Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

NIS2: Einfach erklärt

Veröffentlicht am: 4. Dezember 2025

Max Mustermann

Veröffentlicht am: 04.12.2025

NIS2

NIS2 ist der neue europäische Rechtsrahmen für Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016) und soll in der gesamten EU ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme schaffen.In Deutschland wurde sie am 6. Dezember 2025 in nationales Recht überführt.

Weitere Artikel der ISM-Pillar-Reihe

Mit NIS2 reagiert die EU auf die massiv gestiegene Bedrohungslage im Cyberraum. Die Richtlinie:

  • erweitert den Kreis der betroffenen Sektoren und Unternehmen deutlich,
  • verschärft Anforderungen an Risikomanagement und technische Schutzmaßnahmen,
  • führt strengere Meldepflichten für Sicherheitsvorfälle ein,
  • und macht das Management persönlich verantwortlich für Cybersicherheit.

Wer sich unsicher ist, ob sein Unternehmen betroffen ist, kann einen Betroffenen-Check beim BSI machen.

1. Kurzdefinition: Was regelt die Richtlinie?

Die Richtlinie legt europaweit Mindeststandards für Cyber- und Informationssicherheit fest. Ziel ist es, kritische und wichtige Einrichtungen vor Cyberangriffen und IT-Ausfällen zu schützen und die Resilienz des europäischen Binnenmarkts zu erhöhen.

Im Kern verlangt NIS2 von betroffenen Organisationen:

  • ein systematisches Cyber-Risikomanagement,
  • klare Verantwortung der Geschäftsleitung für Cybersicherheit,
  • verpflichtende und fristgebundene Meldung schwerwiegender Sicherheitsvorfälle,
  • geplante Business-Continuity- und Wiederanlaufkonzepte für den Fall eines Angriffs.

Diese vier Bereiche – Risikomanagement, Corporate Accountability, Reporting und Business Continuity – werden in vielen Fachquellen als Kern-Domänen von NIS2 beschrieben.

2. Wer ist vom Gesetz betroffen?

2.1 Essential vs. Important Entities

NIS2 unterscheidet zwischen „wesentlichen“ (Essential) und „wichtigen“ (Important) Einrichtungen. Beide Gruppen müssen umfassende Sicherheitsvorgaben erfüllen, bei wesentlichen Einrichtungen sind Aufsicht und mögliche Sanktionen jedoch strenger.

Typischerweise gilt:

  • Wesentliche Einrichtungen: Unternehmen in besonders kritischen Sektoren mit normalerweise ≥ 250 Mitarbeitenden und ≥ 50 Mio. € Jahresumsatz oder 43 Mio. € Bilanzsumme.
  • Wichtige Einrichtungen: Unternehmen mit ≥ 50 Mitarbeitenden und ≥ 10 Mio. € Umsatz bzw. Bilanzsumme in den von NIS2 erfassten Sektoren.

Die genauen Schwellenwerte und Einstufungen werden im nationalen Umsetzungsgesetz (z. B. NIS2UmsuCG in Deutschland) konkretisiert und zum Teil ausgeweitet.

Grundregel: NIS2 erfasst vor allem mittlere und große Organisationen in den in Anhang I/II genannten Sektoren. Die Zuordnung zu „wesentlich“/„wichtig“ folgt primär dieser Sektorlogik und wird national konkretisiert. Es gibt zudem sektor-/dienstespezifische Ausnahmen.

2.2 Betroffene Sektoren

Insgesamt erfasst die Richtlinie 18 Sektoren, die als kritisch oder wichtig für Wirtschaft und Gesellschaft gelten. Dazu gehören u. a.:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Transport (Luft-, Schienen-, Wasser- und Straßenverkehr)
  • Banken und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, med. Versorgung)
  • Trinkwasser- und Abwasserwirtschaft
  • Digitale Infrastruktur (Rechenzentren, Internetknoten, DNS, TLDs)
  • IT-Dienstleister (Managed Services, Cloud, Managed Security, Hosting)
  • Öffentliche Verwaltung
  • Post- und Kurierdienste, Abfallwirtschaft
  • Lebensmittelproduktion und -verarbeitung
  • kritische Teile der Industrie (z. B. Chemie, Maschinenbau, Fahrzeugbau)
  • Digitale Dienste wie Online-Marktplätze, Suchmaschinen, soziale Netzwerke
  • Forschungseinrichtungen

Allein in Deutschland wird mit dem NIS2UmsuCG die Zahl der regulierten Einrichtungen deutlich erhöht: Statt bisher nur klassischer Betreiber kritischer Infrastrukturen (KRITIS) sind künftig rund 30.000 Unternehmen direkt adressiert.

