NIS-2-Richtlinie erklärt

Was Unternehmen jetzt
wissen und umsetzen müssen

NIS-2-Richtlinie verständlich erklärt: Welches Ziel sie verfolgt, was betroffene Unternehmen jetzt für ihre Cybersicherheit tun müssen und worauf es dabei ankommt. Mit informativem Whitepaper.

10 Min. Lesezeit
Hier informieren!

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (Directive 2022/2555)1. Um sicherzustellen, dass kritische Infrastrukturen vor möglichen Cyberangriffen oder IT-Vorfällen geschützt werden, verpflichtet sie Unternehmen und Organisationen EU-weit dazu, mehr für ihre Cybersicherheit zu tun. In diesem Praxisratgeber erklären wir, was die NIS-2-Richtlinie beinhaltet, wie sie in Deutschland umgesetzt wird und welche Maßnahmen Sie als Unternehmen ergreifen sollten, um den Anforderungen gerecht zu werden.

Ziel und Hintergrund der EU-Richtlinie

Die NIS-2-Richtlinie stellt eine Weiterentwicklung der NIS-1-Richtlinie (Richtlinie 2016/1148)2 dar. Diese schuf 2016 einen einheitlichen Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit3 und war somit ein erster Step zur Regulierung der Sicherheit von Netz- und Informationssystemen. Um die Cybersicherheit in Europa weiter zu verbessern, trat die NIS-2-Richtlinie bereits 2023 in der Europäischen Union in Kraft. Die Mitgliedsstaaten hatten im Anschluss die Aufgabe, die Richtlinie auf nationaler Ebene umzusetzen. 

    Warum wurde NIS-1 überarbeitet?

    Eine Überarbeitung der NIS-1 wurde angesichts der fortschreitenden Digitalisierung, der angespannten sicherheitspolitischen Lage und einer deutlich stärkeren Cyber-Bedrohungslage notwendig. Die NIS-1-Richtlinie galt nur für Unternehmen aus bestimmten Sektoren.

    Zudem wurde sie in den EU-Mitgliedsstaaten unterschiedlich interpretiert und umgesetzt, was dazu führte, dass das Sicherheitsniveau innerhalb der EU uneinheitlich war. Die NIS-2-Richtlinie erweitert den Geltungsbereich und vereinheitlicht die Anforderungen innerhalb der EU, um ein höheres Maß an Sicherheit zu gewährleisten.

    NIS-2: Wesentliche Neuerungen im Überblick

    • Anwendungsbereich vergrößert: Die Richtlinie gilt für deutlich mehr Unternehmen und insgesamt 18 kritische Sektoren – zudem sind viele Unternehmen indirekt als Lieferanten betroffen.
    • Pflichten erweitert: Mindestanforderungen für Cybersicherheitsmaßnahmen wurden eingeführt.
    • Geschäftsführung eingebunden: Persönliche Haftung und Schulungspflichten sind Pflicht.
    • Bußgelder erhöht: Bei Nichteinhaltung der Vorgaben drohen erhebliche Sanktionen.
    • Fristen verkürzt: Die Meldung muss innerhalb kürzester Zeit erfolgen.
    NIS 2 Richtlinie

    Rechtsrahmen und aktueller Stand in Deutschland

    Inkrafttreten auf EU-Ebene

    Veröffentlicht wurde die NIS-2-Richtlinie (Richtlinie EU 2022/2555 des Europäischen Parlaments und des Rates) am 27. Dezember 20224. Am 16. Januar 2023 trat sie auf EU-Ebene in Kraft5.

    Fristen zur nationalen Umsetzung

    Bis zum 17. Oktober 2024 hatten die Mitgliedsstaaten Zeit, die NIS-2-Richtlinie auf nationaler Ebene umzusetzen5. In Deutschland trat das Gesetz jedoch erst nach einiger Verzögerung am 6. Dezember 20256 in Kraft.

    Zusammenhang mit dem deutschen Umsetzungsgesetz

    Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung7, kurz NIS-2-Umsetzungsgesetz, dient dazu, die Vorgaben der europäischen NIS-2-Richtlinie in nationales Recht zu überführen. Das Gesetz selbst beinhaltet keine neuen Bestimmungen. Es ändert bestehende Gesetze ab – so etwa das BSI-Gesetz, das es in Artikel 1 neu fasst.

