertung des Vorfalls, seines Schweregrads und seiner Auswirkungen enthält.
  • Abschlussbericht: Innerhalb von maximal 1 Monat muss ein Dokument eingereicht werden, das die vollständige Analyse des Cyberangriffs, die tatsächlichen Folgen und die ergriffenen Minderungsmaßnahmen detailliert beschreibt.

Welche persönliche Verantwortung trägt die Geschäftsführung?

Ja, voll und ganz. Das deutsche Gesetz (NIS2UmsuCG) macht der Ausrede, dass „Cybersicherheit nur ein Problem der IT-Abteilung ist“, ein für alle Mal ein Ende und legt die Verantwortung direkt auf die Schultern des Vorstands und der Geschäftsführung.

Dies führt zu zwei kritischen Pflichten:

  • Obligatorische Schulung: Führungskräfte sind verpflichtet, sich regelmäßig im Bereich der Cybersicherheit fortzubilden, um die technologischen Risiken ihrer Branche zu verstehen und die implementierten Maßnahmen richtig bewerten zu können.
  • Direkte Verantwortung bei Fahrlässigkeit: Wenn ein Unternehmen einen schweren Vorfall erleidet, weil es die erforderlichen Maßnahmen nicht genehmigt oder angewendet hat, können die Führungskräfte persönlich rechtlich haftbar gemacht werden und sie können diese Verantwortung nicht delegieren.

Bei besonders wichtigen Einrichtungen hat das BSI sogar die Befugnis, leitende Angestellte vorübergehend von ihren Managementfunktionen zu suspendieren.

Wie sollten Unternehmen die Umsetzung von NIS2 beginnen?

Die Anpassung an NIS2 geschieht nicht über Nacht. Unternehmen sollten diesem Fahrplan folgen:

  • Klassifizierung und Registrierung: Formelle Feststellung, ob das Unternehmen gesetzlich verpflichtet ist und in welche Kategorie es fällt (besonders wichtige oder wichtige Einrichtung). Wenn dies der Fall ist, muss sichergestellt werden, dass es ordnungsgemäß beim BSI registriert ist.
  • Einbindung der Geschäftsführung: Information der obersten Leitung über ihre neuen gesetzlichen Pflichten und Sicherstellung des erforderlichen Budgets für die Anpassung.
  • Erstprüfung: Bewertung des aktuellen Stands der Cybersicherheit im Unternehmen im Hinblick auf die Anforderungen von NIS2, um bestehende Lücken aufzudecken und die Kritikalität der Systeme zu bewerten.
  • Aktionsplan: Implementierung der notwendigen Lösungen zur Schließung dieser Lücken: Netzwerksicherheit, unveränderliche Backups, Zugangskontrolle (Mehrfaktorauthentifizierung), Verschlüsselung usw.
  • Reaktions- und Meldeprotokolle: Definition und Dokumentation klarer Prozesse, um zu wissen, wie im Falle eines Angriffs gehandelt werden muss, und um sicherzustellen, dass das BSI innerhalb der ersten 24 Stunden benachrichtigt werden kann.
  • Absicherung der Lieferkette: Überprüfung der Verträge mit Technologie- und Dienstleistungsunternehmen, wobei von ihnen verlangt wird, gleichwertige Cybersicherheitsanforderungen zu erfüllen.
  • Kontinuierliche Sensibilisierung: Regelmäßige Schulung des gesamten Personals (einschließlich der Führungskräfte), um eine echte Cybersicherheitskultur zu schaffen und menschliche Fehler zu vermeiden.

Ein zentraler Baustein zur Erfüllung der technischen Maßnahmen ist ein lückenloses IT-Asset-Management. Nur wer einen vollständigen Überblick über alle im Unternehmen genutzten Geräte, Lizenzen und Softwareversionen hat, kann Schwachstellen erkennen und Sicherheitsrichtlinien wie Zugangskontrollen oder die verpflichtende Mehrfaktorauthentifizierung wirksam durchsetzen. Eine Software wie Factorial IT hilft dabei, diesen Überblick zu zentralisieren und Compliance-Nachweise für Prüfungen zu erleichtern.