3. Welche Pflichten bringt das NIS2UmsuCG konkret?

3.1 Cyber-Risikomanagement und Sicherheitsmaßnahmen

Unternehmen müssen ein strukturiertes Informationssicherheits- und Risikomanagement etablieren, das den gesamten Lebenszyklus ihrer IT- und OT-Systeme abdeckt. Die Richtlinie nennt u. a. folgende Maßnahmenbereiche:

  • regelmäßige Risikobewertungen und Dokumentation in einem Risikoregister,
  • Sicherheitskonzepte über den gesamten Systemlebenszyklus,
  • Zugriffs- und Identitätsmanagement, inkl. starker Authentisierung (z. B. MFA),
  • Schulungen und Sensibilisierung für Mitarbeitende,
  • klare Richtlinien und Prozesse (Security Policies, Standards, Verfahren),
  • angemessene Verschlüsselungs- und Kryptografie-Strategien,
  • Supply-Chain-Security und Vorgaben für Dienstleister und Lieferanten,
  • technische Maßnahmen wie Protokollierung, Monitoring, Patch- und Schwachstellenmanagement.

3.2 Meldepflichten bei Sicherheitsvorfällen

NIS2 verschärft die Reportingpflichten erheblich. Sicherheitsvorfälle mit erheblichen Auswirkungen müssen in einem gestuften Verfahren gemeldet werden:

  • Innerhalb von 24 Stunden: erste Meldung („Early Warning“) an die zuständige Behörde / das CSIRT mit grundlegenden Informationen.
  • Innerhalb von 72 Stunden: detaillierter Bericht mit Einschätzung von Ursache, Auswirkungen und ersten Gegenmaßnahmen.
  • Spätestens nach 1 Monat: Abschlussbericht mit Root-Cause-Analyse, Lessons Learned und geplanten Verbesserungen.

3.3 Business Continuity & Disaster Recovery

Ein zentrales Ziel der Richtlinie ist die Vermeidung oder Begrenzung von Systemausfällen mit gravierenden gesellschaftlichen Folgen. Deshalb fordert die Richtlinie:

  • Business-Impact-Analysen (BIA) zur Identifikation kritischer Prozesse, Systeme und Daten,
  • Business-Continuity-Pläne (BCP) und IT-Desaster-Recovery-Pläne (IT-DRP),
  • ausgereifte Backup-Strategien inkl. Wiederherstellungstests,
  • Krisenmanagement- und Kommunikationspläne, z. B. für Cyber-Erpressung oder großflächige Ausfälle.

Die Praxis-Empfehlung aus Fachliteratur und Beratung: Business-Continuity-Maßnahmen sollten eng mit dem Cyber-Risikomanagement und den Incident-Response-Prozessen verzahnt werden, um NIS2 effizient zu erfüllen.

3.4 Management-Verantwortung und Haftung

Eine der stärksten Botschaften der Richtlinie: Cybersicherheit ist Chefsache. Geschäftsleitungen müssen:

  • Sicherheitsstrategie und -maßnahmen billigen und überwachen,
  • sich regelmäßig zu Cyberrisiken schulen lassen,
  • für angemessene Ressourcen und Budgets sorgen.

Bei Verstößen können Manager in wesentlichen Einrichtungen sogar vorübergehend von Leitungsfunktionen ausgeschlossen werden.

Geschäftsführung und Geschäftsleitung - also das gesamte Management - muss Verantwortung übernehmen und geschult werden.

3.5 Bußgelder und Sanktionen

Die Sanktionsrahmen sind deutlich verschärft. Die Richtlinie sieht u. a. vor:

  • für wichtige Einrichtungen: Geldbußen bis zu ca. 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes,
  • für wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

Die nationalen Gesetze – wie das NIS2UmsuCG – übernehmen diese Größenordnung und präzisieren die Sanktionsmechanismen und Zuständigkeiten der Aufsichtsbehörden, in Deutschland insbesondere des BSI.

4. Aktueller Stand: Umsetzung von NIS2 in Deutschland

4.1 Verpasste EU-Frist und politische Verzögerung

Deutschland hat die EU-Umsetzungsfrist vom 17./18. Oktober 2024 nicht eingehalten. Gründe waren vor allem politische Prioritätenverschiebungen und Regierungsumbildungen. Erst 2024/2025 wurden überarbeitete Referenten- und Regierungsentwürfe des NIS2UmsuCG vorgelegt.

4.2 Bundestag und Bundesrat: NIS2UmsuCG beschlossen

Nach der Verzögerung ist NIS2 nun beschlossen:

  • 13. November 2025: Der Deutsche Bundestag beschließt das Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG).:
  • 21. November 2025: Der Bundesrat billigt das Gesetz.
  • 6. Dezember 2025: Gesetz tritt in Kraft.
  • 6. Januar 2026: NIS2-Meldeportal des Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell online.

4.3 Auswirkungen des NIS2UmsuCG

Das deutsche NIS2-Umsetzungsgesetz:

  • novelliert das BSI-Gesetz und das IT-Sicherheitsrecht umfassend,
  • erweitert den Kreis der Unternehmen von einigen Tausend KRITIS-Betreibern auf rund 29.000 bis 30.000 Einrichtungen,
  • führt die Kategorien „besonders wichtige“ und „wichtige“ Einrichtungen ein (deutsche Terminologie für Essential/Important),
  • verankert Meldepflichten, Risikomanagement, Business Continuity und Managementverantwortung verbindlich,
  • und gibt dem BSI weitreichendere Befugnisse bei Aufsicht, Prüfung und Anordnung von Maßnahmen.