    Rolle des BSI und Einordnung ins BSI-Gesetz

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI)8 spielt eine zentrale Rolle bei der Überwachung und Durchsetzung der Richtlinie. Es ist zuständig für die Kontrolle der betroffenen Unternehmen und die Festlegung von Sicherheitsstandards sowie die Meldung von Sicherheitslücken oder die Herausgabe von Warnungen. Das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik)9, das 2025 im Rahmen der Umsetzung der EU-NIS-2-Richtlinie neu gefasst wurde, regelt seine Aufgaben und Befugnisse.

    Hier registrieren & Whitepaper "Informationssicherheit" abrufen!

    • Wie können Unternehmen Informationssicherheit strategisch umsetzen?
    • Wie können sie Risiken minimieren und regulatorische Anforderungen erfüllen?
    • Mit vielen Praxistipps und Beispielen
    • Kostenfreier Download von weiteren Muster-Dokumenten, Checklisten & Whitepapern.

    Wer ist von der NIS-2-Richtlinie betroffen?

    Betroffene Unternehmen und Einrichtungen

    Unternehmen und öffentliche Einrichtungen, die als „kritische Infrastrukturen“ gelten, sind besonders von der NIS-2-Richtlinie betroffen. Dazu gehören Organisationen, deren Ausfall deutliche Auswirkungen auf die Gesellschaft oder Wirtschaft hätte.

    Größenkriterien (Mitarbeiter, Umsatz)

    Die NIS-2-Richtlinie gilt für Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von mehr als 10 Millionen Euro. Wenn sie in kritischen Sektoren tätig sind, können auch kleinere Unternehmen dazu zählen, wie etwa Dienstleister und Lieferanten der Unternehmen.

    • Unternehmen werden nicht automatisch darüber informiert, ob sie von der Richtlinie betroffen sind. Eine Betroffenheitsprüfung10 hilft dabei, herauszufinden, ob Ihr Unternehmen von der Regulierung im Zuge von NIS-2 betroffen ist.
    NIS 2 Richtlinie

    Unterscheidung: „wichtige“ vs. „besonders wichtige“ Einrichtungen

    Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments11 unterscheidet zwischen kritischen Sektoren – auch „wichtigen“ Einrichtungen (wE) genannt, wie etwa Post- und Kurierdienste, Abfallbewirtschaftung oder Forschung und „besonders wichtigen“ (bwE) mit hoher Kritikalität – so etwa aus den Bereichen Transport & Verkehr, Energie, Gesundheit oder Abwasser und Öffentliche Verwaltungen. Die besonders wichtigen, auch wesentliche Einrichtungen genannt, unterliegen strengeren Anforderungen und Kontrollen.

    Während die europäische Richtlinie eine Einteilung in 18 Sektoren vorsieht, wird in der nationalen Umsetzung in Deutschland12 teilweise auf eine Zusammenfassung zu 14 Sektoren Bezug genommen. Die differenziertere europäische Systematik ermöglicht dabei eine granularere Abbildung kritischer Infrastrukturen und bildet die Grundlage für die regulatorischen Anforderungen. Laut dieser sind folgende Einrichtungen aus 18 Sektoren betroffen:

      Betroffene Sektoren im Überblick11

      Sektoren mit hoher Kritikalität

      • Energie
        TeilsektorBeispiele f. d. Art der Einrichtung

        a) Elektrizität

        • Elektrizitätsunternehmen 
        • Verteilernetzbetreiber 
        • Übergangsnetzbetreiber 
        • Stromerzeuger 
        • Nominierte Strommarktbetreiber
        • Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten
        • Betreiber von Ladepunkten

        b) Fernwärme und -kälte

        • Betreiber von Fernwärme oder Fernkälte

        c) Erdöl

        • Betreiber von Erdöl-Fernleitungen 
        • Betreiber von Anlagen zur Erdölproduktion, Raffination und Aufbereitung von Erdöl
        • Zentrale Bevorratungsstellen von Erdöl

        d) Erdgas

        • Erdgas-Versorgungsunternehmen
        • Verteilernetzbetreiber
        • Fernleitungsnetzbetreiber
        • Betreiber einer Speicheranlage
        • Betreiber eine LNG-Anlage
        • Erdgasunternehmen
        • Betreiber zur Raffination und Aufbereitung von Erdgas

        e) Wasserstoff

        • Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung
      • Transport & Verkehr
        TeilsektorBeispiele f. d. Art der Einrichtung

        a) Luftverkehr

        • Luftfahrtunternehmen
        • Flughafenleitungsorgane
        • Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrollen bereitstellen

        b) Schienenverkehr

        • Infrastrukturbetreiber
        • Eisenbahnunternehmen einschließlich Betreiber einer Serviceeinrichtung

        c) Schifffahrt

        • Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt (ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe)
        • Leitungsorgane von Häfen einschließlich ihrer Hafenanlagen sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
        • Betreiber von Schiffsverkehrsdiensten

        d) Straßenverkehr

        • Straßenverkehrsbehörden
        • Betreiber intelligenter Verkehrssysteme
      • Bankwesen
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Kreditinstitute

         

      • Finanzmarktinfrastrukturen
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Betreiber von Handelsplätzen

         

        zentrale Gegenparteien und Transaktionsregister

         

      • Gesundheitswesen
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        		Gesundheitsdienstleister
         EU-Referenzlaboratorien

         

        		Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben

         

        		Einrichtungen, die pharmazeutische Erzeugnisse herstellen

         

        		Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch eingestuft werden

         

      • Trinkwasser
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“

         

      • Abwasser
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln

         

      • Digitale Infrastruktur
        TeilsektorBeispiele f. d. Art der Einrichtung
         Betreiber von Internet-Knoten
         DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
         TLD-Namenregister
         Anbieter von Cloud-Computing-Diensten
         Anbieter von Rechenzentrumsdiensten
         Betreiber von Inhaltszustellnetzen
         Vertrauensdiensteanbieter
         Anbieter öffentlicher elektronischer Kommunikationsnetze oder
         Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
      • Verwaltung von IKT-Diensten (B2B)
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Anbieter verwalteter Dienste

         

        		Anbieter verwalteter Sicherheitsdienste
      • Öffentliche Verwaltung
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Einrichtungen der öffentlichen Verwaltung von Zentralregierungen gemäß nationalem Recht

         Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene gemäß nationalem Recht
      • Weltraum
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        		Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze

      Weitere kritische Sektoren

      • Post- und Kurierdienste
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        		Anbieter von Postdiensten einschließlich Anbieter von Kurierdiensten
      • Abfallbewirtschaftung
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        		Unternehmen der Abfallbewirtschaftung ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
      • Chemische Stoffe
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Unternehmen, die Stoffe herstellen und mit Stoffen oder Gemischen handeln, und Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren

      • Lebensmittel
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

      • Verarbeitendes Gewerbe
        TeilsektorBeispiele f. d. Art der Einrichtung

        a) Herstellung von Medizinprodukten und In-vitro-Diagnostika

        		Einrichtungen, die Medizinprodukte herstellen und Einrichtungen, die In-vitro-Diagnostika herstellen

        b) Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen

        Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne von NACE Rev. 2 (Abschnitt C, Abteilung 26) ausüben

        c) Herstellung von elektrischen Ausrüstungen

        		Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne von NACE Rev. 2 (Abschnitt C, Abteilung 27) ausüben

        d) Maschinenbau

        Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne von NACE Rev. 2 (Abschnitt C, Abteilung 28) ausüben

        e) Herstellung von Kraftwagen und Kraftwagenteilen

        		Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne von NACE Rev. 2 (Abschnitt C, Abteilung 29) ausüben

        f)   sonstiger Fahrzeugbau

        		Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne von NACE Rev. 2 (Abschnitt C, Abteilung 30) ausüben
      • Anbieter digitaler Dienste
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        		Anbieter von Online-Marktplätzen

         

        		Anbieter von Online-Suchmaschinen

         

        		Anbieter von Plattformen für Dienste sozialer Netzwerke
      • Forschung
        TeilsektorBeispiele f. d. Art der Einrichtung

         

        		Forschungseinrichtungen

      Pflichten nach der NIS-2-Richtlinie

      Im Zuge der NIS-2-Richtlinie müssen betroffene Unternehmen strenge Sicherheits- und Risikomanagementmaßnahmen einhalten, die im BSIG (§ 30 BSIG) geregelt sind. So heißt es etwa unter (1): „Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen […] zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“ 13 

      Risikomanagement und Cybersicherheitsmaßnahmen

      Zu den wichtigsten Pflichten im Rahmen der NIS-2-Richtlinie gehören vor allem spezifische Risikomanagement- und Cybersicherheitsmaßnahmen, die geeignet, verhältnismäßig und wirksam14 sein müssen.