Gibt es spezielle Software für die NIS2-Compliance?

Ja, es gibt Werkzeuge, die darauf ausgelegt sind, die Einhaltung von NIS2 zu erleichtern, auch wenn es keine einzelne offizielle Software gibt. Diese Lösungen helfen dabei, Risiken zu managen, Kontrollen zu dokumentieren und sicherzustellen, dass die Anforderungen der Richtlinie erfüllt werden. Zu den wichtigsten gehören:

  • GRC-Plattformen (Governance, Risiko und Compliance): Sie ermöglichen die Zentralisierung des Managements von Risiken, Richtlinien und Prüfungen.
  • Spezifische NIS2-Software: Werkzeuge, die dabei helfen, Sicherheitsmaßnahmen, Vorfälle und Compliance-Nachweise zu dokumentieren.
  • Technische Cybersicherheitslösungen: SIEM, EDR und Netzwerküberwachung zur Erkennung von und Reaktion auf Vorfälle.
  • Beratungsdienste oder externe Ressourcen: Spezialisierte Dienstleistungen, die dabei helfen, Prozesse anzupassen und das Personal im Hinblick auf die Einhaltung der Vorschriften zu schulen.

Welche Sanktionen drohen bei Verstößen gegen die NIS2-Richtlinie?

Die Nichteinhaltung von NIS2 hebt das finanzielle Risiko auf ein neues Niveau, wobei sich der Bußgeldrahmen wie bei der DSGVO am weltweiten Umsatz orientiert. In Deutschland sind die Sanktionen nach dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) je nach Klassifizierung des Unternehmens in zwei Stufen unterteilt:

  • Für besonders wichtige Einrichtungen: Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten jährlichen Gesamtumsatzes des vorangegangenen Geschäftsjahres (es gilt stets der jeweils höhere Betrag).
  • Für wichtige Einrichtungen: Geldbußen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten jährlichen Gesamtumsatzes (der jeweils höhere Betrag).

Neben den Geldbußen können die zuständigen deutschen Behörden (allen voran das BSI) regelmäßige Sicherheitsaudits anordnen (deren Kosten dem zuwiderhandelnden Unternehmen auferlegt werden), die Veröffentlichung der Nichteinhaltung verlangen (mit dem damit verbundenen enormen Reputationsschaden) und sogar die Lizenzen oder Zertifizierungen des Unternehmens zur Ausübung seiner Tätigkeit oder zur Erbringung von Dienstleistungen aussetzen.

FAQ

Wann tritt NIS2 in Deutschland in Kraft?

Die EU-Mitgliedstaaten müssen die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Das deutsche Umsetzungsgesetz (NIS2UmsCG) ist bereits in Kraft, was bedeutet, dass die Vorschriften für betroffene Unternehmen gelten und eine formelle Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) erfordern.

Was sind die NIS2-Richtlinien?

Die NIS2-Richtlinie ist eine EU-Verordnung zur Verbesserung der Cybersicherheit. Ihr Ziel ist es, wesentliche Unternehmen und Dienste durch gemeinsame Sicherheits- und Risikomanagementanforderungen besser vor Cyberangriffen zu schützen und die Zusammenarbeit zwischen den Mitgliedstaaten zu stärken.

Wann bin ich NIS2 pflichtig?

Sie sind betroffen, wenn Ihr Unternehmen in einem der als kritisch eingestuften Sektoren tätig ist und als mittleres oder großes Unternehmen gilt. In der Regel sind das Organisationen mit mehr als 50 Mitarbeitern oder über 10 Millionen Euro Jahresumsatz. Auch kleinere Unternehmen können betroffen sein, wenn ihre Tätigkeit als kritisch gilt.

Ähnliche Beiträge