5. Was müssen Unternehmen jetzt konkret tun?

„Wir warten erst mal ab“ ist keine Option mehr. Wer potenziell in den Anwendungsbereich fällt, sollte jetzt strukturiert vorgehen – insbesondere, weil viele Maßnahmen Jahre brauchen, bis sie reifen.

Fordern Sie jetzt das „NIS2-Playbook im Mittelstand“ an. Klicken Sie hier.

5.1 Schritt 1: Betroffenheit prüfen

  • Branche und Tätigkeitsfeld mit den 18 NIS2-Sektoren abgleichen.
  • Unternehmensgröße (Mitarbeitende, Umsatz, Bilanzsumme) prüfen.
  • Rollen als Zulieferer oder Dienstleister für kritische Einrichtungen berücksichtigen.
  • Einstufung als besonders wichtige / wesentliche vs. wichtige Einrichtung klären.

5.2 Schritt 2: Gap-Analyse gegen NIS2-Anforderungen

  • Ist-Analyse von Organisation, Prozessen und Technik (z. B. nach NIST CSF oder ISO 27001/27002).
  • Abgleich mit NIS2-Pflichten in den vier Kernbereichen:
    • Cyber-Risikomanagement,
    • Management-Accountability & Governance,
    • Incident Reporting & Krisenkommunikation,
    • Business Continuity & Disaster Recovery.
  • Dokumentation der Lücken und Priorisierung nach Risiko und Aufwandsdichte.

5.3 Schritt 3: Security-Governance & Rollen klären

  • CISO oder vergleichbare Funktion mit klaren Befugnissen etablieren.
  • Steuerungsgremium für Cybersecurity mit Management-Beteiligung einrichten.
  • Unternehmensweit gültige Security-Policies, Richtlinien und RASCI-Matrizen definieren.
  • Regelmäßiges Reporting an Geschäftsführung / Aufsichtsorgane aufsetzen.

5.4 Schritt 4: Technische & organisatorische Maßnahmen ausbauen

  • Identitäts- und Zugriffsmanagement (IAM, MFA, least privilege) stärken.
  • Protokollierung, Monitoring und SIEM/SOC-Lösungen ausbauen.
  • Vulnerability Management, Patch-Management und Härtung etablieren.
  • Security-Awareness-Programme und verpflichtende Schulungen einführen.
  • Lieferanten- und Dienstleisterrisiken strukturiert managen (TPRM, Vertragsklauseln).

5.5 Schritt 5: Incident Response & Business Continuity professionalisieren

  • formalisierte Incident-Response-Pläne inkl. Meldewegen an BSI & Behörden erstellen,
  • regelmäßige Tabletop-Übungen mit Management und Fachbereichen durchführen,
  • BCP/IT-DRP entwickeln und testen (Wiederanlaufzeiten, Downtime-Szenarien),
  • Krisenkommunikation (intern/extern) vorbereiten – auch für Medien und Kunden.
NIS2-Richtlinie
Eine Frage wird sich irgendwann stellen: Genügt Excel oder benötigen Sie eine dezidierte Softwarelösung?. Hier geht es zu den Pro & Cons.

6. FAQ: Häufige Fragen zur NIS2-Richtlinie

Was ist der Unterschied zwischen NIS und NIS2?

NIS2 erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie auf deutlich mehr Sektoren und Unternehmen, verschärft die Sicherheits- und Meldepflichten, erhöht die Bußgelder und macht das Management explizit verantwortlich. NIS2 ersetzt die alte Richtlinie vollständig.

Ab wann gilt NIS2 in Deutschland verbindlich?

Das Gesetz trat am 6. Dezember 2025 nach Veröffentlichung im Bundesgesetzblatt in Kraft.

Gibt es Übergangsfristen?

Aktuell deuten Fachanalysen darauf hin, dass das deutsche NIS2-Umsetzungsgesetz ohne längere Übergangsfrist in Kraft tritt. Unternehmen sollten daher davon ausgehen, dass sie die wesentlichen Anforderungen bei Inkrafttreten weitgehend erfüllen müssen.

Wie finde ich heraus, ob mein Unternehmen betroffen ist?

Prüfe zuerst Branche und Tätigkeitsfeld gegen die NIS2-Sektoren, anschließend Unternehmensgröße (Mitarbeitende, Umsatz, Bilanz). Orientierung bieten der Richtlinientext, Leitfäden von ENISA und nationale Infos (z. B. BSI, BMI) sowie das NIS2UmsuCG. Im Zweifel sollte rechtliche Beratung hinzugezogen werden.

Reicht ein ISO-27001-Zertifikat für NIS2-Compliance?

Ein etabliertes ISMS nach ISO 27001 oder ein nach NIST CSF ausgerichtetes Programm ist eine sehr gute Basis, garantiert aber nicht automatisch vollständige NIS2-Compliance. Meldepflichten, Management-Verantwortlichkeiten, nationale Besonderheiten und branchenspezifische Vorgaben müssen zusätzlich berücksichtigt werden.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen