NIS2-Richtlinie: Anforderungen an IT- und Informationssicherheit
Cyberangriffe sind längst kein seltener Ausnahmefall mehr – Ransomware, Phishing, Datenlecks oder Systemausfälle betreffen heute nicht mehr ausschließlich Konzerne, sondern zunehmen auch mittelständische Unternehmen und Institutionen.
Gleichzeitig steigt die Abhängigkeit von IT-Systemen, während der Druck wächst, geltende gesetzliche Vorgaben im Unternehmen vollständig zu erfüllen. Zentrale Geschäftsprozesse, Kommunikation und Datenverarbeitung basieren heute in hohem Maß auf digitalen Systemen, sodass bereits kurze Ausfälle erhebliche wirtschaftliche und organisatorische Folgen nach sich ziehen können. Eine stabile und sichere IT bildet daher nicht nur einen technischen Faktor, sondern stellt eine wesentliche Voraussetzung für einen reibungslosen Geschäftsbetrieb dar.
Genau an diesem Punkt setzt die NIS2-Richtlinie an und definiert klare Regeln für mehr Sicherheit und Verantwortung im digitalen Raum. Sie adressiert gezielt bestehende Schwachstellen in der Cybersicherheit, wie unzureichende Schutzmaßnahmen, fehlende Sicherheitsstrategien, nicht vorhandene Notfallpläne oder ein mangelndes Risikobewusstsein im Unternehmen.
NIS2 – Eine Definition
Die NIS2-Richtlinie (Network and Information Security Directive) stellt eine europäische Vorgabe zur gezielten Stärkung der Cyber- und Informationssicherheit dar und richtet sich an Unternehmen und Institutionen innerhalb der Europäischen Union. Sie ersetzt die bisherige NIS-Richtlinie aus dem Jahr 2016 und erweitert sowohl den Geltungsbereich als auch die Pflichten für Unternehmen in der EU deutlich.
Mit NIS2 verfolgt die EU das Ziel, kritische sowie wichtige Unternehmen und Institutionen besser vor Cyberrisiken zu schützen und ein gleichzeitig ein einheitliches Sicherheitsniveau innerhalb der Europäischen Union zu etablieren. Dabei stehen nicht nur technische Maßnahmen im Fokus, sondern ebenso organisatorische Strukturen, klar definierte Prozesse und eindeutige Verantwortlichkeiten, die verbindlich auf Managementebene regelt werden.
Mit dem Inkrafttreten der NIS2-Richtlinie auf EU-Ebene im Dezember 2022 wurden die Mitgliedsstaaten verpflichtet, die Richtlinie bis Oktober 2024 ins nationale Recht zu überführen.
Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde im Dezember 2025 veröffentlicht. Es überführt die europäischen Vorgaben zur Cybersicherheit in deutsches Recht und umfasst die Änderung und Anpassung von mehr als 20 Gesetzen und Verordnungen. Dabei definiert das Gesetz konkret, welche Anforderungen Unternehmen und Einrichtungen im Bereich IT- und Informationssicherheit erfüllen müssen. Dazu zählen unter anderem verbindliche Maßnahmen zum Risikomanagement, Meldepflichte bei Sicherheitsvorfällen sowie nachvollziehbare Dokumentationen. Gleichzeitig stärkt das Gesetz die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) als zentrale Aufsichts- und Meldebehörde.
Woher weiß ich, ob mein Unternehmen die NIS2-Richtlinie befolgen muss?
Ob ein Unternehmen oder eine Institution seine Cyber- und Informationssicherheit gemäß NIS2 ausrichten muss, ergibt sich nicht aus einer einzelnen Eigenschaft, sondern aus dem Zusammenspiel mehrerer Faktoren. Dabei trägt jedes Unternehmen selbst die Verantwortung zu prüfen, ob es unter den Anwendungsbereich der NIS2-Richtlinie fällt.