      Technische und organisatorische Maßnahmen

      Die einzuführenden Maßnahmen müssen laut § 30 BSIG13

      • den Stand der Technik einhalten,
      • einschlägige europäische und internationale Normen berücksichtigen
      • und auf einem gefahrlosen Ansatz beruhen.

      Mindestanforderungen

      Zu den im Gesetz genannten Mindestanforderungen gehören sinngemäß:

      1. Konzepte zur Risikoanalyse und Sicherheit in der Informationstechnik

      2. Bewältigung von Sicherheitsvorfällen

      3. Aufrechterhaltung des Betriebs (Backup-Management und Wiederherstellung nach einem Notfall und Krisenmanagement)

      4. Sicherheit in der Lieferkette (dazu gehören auch sicherheitsrelevante Aspekte der Zusammenarbeit mit direkten Lieferanten oder Dienstleistern)

      5. Maßnahmen zur Sicherheit beim Kauf, der Entwicklung und der Wartung von IT- Systemen, Komponenten und Prozessen, inklusive Schwachstellenmanagement sowie deren Offenlegung

      6. Konzepte und Verfahren, um die Wirksamkeit von Maßnahmen im Bereich der Sicherheit in der Informationstechnik bewerten zu können

      7. Maßnahmen zur grundlegenden Schulung und Sensibilisierung zur Sicherheit in der Informationstechnik

      8. Prozesse und Konzepte für die Nutzung kryptographischer Verfahren

      9. Entwicklung von Konzepten zur Personalsicherheit, Zugriffskontrolle sowie die Verwaltung von IKT-Systemen, -Produkten und -Prozessen

      10. Nutzung von Multi-Faktor- oder kontinuierlichen Authentifizierung sowie gesicherter Sprach-, Video- und Textkommunikation, einschließlich möglicher gesicherter Notfallkommunikationssysteme innerhalb der Organisation

      Verantwortung der Geschäftsführung

      Eine besondere Verantwortung bei der Umsetzung der Maßnahmen liegt bei der Geschäftsführung: „Die NIS-2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen".15, bringt es BSI-Präsidentin Claudia Plattner auf den Punkt. Im Einzelnen sind dies vor allem: 

      • Organisationspflichten: Die Geschäftsführung ist für die Einhaltung der Richtlinie sowie die Umsetzung aller Vorgaben verantwortlich.
      • Schulungspflichten: Führungskräfte und Mitarbeiter müssen regelmäßig geschult werden, um Sicherheitsrisiken zu minimieren.
      • Persönliche Haftungsrisiken: Bei Nichteinhaltung drohen der Geschäftsleitung persönliche Haftungsrisiken und hohe Bußgelder.

      Registrierungs- Nachweis- und Meldepflichten der NIS-2-Richtlinie

      Im Rahmen der NIS-2-Richtlinie sind Unternehmen dazu verpflichtet, ihre Betroffenheit proaktiv zu melden, um Bußgelder zu vermeiden. Dies erfolgt über das Melde- und Informationsportal (MIP) des Bundesamts für Sicherheit und Informationstechnik (BSI). Zunächst melden die Unternehmen sich im Bereich „Mein Unternehmenskonto“ (MUK) mittels Elster-Secure an. Danach registrieren sie sich im BSI-Portal16 . Dabei werden Unternehmensdaten, Kontaktinformationen, Sektorenzugehörigkeit und Angaben zur Betriebsgröße abgefragt.

      Zu den Nachweispflichten gehört es, dass Unternehmen ihre Maßnahmen dokumentieren und auf Anfrage nachweisen können – so etwa die Dokumentation eines Informationssicherheits-Managementsystems (ISMS), Zugriffskontrollen und Verschlüsselung, Belege über Risikoanalysen sowie die Absicherung der Lieferkette. Auch die erforderlichen Schulungen müssen nachgewiesen werden können.

