Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau, EU 2022/2555) hat den Kreis der Unternehmen, die verbindliche Informationssicherheitspflichten erfüllen müssen, erheblich ausgeweitet. Wer die NIS2 operative Umsetzung bisher aufgeschoben hat, sollte den Handlungsbedarf konkret beziffern. Denn NIS2 ist keine Empfehlung, sondern ein verbindlicher Rechtsrahmen mit Sanktionen, Meldepflichten und persönlicher Haftung für Leitungsorgane. Viele mittelständische Unternehmen wissen, dass sie betroffen sind, aber es mangelt an konkretem Wissen darüber, welche Maßnahmen in welcher Reihenfolge umgesetzt werden müssen, welche Fristen gelten und wie Nachweise erbracht werden. Dieser Beitrag beschreibt den strukturierten Umsetzungsweg, klärt typische Missverständnisse und zeigt, wie ein Fahrplan für betroffene Unternehmen in der Praxis aussieht.
Hinweis: Dieser Beitrag gibt ausschließlich die redaktionellen Ansichten der Redaktion von cyberschutzbetrieb.de wieder. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt. Für rechtlich verbindliche Auskünfte zu Ihrem konkreten Fall, insbesondere zur Frage der Betroffenheit und zur Auslegung nationaler Umsetzungsgesetze, wenden Sie sich bitte an einen zugelassenen Rechtsbeistand.
NIS2 im Überblick: Wen betrifft die Richtlinie?
NIS2 unterscheidet zwischen zwei Unternehmenskategorien: wesentlichen Einrichtungen (essential entities) und wichtigen Einrichtungen (important entities). Die Einordnung bestimmt die Intensität der Aufsicht und die Höhe möglicher Bußgelder, nicht aber den grundsätzlichen Pflichtenkatalog.
Als Faustregel gilt: Unternehmen mit mindestens 50 Mitarbeitenden und einem Jahresumsatz von mindestens 10 Millionen Euro in einem der definierten Sektoren fallen in den Anwendungsbereich. Wesentliche Einrichtungen unterliegen strengerer proaktiver Aufsicht und höheren Bußgeldrahmen als wichtige Einrichtungen; beide Kategorien haben jedoch denselben grundsätzlichen Pflichtenkatalog zu erfüllen. Unternehmen unterhalb der Schwellenwerte können dennoch indirekt betroffen sein, wenn sie als kritische Zulieferer für betroffene Einrichtungen fungieren und entsprechende vertragliche Anforderungen weitergereicht bekommen. Die erfassten Sektoren wurden gegenüber der Vorgängerrichtlinie NIS1 erheblich erweitert und umfassen unter anderem:
- Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheit und Pharma
- Digitale Infrastruktur und IT-Dienste (Rechenzentren, Cloud, DNS)
- Trinkwasser und Abwasser
- Post- und Kurierdienste
- Chemische Industrie und Lebensmittelverarbeitung (ab bestimmten Schwellenwerten)
- Verarbeitendes Gewerbe in bestimmten Bereichen (Medizinprodukte, Maschinenbau, Fahrzeuge)
Auch Unternehmen, die nicht direkt in diesen Sektoren tätig sind, können als Teil der Lieferkette eines betroffenen Unternehmens de facto zu Umsetzungsmaßnahmen verpflichtet werden, wenn entsprechende vertragliche Anforderungen weitergereicht werden. Für Unternehmen, die an der Grenze der Schwellenwerte liegen, empfiehlt sich eine konservative Auslegung: Wächst das Unternehmen über die Grenze hinaus, greifen die Pflichten ohne weitere Übergangsfrist.
Der Pflichtenkatalog: Was NIS2 konkret verlangt
Der Pflichtenkatalog der NIS2 ist in Art. 21 der Richtlinie kodifiziert. Er umfasst zehn Maßnahmenbereiche, die betroffene Einrichtungen umsetzen müssen:
- Risikoanalyse und Informationssicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen (Incident Management)
- Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement
- Sicherheit der Lieferkette (Supply Chain Security)
- Sicherheit beim Erwerb, der Entwicklung und Wartung von IT-Systemen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
- Grundlegende Praxis der Cyberhygiene und Schulungen zur Cybersicherheit
- Konzepte für Kryptografie und Verschlüsselung
- Sicherheit des Personals, Zugriffskontrolle und Anlagenverwaltung
- Multi-Faktor-Authentifizierung und kontinuierliche Authentifizierungsverfahren
Das klingt nach einem bekannten Katalog, und in der Tat überschneidet er sich mit den Anforderungen der ISO 27001. Der wesentliche Unterschied liegt in der Verbindlichkeit und in der persönlichen Verantwortung der Leitungsorgane, die NIS2 explizit normiert.
Meldepflichten: Fristen, Formate und Meldewege
Eines der praktisch bedeutsamsten Elemente der NIS2 sind die gestuften Meldepflichten bei erheblichen Sicherheitsvorfällen. Ein Vorfall gilt als erheblich, wenn er den Betrieb spürbar beeinträchtigt, andere Einrichtungen oder Sektoren betreffen kann oder zu erheblichen finanziellen Verlusten führt.
Die Meldefristen sind eng gestaffelt:
| Frist | Inhalt der Meldung | Empfänger |
|---|---|---|
| 24 Stunden nach Bekanntwerden | Erste Frühwarnung: Art des Vorfalls, betroffene Systeme, erste Einschätzung | Zuständige nationale Behörde (in Deutschland: BSI) |
| 72 Stunden nach Bekanntwerden | Konkrete Erstmeldung: aktualisierte Lagebewertung, Auswirkungsabschätzung, erste Gegenmaßnahmen | BSI (über bereitgestelltes Meldeportal) |
| Spätestens 1 Monat nach Vorfall | Abschlussbericht: vollständige Ursachenanalyse, Schadensumfang, eingeleitete Maßnahmen | BSI |
In der Praxis bedeutet das: Unternehmen brauchen vor dem ersten Vorfall einen funktionierenden Incident-Response-Prozess, der die Erstmeldung innerhalb von 24 Stunden sicherstellt. Wer diesen Prozess erst nach einem Angriff aufbaut, wird die Frist mit hoher Wahrscheinlichkeit verfehlen.
Managementverantwortung: Was Geschäftsführer persönlich tragen
NIS2 enthält eine ausdrückliche Regelung zur Verantwortung von Leitungsorganen. Geschäftsführer, Vorstände und vergleichbare Führungspersonen müssen Maßnahmen zur Cybersicherheit billigen und deren Umsetzung überwachen. Sie können persönlich haftbar gemacht werden, wenn Pflichtverletzungen zu Schäden führen.
Konkret bedeutet das für die Praxis:
- Leitungsorgane müssen Schulungen zu Cybersicherheitsrisiken absolvieren, nicht nur delegieren.
- Die Sicherheitsstrategie muss von der Geschäftsleitung verabschiedet werden, nicht nur vom IT-Leiter.
- Sicherheitsvorfälle und deren Bewältigung müssen auf Leitungsebene berichtet und dokumentiert werden.
- Im Fall eines erheblichen Vorfalls mit Pflichtverletzung können bei wesentlichen Einrichtungen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden.
Das ist eine fundamentale Veränderung gegenüber der bisherigen Praxis, in der Cybersicherheit vielfach als reine IT-Aufgabe behandelt wurde. NIS2 macht Informationssicherheit zur Chefsache im Rechtssinne. Leitungsorgane, die diese Verantwortung weiterhin vollständig delegieren und sich nicht aktiv mit dem Thema befassen, setzen sich persönlichen Haftungsrisiken aus, die mit dem bisherigen Verständnis von Geschäftsführerpflichten nicht mehr vereinbar sind.
Lieferkettensicherheit: Anforderungen an Zulieferer und Dienstleister
Art. 21 Abs. 2 Buchstabe d NIS2 verpflichtet betroffene Einrichtungen zur Sicherheit in der Lieferkette. Das hat direkte Konsequenzen für die Vertragsgestaltung mit IT-Dienstleistern, Cloud-Anbietern und anderen kritischen Zulieferern.
In der Praxis sind folgende Schritte erforderlich:
- Inventar aller sicherheitsrelevanten Lieferanten und Dienstleister erstellen
- Risikobewertung für jeden kritischen Lieferanten durchführen, insbesondere für solche mit Zugang zu Systemen oder Daten
- Vertragliche Mindestanforderungen an die Cybersicherheit des Lieferanten verankern
- Auditrechte und Nachweispflichten vereinbaren
- Incident-Response-Koordination mit kritischen Lieferanten abstimmen
Unternehmen, die selbst Lieferant einer betroffenen Einrichtung sind, erhalten diese Anforderungen häufig als vertragliche Auflagen. Die NIS2-Anforderungen wirken also auch in Unternehmen hinein, die formal nicht im Anwendungsbereich der Richtlinie liegen.
Schritt-für-Schritt: Umsetzungsfahrplan für den Mittelstand
Ein strukturierter Umsetzungsfahrplan in sechs Phasen hat sich für mittelständische Unternehmen bewährt:
- Betroffenheitsanalyse (Woche 1 bis 2): Klärung, ob und in welcher Kategorie das Unternehmen dem Anwendungsbereich der NIS2 unterfällt. Diese Einschätzung sollte rechtlich abgesichert sein.
- Gap-Analyse (Woche 3 bis 6): Abgleich des Status quo mit den zehn Maßnahmenbereichen des Art. 21 NIS2. Bestehende ISO-27001-Zertifizierungen oder BSI-Grundschutz-Implementierungen bieten eine gute Ausgangsbasis und schließen viele Lücken bereits.
- Risikoanalyse und Priorisierung (Woche 6 bis 10): Bewertung der identifizierten Lücken nach Risikopotenzial und Umsetzungsaufwand. Hochwirksame Maßnahmen mit geringem Aufwand (Quick Wins) zuerst umsetzen.
- Maßnahmenumsetzung (Monate 3 bis 9): Umsetzung der priorisierten technischen und organisatorischen Maßnahmen: Patch-Management, Zugriffskontrolle, Datensicherung, Multi-Faktor-Authentifizierung, Incident-Response-Prozess, Schulungen.
- Governance und Dokumentation (parallel ab Monat 2): Sicherheitsrichtlinien, Rollenkonzepte, Schulungsnachweise und Prozessbeschreibungen erstellen. NIS2 verlangt explizit Nachweisführung.
- Kontinuierliches Monitoring und Review (ab Monat 10): Wirksamkeitskontrollen, interne Audits und jährliche Überprüfung der Risikolage. NIS2 ist kein einmaliges Projekt, sondern ein Dauerbetrieb.
Dokumentation und Nachweisführung: Was Aufsichtsbehörden im Ernstfall verlangen
NIS2 ist nicht nur ein Maßnahmenkatalog, sondern auch ein Nachweisrahmen. Behörden können im Rahmen von Aufsichtsmaßnahmen oder nach einem Sicherheitsvorfall verlangen, dass betroffene Einrichtungen ihre Umsetzung dokumentiert nachweisen. Wer hier lückenhafte oder inkonsistente Dokumentation vorweist, riskiert Bußgelder auch dann, wenn die technischen Maßnahmen selbst vorhanden sind.
Nachweisführung bedeutet in der Praxis konkret:
- Schriftlich dokumentierte Risikoanalyse mit Bewertungsmethodik und Datum der letzten Aktualisierung
- Sicherheitsrichtlinien mit Versionierung, Freigabedatum und nachweisbarer Bekanntgabe an Mitarbeitende
- Schulungsnachweise für alle relevanten Mitarbeitenden und Leitungsorgane (Teilnehmerlisten, Inhaltsübersichten)
- Protokolle der Wirksamkeitsprüfungen (Auditergebnisse, Penetrationstestberichte, interne Review-Protokolle)
- Lieferantenbewertungen mit Datum, Methodik und Ergebnis
- Vorfallsdokumentation für alle gemeldeten und nicht gemeldeten Ereignisse
Ein Information Security Management System (ISMS) nach ISO 27001 liefert den strukturierten Rahmen für diese Dokumentationspflichten. Unternehmen, die kein ISMS betreiben, sollten die Dokumentation mindestens in einem zentralen, versionierten Sicherheitshandbuch führen, das regelmäßig überprüft und aktualisiert wird.
Typische Umsetzungsfehler und wie man sie vermeidet
Fehler 1: Betroffenheit unkritisch annehmen oder verneinen. Viele Unternehmen stellen die Frage der Betroffenheit zu vereinfacht. Schwellenwerte und Sektorenzugehörigkeit sind im Zweifel rechtlich zu prüfen, nicht intern zu schätzen.
Fehler 2: NIS2 als IT-Projekt behandeln. Die Managementverantwortung ist explizit normiert. Wer die Umsetzung vollständig an die IT-Abteilung delegiert, ohne Leitungsgremien einzubeziehen, hat ein Governance-Problem, das in der Prüfung auffällt.
Fehler 3: Lieferkette ignorieren. Supply-Chain-Sicherheit wird von vielen Unternehmen als abstrakt wahrgenommen. In der Prüfpraxis ist sie einer der ersten überprüften Bereiche, weil sie direkt die Angriffsoberfläche beeinflusst.
Fehler 4: Meldeprozess nachträglich aufbauen. Wer erst nach einem Vorfall den Meldeprozess etabliert, verfehlt die 24-Stunden-Frist mit Sicherheit. Der Incident-Response-Prozess muss vorab definiert, geübt und dokumentiert sein.
Fehler 5: Keine Überprüfung der Wirksamkeit. Maßnahmen einzuführen genügt nicht. NIS2 verlangt ausdrücklich Konzepte und Verfahren zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen. Regelmäßige Penetrationstests, interne Audits und Messung von KPIs sind kein Optional.
Fehler 6: Schulungen als Einmalaktion verstehen. NIS2 verlangt nicht nur, dass Mitarbeitende einmalig geschult werden, sondern dass Schulungen zum Cybersicherheitsbewusstsein regelmäßig durchgeführt werden. Die Bedrohungslage verändert sich kontinuierlich; Phishing-Methoden, Social-Engineering-Angriffe und Angriffsvektoren entwickeln sich weiter. Einjährige Schulungszyklen und aktuelle, simulationsbasierte Awareness-Trainings (zum Beispiel simulierte Phishing-Kampagnen) sind der Standard, an dem sich Aufsichtsbehörden orientieren. Unternehmen, die Schulungsunterlagen aus dem Vorjahr unverändert wiederholen, erfüllen die Anforderungen formal, aber nicht inhaltlich.
NIS2 und verwandte Regulierungen: Abgrenzung und Zusammenspiel
NIS2 ist nicht die einzige Regulierung, die Unternehmen im Bereich Informationssicherheit und Cyber-Resilienz beachten müssen. Je nach Branche und Unternehmenscharakter greifen weitere Regelwerke, die sich mit NIS2 überschneiden oder ergänzen.
DORA (Digital Operational Resilience Act, EU 2022/2554) betrifft Finanzunternehmen und IT-Drittdienstleister im Finanzsektor. Wer sowohl unter NIS2 als auch unter DORA fällt, profitiert davon, dass beide Regelwerke ähnliche Anforderungen stellen. Die DORA-konforme Umsetzung erfüllt weite Teile der NIS2-Anforderungen automatisch mit.
ISO 27001 ist kein Gesetz, sondern eine freiwillige Norm. Sie bietet einen strukturierten Rahmen für ein Informationssicherheitsmanagementsystem (ISMS) und deckt die meisten NIS2-Maßnahmenbereiche inhaltlich ab. Eine bestehende ISO-27001-Zertifizierung ist kein Freifahrtschein für NIS2-Compliance, erleichtert den Nachweis aber erheblich.
DSGVO (Datenschutz-Grundverordnung) überlappt mit NIS2 bei technischen und organisatorischen Schutzmaßnahmen (TOMs nach Art. 32 DSGVO). Wer ein gut funktionierendes DSGVO-Sicherheitskonzept betreibt, hat eine solide Basis, die für NIS2 weiterentwickelt werden kann.
Branchenspezifische Vorgaben wie die KRITIS-Verordnung (für kritische Infrastrukturen in Deutschland) oder sektorale Regulierungen im Energie- und Gesundheitsbereich können zusätzliche Anforderungen stellen, die über den NIS2-Mindestkatalog hinausgehen.
Die Empfehlung für betroffene Unternehmen: Nicht jeden Regulierungsrahmen isoliert betrachten, sondern eine integrierte Sicherheitsarchitektur aufbauen, die mehrere Anforderungen gleichzeitig adressiert. Das spart Implementierungsaufwand und schafft eine konsistente Dokumentationsbasis für alle relevanten Regelwerke.
Konkret bedeutet das: Wer eine DSGVO-konforme Verzeichnis der Verarbeitungstätigkeiten führt und technische Schutzmaßnahmen nach Art. 32 DSGVO dokumentiert hat, kann diese Arbeit direkt in die NIS2-Risikoanalyse einspeisen. Wer für DORA bereits Drittanbieterrisiken bewertet, hat einen wesentlichen Teil der Supply-Chain-Sicherheitspflichten nach NIS2 Art. 21 bereits abgedeckt. Die Investition in ein übergreifendes Compliance-Framework zahlt sich über mehrere Regulierungsrahmen hinweg aus, weil die Grunddokumentation nicht mehrfach erstellt werden muss.
FAQ
Ab wann gilt NIS2 für mein Unternehmen?
Die NIS2-Richtlinie war bis Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umzusetzen. In Deutschland erfolgte die Umsetzung über das NIS2UmsuCG (NIS-2-Umsetzungsgesetz). Betroffene Unternehmen sollten davon ausgehen, dass die Anforderungen bereits verbindlich gelten. Die Frage der Betroffenheit und des genauen Zeitpunkts der Anwendbarkeit ist im Einzelfall zu prüfen.
Hilft eine bestehende ISO-27001-Zertifizierung bei der NIS2-Compliance?
Ja, erheblich. ISO 27001 deckt viele der NIS2-Anforderungen ab, insbesondere Risikoanalyse, Sicherheitskonzepte, Incident Management und Maßnahmendokumentation. Dennoch gibt es Bereiche, die ISO 27001 nicht vollständig abdeckt, etwa die spezifischen Meldepflichten und die explizite Managementverantwortung nach NIS2. Eine Gap-Analyse ist auch bei bestehender Zertifizierung sinnvoll.
Was kostet die NIS2-Umsetzung für ein mittelständisches Unternehmen?
Das hängt stark vom Ausgangsstand ab. Unternehmen, die bereits nach ISO 27001 oder BSI-Grundschutz arbeiten, haben deutlich geringere Lücken zu schließen. Als grobe Orientierung: Unternehmen ohne vorhandenes ISMS investieren erfahrungsgemäß in einer Größenordnung von 100.000 bis 500.000 Euro in die Erstimplementierung, zuzüglich laufender Betriebskosten für Monitoring, Schulungen und Reviews.
Welche Behörde ist in Deutschland für NIS2 zuständig?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Behörde für NIS2 in Deutschland. Meldungen von Sicherheitsvorfällen erfolgen über die BSI-Meldeportale. In einzelnen Sektoren können zusätzlich sektorspezifische Behörden zuständig sein (zum Beispiel BNetzA für Energie oder BaFin für Finanzdienstleistungen).
Müssen auch kleine Lieferanten großer betroffener Unternehmen NIS2 erfüllen?
Formal nicht direkt, wenn sie selbst die Schwellenwerte nicht erfüllen. In der Praxis geben betroffene Unternehmen Anforderungen aus der Lieferkettensicherheitspflicht (Art. 21 NIS2) vertraglich weiter. Kleinere Lieferanten sollten prüfen, welche Anforderungen ihre Auftraggeber an sie stellen, und darauf vorbereitet sein, Nachweise zur eigenen Cybersicherheit zu erbringen.
Verwandte Themen
- Cybersecurity-Strategien für den Mittelstand
- Datenschutz und DSGVO im Unternehmenskontext
- IT-Notfallpläne und Business Continuity








