NIS2-Richtlinie — EU-Cybersicherheitsrichtlinie

Ein Maschinenbau-Unternehmen mit 400 Mitarbeitenden erfährt aus einem Branchen-Newsletter, dass es als „wichtige Einrichtung” unter NIS2 fällt. Die Geschäftsleitung erkennt: Risikomanagement, Vorfallmeldung, Lieferantenbewertung und persönliche Haftung müssen innerhalb weniger Monate aufgestellt sein — andernfalls drohen Bußgelder bis 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Die bisherige IT-Compliance reicht nicht aus; eine systematische Lückenanalyse muss her.

Die Richtlinie (EU) 2022/2555 (NIS2) löste die NIS-1-Richtlinie ab und erweitert die EU-weite Cybersicherheits-Aufsicht erheblich. Sie galt formal ab dem 16. Januar 2023, die Umsetzungsfrist in nationales Recht endete am 17. Oktober 2024. Deutschland hat die Richtlinie mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 ohne Übergangsfrist in Kraft gesetzt — der Adressatenkreis wächst damit von rund 4.500 auf etwa 29.500 Einrichtungen, mit klaren Anforderungen an Governance, Lieferketten und Reaktion.

Wer ist betroffen?

NIS2 erweitert den NIS-1-Geltungsbereich erheblich. Die Richtlinie unterscheidet zwei Kategorien:

Besonders wichtige Einrichtungen (Anhang I) — Sektoren mit besonders hoher Bedeutung: Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienst-Management, öffentliche Verwaltung, Weltraum.
Wichtige Einrichtungen (Anhang II) — weitere Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.

Die Größenschwelle liegt bei 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz (mittlere Unternehmen). Bestimmte Schlüssel-Anbieter sind unabhängig von der Größe erfasst — etwa qualifizierte Vertrauensdienste, TLD-Registries, DNS-Diensteanbieter und Anbieter öffentlicher elektronischer Kommunikationsnetze.

Was verlangt das Gesetz?

NIS2 stützt sich auf drei Säulen: Governance, Risikomanagement, Vorfallmeldung.

Geschäftsleiter-Verantwortung (Art. 20) — die Leitungsorgane billigen die Risikomanagement-Maßnahmen, überwachen die Umsetzung und können persönlich haftbar gemacht werden. Pflicht zur Schulung der Geschäftsleitung in Cybersicherheit.
Risikomanagement-Maßnahmen (Art. 21) — angemessene technische, operative und organisatorische Maßnahmen, mit zehn Pflicht-Themenfeldern:
- Risikoanalyse und Sicherheitsrichtlinien
- Behandlung von Sicherheitsvorfällen
- Geschäftskontinuität und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Beschaffung, Entwicklung und Wartung
- Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
- Cyberhygiene und Schulung
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle, Asset-Management
- Mehrfaktor-Authentisierung, gesicherte Sprach-/Video-/Text-Kommunikation
Meldepflichten (Art. 23) — gestufte Meldung erheblicher Vorfälle:
- Frühwarnung innerhalb von 24 Stunden nach Kenntnis
- Vorfallmeldung innerhalb von 72 Stunden mit erster Bewertung
- Schlussbericht innerhalb eines Monats
Registrierung (Art. 27) — nationale Aufsichtsbehörden führen ein Register, betroffene Organisationen registrieren sich aktiv.
Aufsicht und Durchsetzung (Art. 31 ff.) — Audits, Inspektionen, Anweisungen, Bußgelder und im Extremfall vorübergehende Untersagung der Geschäftstätigkeit.

In der Praxis

Lückenanalyse gegen die zehn Themenfelder fahren. Die zehn Themenfelder aus Art. 21 sind das Pflicht-Curriculum. Jede Organisation sollte den Status pro Themenfeld dokumentieren — was existiert, was fehlt, welcher Reifegrad erreicht wird. Das ist der Ausgangspunkt für die Roadmap.

Geschäftsleitung in die Pflicht nehmen — und schulen. Die Geschäftsleiter-Haftung ist real. Geschäftsführer und Vorstände müssen die Cybersicherheits-Strategie billigen, Schulungen besuchen und ihre Aufsichtspflicht dokumentiert wahrnehmen. Eine jährliche Cyber-Schulung mit Anwesenheits-Nachweis gehört zum Standard.

Lieferketten als eigenes Programm aufstellen. Lieferanten-Sicherheit ist eines der zehn Pflicht-Themenfelder. Massgeblich ist nicht nur der direkte Lieferant, sondern auch dessen Vorlieferanten (Software-Bibliotheken, Cloud-Komponenten, Managed Services). Die ENISA hat Sektor-spezifische Empfehlungen veröffentlicht, die als Maßstab dienen.

Mapping zu ISO 27001

NIS2-Art.-21-Themenfelder decken sich substantiell mit dem ISO-27001-Annex-A-Katalog. Eine ISO-27001-Zertifizierung ist kein NIS2-Nachweis, vereinfacht die Compliance aber erheblich.