      Die Meldepflichten umfassen zudem eine Frühwarnmeldung (Vorfälle mit erheblichen Auswirkungen auf die Sicherheit müssen innerhalb von 24 Stunden gemeldet werden), die Meldung eines Sicherheitsvorfalls (Bericht innerhalb von 72 Stunden) und einen Abschlussbericht, der spätestens 1 Monat nach der Meldung eingereicht werden muss.

      NIS-2: Kontrollen, Aufsicht und Sanktionen

      • Zuständige Behörden

        In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Überwachung und Durchsetzung der NIS-2-Richtlinie zuständig. Die Behörde hat weitreichende Befugnisse, um die Einhaltung der Vorschriften zu kontrollieren. Diese reichen von Vor-Ort-Kontrollen über Stichproben, Externen Audits bis zur Überprüfung der Meldepflichten.

      • Bußgeldrahmen

        Wenn Unternehmen gegen die Meldepflichten verstoßen oder Maßnahmen nicht einhalten, können hohe Bußgelder auf sie zukommen. Die Sanktionen im Rahmen der NIS-2-Richtlinie orientieren sich in der Höhe der Bußgeldvorschriften an der DSGVO und sollen so abschreckend wirken. Besonders wichtige Einrichtungen riskieren Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Zudem kann die Geschäftsleitung persönlich haftbar gemacht werden.

      • Unterschiede zwischen wichtigen und besonders wichtigen Einrichtungen

        Besonders wichtige Einrichtungen:

        Aufsicht: Besonders wichtige Einrichtungen werden proaktiv geprüft. Zusätzlich kann es regelmäßige Sicherheitsprüfungen geben.

        Bußgelder: Für besonders wichtige Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden – maßgeblich ist der jeweils höhere Betrag.

        Wichtige Einrichtungen:

        Aufsicht: Wichtige Einrichtungen werden erst nach einem Hinweis auf einen Verstoß, also reaktiv, geprüft.

        Bußgelder: Die Höchstgrenze der Bußgelder für wichtige Einrichtungen liegt bei bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

      Umsetzung in die Praxis: So bereiten sich Unternehmen vor

      Zur Umsetzung der Richtlinie empfehlen sich die folgenden Maßnahmen: 

      • Bestandsaufnahme: Analyse der aktuellen Cybersicherheitsmaßnahmen.
      • Risikomanagement: Entwicklung eines Risikomanagementsystems, das den Anforderungen der Richtlinie entspricht.
      • Schulungen: Schulung der Mitarbeiter und Führungskräfte.
      • Dokumentation: Sicherstellung, der Maßnahmen-Dokumentation und deren Nachweis.
      • Beratung: Hinzuziehen von externen Experten, um Schwachstellen zu identifizieren.
      NIS 2 Richtlinie

      Warum jetzt Handlungsbedarf besteht

      Die NIS-2-Richtlinie bringt erhebliche Änderungen mit sich, die Unternehmen nicht ignorieren sollten. Sie sollten sich mit dem Thema NIS-2 ausführlich auseinandersetzen, ihre Betroffenheit prüfen und Maßnahmen gezielt umsetzen, um Bußgelder und Haftungsrisiken zu vermeiden.

       

       

      NIS 2 Richtlinie

      Unterstützung bei der Umsetzung von NIS-2

      Sie möchten sicherstellen, dass Ihr Unternehmen alle Anforderungen der NIS-2-Richtlinie erfüllt? Die Experten von Creditreform unterstützen Sie bei der Analyse und Umsetzung der Vorgaben – von der Erstberatung über die strukturierte Betroffenheitsprüfung bis hin zur vollständigen Umsetzung der regulatorischen Anforderungen.

      Zusätzlich beraten wir Sie auch dazu, wie Sie die Anforderung der DORA-Verordnung erfüllen, wie Sie einen externen Informationssicherheitsbeauftragten (ISMS) implementieren und wie Sie die Informationssicherheit Ihres Unternehmens beim Jahresabschluss stärken können.

      Jetzt beraten lassen!

      FAQ zur NIS-2-Richtlinie

      Häufig gestellte Fragen und Antworten zum Thema

      • 1. Was ist die NIS-2-Richtlinie?

        Die NIS-2-Richtlinie ist eine EU-Vorgabe zur Verbesserung der Cybersicherheit in Europa. Sie trat im Januar 2023 in Kraft und löst die NIS-1-Richtlinie ab. Sie verpflichtet einen Großteil der Unternehmen in der EU, strengere Sicherheitsmaßnahmen zur Cybersicherheit zu ergreifen. In Deutschland gilt sie seit Dezember 2025.

      • 2. Was ist der Unterschied zur NIS-1?

        Im Unterschied zur NIS-1, die 2016 eingeführt wurde, um die Sicherheit von Netz- und Informationssystemen zu gewährleisten, wurde bei der NIS-2 der Anwendungsbereich stark erweitert – dadurch fallen nun deutlich mehr Unternehmen unter die Richtlinie.

      • 3. Wer ist von NIS-2 betroffen?

        Unternehmen und Einrichtungen, die als kritische Infrastrukturen gelten in 18 Sektoren – so etwa aus den Bereichen Energie, Verkehr, Banken, Gesundheit, Wasser und Digitale Einrichtungen. Dabei unterscheidet man wichtige (Important) also kritische Sektoren und besonders wichtige (Essential) Einrichtungen, die zu hochkritischen Sektoren gehören. Wichtige und besonders wichtige Einrichtungen unterliegen unterschiedlichen Regeln, was die Aufsicht und Sanktionen bei Verstößen betrifft.

      • 4. Welche Pflichten müssen im Rahmen der NIS-2-Richtlinie erfüllt werden?

        Zu den Hauptpflichten gehören unter anderem:

        • Risikomanagementmaßnahmen zur Cybersicherheit
        • Registrierungspflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
        • Meldepflichten bei Sicherheitsvorfällen – Frühwarnung innerhalb von 24 Stunden
        • Nachweispflichten: Betroffene Unternehmen müssen ihre Maßnahmen dokumentieren und auf Anfrage nachweisen können
      • 5. Welche Frist gilt für die Umsetzung der NIS-2-Richtlinie?

        Betroffene Unternehmen mussten sich bis spätestens 6. März 2026 beim BSI registrieren. Für die Umsetzung von Sicherheitsmaßnahmen gelten keine Übergangsfristen.

      • 6. Was muss die Geschäftsführung im Zuge der Umsetzung von NIS-2 tun?

        Die Pflichten für die Geschäftsführung umfassen die Verantwortung für die Sicherheitsmaßnahmen, deren Überwachung und den Besuch von Schulungen.

      • 7. Wie wirkt sich dies auf die Lieferkette aus?

        Um die Sicherheit ihrer Lieferkette zu gewährleisten, müssen Unternehmen auch Sicherheitsanforderungen an direkte Zulieferer stellen.

      Unsere Texte dienen dem unverbindlichen Informationszweck und ersetzen keine spezifische Rechts- oder Fachberatung. Für die angebotenen Informationen geben wir keine Gewähr auf Richtigkeit und Vollständigkeit.

      Teilen auf

      Das könnte Sie auch interessieren

      Kreditgespraech_950x503.png

      Zahlungserinnerung: Muster, Vorlagen & FAQ

      Zahlung ausstehend? Hier finden Sie rechtssichere Muster & Vorlagen für eine effektive und freundliche Zahlungserinnerung – inklusive Beispielen, Tipps, Formulierungen & Fristen.

      Zum Artikel
      KI-Compliance_950x503.jpg

      KI-Compliance: Rechtssicherheit & Vorteile

      Ob Bildbearbeitung, Textanalysen und vieles mehr – Künstliche Intelligenz (KI) bietet enorme Chancen für Unternehmen, bringt jedoch auch regulatorische Herausforderungen mit sich.

      Zum Artikel
      header-wi-auskunft-950x503.png

      Wirtschaftsauskunft: Geschäftspartner im Blick

      Kennen Sie Ihre Geschäftspartner durch und durch? Eine Wirtschaftsauskunft sorgt für die nötige Transparenz und sichere Geschäfte. Doch wer darf sie einholen und was steht in einer Auskunft?

      Zum Artikel