NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen

NIS2 verändert die Anforderungen an IT-Sicherheit in Europa spürbar. Nicht nur für KRITIS-Unternehmen. Sondern für deutlich mehr Organisationen als bisher. Mit der EU-Richtlinie 2022/2555 verschärft die Europäische Union die Vorgaben für Cybersicherheit. Für viele Unternehmen bedeutet das: neue Pflichten, mehr Dokumentation, klarere Verantwortung in der Geschäftsleitung.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016.
Ihr Ziel ist ein einheitlich hohes Sicherheitsniveau in der gesamten EU.

Während sich die erste Version stark auf klassische KRITIS-Sektoren konzentrierte, erweitert NIS2 den Anwendungsbereich deutlich. Neben Energie, Gesundheit oder Transport betrifft sie nun auch viele mittelständische Unternehmen aus Bereichen wie:

  • Digitale Dienste und Infrastruktur
  • Abfallwirtschaft
  • Lebensmittelproduktion
  • Post- und Kurierdienste
  • Teile der Industrie und Fertigung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass künftig rund 29.000 Unternehmen in Deutschland unter die neuen Vorgaben fallen. Das ist ein Vielfaches der bisherigen Regulierung.

Aktueller Stand in Deutschland

Am 30. Juli 2025 hat das Bundeskabinett den Regierungsentwurf für das NIS2-Umsetzungsgesetz beschlossen. Das Gesetz soll voraussichtlich im Januar 2026 in Kraft treten. Mit dem Inkrafttreten gelten die Pflichten unmittelbar. Eine lange Übergangsfrist ist nicht vorgesehen. Unternehmen sollten die verbleibende Zeit nutzen.

Was ändert sich konkret?

1. Neue Kategorien von Einrichtungen

Das Gesetz unterscheidet künftig zwischen:

  • besonders wichtigen Einrichtungen
  • wichtigen Einrichtungen

Welche Kategorie zutrifft, hängt von Branche, Größe und Bedeutung für die Versorgungssicherheit ab. Unternehmen müssen eigenständig prüfen, ob sie unter die Regelung fallen.
Diese Prüfung sollte nachvollziehbar dokumentiert sein.

2. Verpflichtendes Risikomanagement

Unternehmen müssen ein strukturiertes Risikomanagement für IT- und Informationssicherheit etablieren. Dazu gehören unter anderem:

  • Sicherheitsrichtlinien und klare Zuständigkeiten
  • Technische Schutzmaßnahmen wie Patch-Management und Zugriffskontrollen
  • Prozesse für Incident Response • Notfall- und Wiederanlaufplanung
  • Sicherheitsanforderungen an Dienstleister und Lieferanten

Governance und Organisation rücken damit stärker in den Fokus.

3. Meldepflichten bei Sicherheitsvorfällen

NIS2 führt ein dreistufiges Meldesystem ein: • Frühwarnung innerhalb von 24 Stunden • Folgemeldung innerhalb von 72 Stunden • Abschlussbericht nach vollständiger Analyse
Diese Fristen setzen voraus, dass interne Melde- und Entscheidungsprozesse klar definiert sind.

4. Verantwortung der Geschäftsleitung

Cybersecurity ist ausdrücklich Aufgabe der Unternehmensführung.Die Geschäftsleitung muss Sicherheitsmaßnahmen billigen und deren Umsetzung überwachen.
Bei groben Versäumnissen kann eine persönliche Haftung im Raum stehen. Das macht Informationssicherheit zu einem strategischen Thema – nicht zu einer reinen IT-Aufgabe.

5. Erweiterte Aufsicht durch das BSI

Das BSI erhält weitergehende Befugnisse zur Kontrolle und Durchsetzung der Vorgaben.Dazu gehören Prüfungen, Auskunftsverlangen und mögliche Bußgelder bei Verstößen.
Nachweisfähigkeit wird damit zentral.

Was Unternehmen jetzt tun sollten

NIS2 ist eine strukturelle Anpassung Ihrer Sicherheitsorganisation, kein Projekt.

Drei Schritte sind aus unserer Sicht entscheidend:

  1. Betroffenheit klären
    Prüfen Sie strukturiert, ob Ihr Unternehmen unter NIS2 fällt. Dokumentieren Sie diese Bewertung nachvollziehbar.
  2. Status der Informationssicherheit erfassen
    Welche Maßnahmen existieren bereits? Wo fehlen klare Prozesse oder Nachweise?
  3. Prioritäten festlegen
    Nicht alles muss gleichzeitig passieren. Entscheidend ist ein realistischer Plan mit klaren Verantwortlichkeiten.

Unternehmen, die bereits mit einem ISMS nach DIN EN ISO/IEC 27001 arbeiten, haben eine gute Ausgangsbasis. NIS2 ergänzt diesen Rahmen vor allem in den Bereichen Governance, Meldeprozesse und Lieferkette.

Ein kurzes Fazit

NIS2 erhöht die Anforderungen an IT-Sicherheit – fachlich, organisatorisch und strategisch. Gleichzeitig schafft sie Klarheit. Wer kritische oder wichtige Leistungen erbringt, muss seine Sicherheitsmaßnahmen strukturiert steuern und nachweisen können. Für viele Unternehmen ist jetzt der richtige Zeitpunkt, den eigenen Stand fundiert zu prüfen und die nächsten Schritte zu definieren.

Starten Sie mit einer NIS-2 GAP-Analyse, um zu sehen, welche Anforderungen Sie bereits jetzt schon abdecken und wo Ihnen Maßnahmen fehlen.

David Zinzius

David Zinzius

Ich finde Lösungen keine Probleme. Dafür muss man manchmal die gewohnten Pfade verlassen.