Branche
Zunächst prüft das Unternehmen, in welchem Sektor es tätig ist. NIS2 definiert eine Liste von Sektoren, die für das Funktionieren der Gesellschaft als besonders relevant gelten. Dazu zählen unter anderem Kritische Infrastruktur (KRITIS), Anbieter digitaler Dienste (DSP) sowie Unternehmen im besonderen öffentlichen Interesse (UBI). Beispiele dafür sind die Energieversorgung, das Gesundheitswesen, der Transportsektor, Finanzdienstleistungen oder die Wasserversorgung. Regelungen für digitale Infrastruktur und IT-Dienstleistungen richten sich hingegen nur an bestimmte Institutionen, wie DNS-Dienstleister, Vertrauensdienstanbieter oder Online-Suchmaschinen.
Unternehmensgröße
Ein weiteres entscheidendes Kriterium stellt die Größe des Unternehmens oder der Institution dar. Die Einstufung als „wichtige Einrichtung“ greift, sobald mindestens 50 Mitarbeiter im Unternehmen beschäftigt sind oder ein Jahresumsatz sowie eine Bilanzsumme über 10 Mio. Euro erreicht werden.
Die Einstufung als „besonders wichtige Einrichtung“ erfolgt, wenn im Unternehmen mindestens 250 Mitarbeiter beschäftigt sind oder ein Umsatz von über 50 Mio. Euro sowie eine Bilanzsumme mehr als 43 Mio. Euro vorliegen. Auch Betreiber Kritischer Anlagen fallen künftig unter die NIS2-Richtlinie.
Leistung und Service
Neben Branche und Unternehmensgröße beeinflusst auch die Art der angebotenen Leistungen die Einordnung nach NIS2. Betroffen sind insbesondere Unternehmen, deren Produkte oder Services eine zentrale Rolle für andere Unternehmen, öffentliche Einrichtungen oder die Gesellschaft spielen. Dazu gehören unter anderem IT-Dienstleister, Software- und Cloud-Anbieter, Rechenzentrumsbetreiber sowie Unternehmen mit digitalen Plattformen oder vernetzten Systemen.
Darüber hinaus können auch Unternehmen, die sich selbst nicht als kritisch einstufen, unter die NIS2-Richtlinie fallen, wenn sie essenzielle Leistungen für NIS2-pflichtige Organisationen erbringen. In solchen Fällen bewerten die zuständigen Stellen, welche Auswirkungen ein Ausfall oder Sicherheitsvorfall auf Kunden, Lieferketten oder Geschäftsprozesse hätte und ob sich daraus Verpflichtungen nach NIS2 ergeben.
Der Weg zur NIS2-Einstufung: Prüfung und Registrierung
Das Bundesamt für Sicherheits- und Informationstechnik (BSI) stellt deutschen Unternehmen und Institutionen eine strukturierte Betroffenheitsprüfung zur Verfügung, die Schritt für Schritt durch relevante Fragestellungen führt. Ergibt diese Prüfung, dass eine Umstrukturierung gemäß NIS2 erforderlich ist, bietet das BSI umfassende Informationen zum weiteren Vorgehen.
Zu den ersten konkreten Maßnahmen zählt die Registrierung in den entsprechenden Portalen. Dabei geben Unternehmen alle relevanten Angaben an, wie Name, Rechtsform oder Branche. Diese Registrierung sollte keinesfalls unterschätzt werden, da sie Transparenz schafft und die Grundlage für weiter Anforderungen bildet.
Wie sieht die NIS2-Richtlinie in der Praxis aus?
NIS2 bleibt nicht auf einer theoretischen Ebene, sondern verpflichtet betroffene Unternehmen zur Umsetzung konkreter Maßnahmen. Wir haben Beispiele aus der Praxis zusammengetragen:
IT-Sicherheitskonzepte mit klarer Struktur
In vielen Unternehmen sind Sicherheitsmaßnahmen historisch gewachsen: eine Firewall an einer Stelle, ein Virenschutz an einer anderen Stelle. Die NIS2-Richtlinie verfolgt jedoch einen grundlegend anderen Ansatz. Jedes betroffene Unternehmen ist verpflichtet, ein individuell zugeschnittenes und ganzheitliches Sicherheitskonzept zu entwickeln und aktiv umsetzen. Dieses Konzept umfasst alle relevanten Systeme, Anwendungen und Daten des Unternehmens und regelt unter anderem Zugriffsbeschränkungen, sichere Netzwerkstrukturen sowie den sicheren Umgang mit sensiblen Informationen. Darüber hinaus dokumentiert das Unternehmen das Sicherheitskonzept nachvollziehbar, überprüft es regelmäßig und passt es kontinuierlich an neue Anforderungen und Risiken an.
Notfall- und Krisenmanagement für den Ernstfall
Ein Cybervorfall tritt in der Regel unerwartet ein und erfordert schnelles sowie strukturiertes Handeln. Im Rahmen eines wirksamen Notfall- und Krisenmanagements definiert das Unternehmen klare Abläufe für den Ernstfall. Dabei legt es fest, wie Sicherheitsvorfälle erkannt, intern gemeldet und fachlich bewertet werden.
Zudem bestehen eindeutige Regelungen, wer im Ernstfall Entscheidungen trifft und welche externen Stellen gemäß § 32 BSIG über den Vorfall informiert werden müssen. Auf diese Weise kann das Unternehmen Ausfälle begrenzen, Schäden reduzieren und den regulären Geschäftsbetrieb schnellstmöglich wieder aufnehmen.
Organisatorische Verantwortung auf Managementebene
Mit der NIS2-Richtlinie liegt die Verantwortung für Cybersicherheit ausdrücklich bei der Unternehmensführung. Regelmäßige Berichte zum Sicherheitsstatus sowie eine kontinuierliche Information über potenzielle IT-Risiken rücken dadurch stärker in den Fokus.
In der Praxis bedeutet dies, dass die Geschäftsführung verbindliche Sicherheitsziele definiert, ausreichende Budgets für Sicherheitsmaßnahmen bereitstellt und klare Verantwortlichkeiten im Unternehmen festlegt.
Dabei ist entscheidend zu verstehen, dass Cybersicherheit mit NIS2 kein reines IT-Thema mehr darstellt, sondern zu einem festen Bestandteil der Unternehmensstrategie wird.
Schulung und Sensibilisierung im Unternehmen
Phishing-Mails zählen zu den häufigsten Einfallstoren für Cyberangriffe in Unternehmen. In den Jahren 2024 und 2025 belegte Phishing Platz eins der häufigsten Ursachen für Datenpannen. Um diesem Risiko wirksam zu begegnen, verpflichtet die NIS2-Richtlinie Unternehmen, Mitarbeiter aller Ebenen regelmäßige zu Schulungen im Bereich Informationssicherheit und Cybersecurity heranzuziehen. Anhand praxisnaher Beispiele lernen die Mitarbeiter, verdächtige E-Mails zu erkennen, sichere Passwörter zu verwenden und Sicherheitsvorfälle frühzeitig zu melden. Auf diese Weise entwickelt sich Cybersicherheit zu einem festen Bestandteil der Unternehmenskultur und wird nicht länger als technische Hintergrundmaßnahme wahrgenommen.
Dokumentation und Nachweisbarkeit
Im Rahmen von NIS2 reicht es nicht aus, Sicherheitsmaßnahmen im Unternehmen lediglich umzusetzen – sie müssen ebenso vollständig, nachvollziehbar und lückenlos dokumentiert werden. Unternehmen halten dabei systematisch fest, welche Schutzmaßnahmen in der IT-Infrastruktur bestehen, welche Risiken identifiziert wurden und welche Maßnahmen zur Risikominimierung umgesetzt wurden. Diese Dokumentationen dienen nicht nur externen Prüfungen oder behördlichen Kontrollen, sondern unterstützen insbesondere die interne Orientierung. (Neue) Mitarbeiter und Führungskräfte können dadurch schnell nachvollziehen, wie die IT-Sicherheit aufgebaut ist und im Falle eines Sicherheitsvorfalls gezielt sowie strukturiert reagieren. Auch interne Audits profitieren erheblich von einer umfassenden und aktuellen Dokumentation.
DOS – Ihr Partner für Datenschutz und Informationssicherheit
Möchten Sie Ihr Unternehmen im Bereich Datenschutz und Informationssicherheit auf den neuesten Stand bringen?
Unsere erfahrenen Experten begleiten Sie umfassend bei der Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen: von der Registrierung des Unternehmens über die Planung und Umsetzung der erforderlichen Maßnahmen bis hin zur kontinuierlichen Bereuung und Kontrolle der Sicherheitsprozesse. Gerne beraten wir sie persönlich und unterstützen sie bei jedem Schritt.