Direkt relevante Kontrollen:

A.5.4 — Verantwortung der Leitung: Brückenpunkt zur Geschäftsleiter-Verantwortung nach Art. 20.
A.5.7 — Bedrohungsinformationen: Auswertung nationaler und EU-weiter Lagebilder (CSIRT-Netzwerk, ENISA).
A.5.19 — Informationssicherheit in den Lieferantenbeziehungen: Lieferanten-Bewertung nach NIS2-Lieferketten-Pflicht.
A.5.20 — Adressierung der Informationssicherheit in Lieferantenvereinbarungen: vertragliche Verankerung.
A.5.21 — Verwaltung der Informationssicherheit in der IKT-Lieferkette: mehrstufige Lieferketten-Bewertung.
A.5.23 — Informationssicherheit für die Nutzung von Cloud-Diensten: Bewertung kritischer Cloud-Anbieter.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Voraussetzung für die 24-/72-Stunden-Meldung.
A.5.25 — Bewertung und Entscheidung zu Informationssicherheitsereignissen: Klassifikation der Erheblichkeit.
A.5.26 — Reaktion auf Informationssicherheitsvorfälle: strukturierte Eindämmung.
A.5.29 — Informationssicherheit bei Störung: Aufrechterhaltung kritischer Dienste.
A.5.30 — IKT-Bereitschaft für Geschäftskontinuität: Wiederanlauf-Pläne.
A.5.36 — Einhaltung von Richtlinien: Compliance-Prüfung gegen NIS2-Anforderungen.
A.6.3 — Informationssicherheitsbewusstsein: Cyberhygiene-Schulungen, einschließlich Geschäftsleitung.
A.8.7 — Schutz vor Schadsoftware: Basisschutz.
A.8.8 — Umgang mit technischen Schwachstellen: Schwachstellen-Management.
A.8.16 — Aktivitätsüberwachung: Voraussetzung für rechtzeitige Vorfall-Erkennung.

Typische Audit-Befunde

Selbstprüfung der NIS2-Betroffenheit fehlt — die Organisation gehört zu Anhang II, hat sich aber nicht beim BSI registriert.
Geschäftsleiter-Schulung ohne Nachweis — Geschäftsführer haben sich nicht messbar mit Cybersicherheit befasst, eine Aufsichtspflicht-Verletzung steht im Raum.
Lieferketten-Bewertung lückenhaft — direkte Lieferanten sind erfasst, Sub-Lieferanten und Open-Source-Abhängigkeiten fehlen.
24-Stunden-Frühwarnung nicht eingeübt — die SOC-Stelle hat keinen direkten Meldeweg zum BSI, jede Meldung muss über die Rechtsabteilung laufen.
Risikomanagement nicht auf alle zehn Themenfelder bezogen — Mehrfaktor-Authentisierung oder Cyberhygiene-Schulungen fehlen, das Pflicht-Curriculum ist unvollständig.
Wirksamkeits-Bewertung der Maßnahmen fehlt — die Maßnahmen sind dokumentiert, aber niemand prüft, ob sie wirken (kein Penetrationstest, kein Reifegrad-Review).

Quellen

Richtlinie (EU) 2022/2555 — NIS2 (EUR-Lex) — amtliche Fassung in allen EU-Sprachen
ENISA — NIS2 Directive — Leitlinien, Sektorprofile, Implementierungs-Hilfen
BMI — Informationen zur deutschen NIS2-Umsetzung — Stand des NIS2UmsuCG, Hintergrundinformationen
BSI — NIS-2 Informationen für betroffene Einrichtungen — Registrierung, Meldepflichten, Mindestmaßnahmen

Häufig gestellte Fragen

Bin ich von NIS2 betroffen?

Massgeblich sind Sektor und Größe. NIS2 unterscheidet besonders wichtige Einrichtungen (Anhang I, z. B. Energie, Verkehr, Bankwesen, Gesundheit, IT-Dienste) und wichtige Einrichtungen (Anhang II, z. B. Post, Abfall, Lebensmittelproduktion, digitale Anbieter). Mittlere Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz fallen typischerweise unter die Pflicht; bei Schlüssel-Diensten gilt die Pflicht unabhängig von der Größe.

Was sind die Haupt-Pflichten nach NIS2?

Risikomanagement-Maßnahmen nach Art. 21 (Risikoanalyse, Vorfallbehandlung, Geschäftskontinuität, Lieferketten-Sicherheit, Zugriffskontrolle, Mehrfaktor-Authentisierung, Schulung, Verschlüsselung, sichere Beschaffung, sichere Entwicklung), Meldepflichten nach Art. 23 (Frühwarnung innerhalb 24 Stunden, Vorfallmeldung innerhalb 72 Stunden, Schlussbericht innerhalb eines Monats) und Geschäftsleiter-Verantwortung nach Art. 20.

Wie weit ist die deutsche Umsetzung?

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde vom Bundestag am 13. November 2025 beschlossen, vom Bundesrat am 21. November 2025 bestätigt und ist am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten — gut 14 Monate nach Ablauf der EU-Frist. Besonders wichtige Einrichtungen mussten sich innerhalb von drei Monaten beim BSI registrieren (Frist 6. März 2026), wichtige Einrichtungen unverzüglich. Wer sich noch nicht registriert hat, ist im Verzug und sollte das umgehend nachholen.