Was bedeutet NIS2 für Unternehmen?

von Marcel Geschwill |
29. April 2026 |
Digitale Transformation | Enterprise Content Management

Die NIS2-Richtlinie ist eines der weitreichendsten Cybersicherheitsgesetze, das die Europäische Union je verabschiedet hat. Sie betrifft nicht nur Großkonzerne und Behörden, sondern auch tausende mittelständischer Unternehmen in Deutschland. Dieser Artikel erklärt, was hinter der NIS2-Richtlinie steckt, wen sie betrifft und was betroffene Unternehmen konkret tun müssen.

Was ist die NIS2-Richtlinie? Definition und Hintergrund

NIS2 steht für Network and Information Security Directive 2 und ist eine EU-Richtlinie (Verordnung EU 2022/2555) zur Stärkung der Cybersicherheit in Europa. Sie ist die Nachfolge-Richtlinie der ursprünglichen NIS-Richtlinie von 2016 und wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.

In Deutschland wurde NIS2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt. Das Gesetz ist seit Oktober 2024 verbindlich. Unternehmen, die unter die Richtlinie fallen, müssen seitdem konkrete Sicherheitsmaßnahmen umgesetzt und dokumentiert haben.

Das zentrale Ziel der EU ist ein einheitlich hohes Niveau an Cybersicherheit in allen 27 Mitgliedstaaten. Denn Cyberangriffe kennen keine Landesgrenzen und ein kompromittiertes Energienetz oder Krankenhaus in einem Land gefährdet die gesamte europäische Infrastruktur.

Warum wurde NIS2 eingeführt?

Die erste NIS-Richtlinie von 2016 hatte zwar Wirkung, war aber lückenhaft: Zu wenige Unternehmen waren erfasst, Bußgelder waren niedrig, und die Umsetzung in den Mitgliedstaaten war uneinheitlich. Gleichzeitig stiegen Cyberangriffe auf kritische Infrastrukturen dramatisch an, von Ransomware-Attacken auf Krankenhäuser bis hin zu staatlich gesponserten Angriffen auf Energieversorger, wie beispielweise zuletzt Anfang dieses Jahres in Berlin.

NIS2 reagiert darauf mit drei zentralen Maßnahmen: deutlich mehr betroffene Sektoren und Unternehmen, schärfere Mindestanforderungen an Sicherheitsmaßnahmen und empfindlich höhere Bußgelder bei Nichtbeachtung.

Welche Unternehmen sind von NIS2 betroffen?

NIS2 unterscheidet zwischen zwei Kategorien betroffener Einrichtungen, die sich in der Intensität der Aufsicht und der Höhe der Bußgelder unterscheiden, nicht aber in den grundlegenden Pflichten:

  • Wesentliche Einrichtungen (Essential Entities): Unternehmen ab 250 Mitarbeitern oder mit mehr als 50 Millionen Euro Jahresumsatz und einer Bilanzsumme von über 43 Millionen Euro in kritischen Sektoren wie Energie, Gesundheit, Trinkwasser, Verkehr oder digitaler Infrastruktur. Für sie gelten die höchsten Anforderungen.
  • Wichtige Einrichtungen (Important Entities): Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Millionen Euro Jahresumsatz in weiteren Sektoren wie Fertigung, Lebensmittelproduktion, Post oder digitalen Diensten.

Die Faustregel: Wenn Ihr Unternehmen mehr als 50 Mitarbeiter hat, einen Jahresumsatz von über 10 Millionen Euro erzielt und in einem NIS2-relevanten Sektor tätig ist, sollten Sie Ihre Betroffenheit professionell prüfen lassen.

Welche Pflichten entstehen durch NIS2?

NIS2 definiert einen verbindlichen Mindeststandard an Sicherheitsmaßnahmen, den betroffene Unternehmen umsetzen und nachweislich dokumentieren müssen. Die wichtigsten Anforderungen im Überblick:

  • Risikoanalyse und Informationssicherheitsrichtlinie: Systematische Identifikation und Bewertung aller relevanten Risiken, festgehalten in einer schriftlichen Sicherheitsrichtlinie
  • Meldepflichten bei Sicherheitsvorfällen: Erhebliche Vorfälle müssen innerhalb von 24 Stunden beim BSI gemeldet werden, ein vollständiger Bericht folgt binnen 72 Stunden
  • Business Continuity Management: Dokumentierte Notfallpläne, Backup-Konzepte und getestete Wiederherstellungsverfahren sind Pflicht
  • Lieferkettensicherheit: Sicherheitsstandards von Zulieferern und IT-Dienstleistern müssen bewertet und vertraglich abgesichert werden
  • Multi-Faktor-Authentifizierung: MFA für alle kritischen Systeme und privilegierten Zugänge ist Mindestanforderung
  • Mitarbeiterschulungen: Regelmäßige, nachweisbare Sicherheitsschulungen für alle relevanten Mitarbeiter
  • Kryptografie und Netzwerksicherheit: Verschlüsselung sensibler Daten und Netzwerksegmentierung als Pflichtmaßnahme

Was kostet Nichtbeachtung?

Die Konsequenzen bei Verstößen gegen NIS2 sind erheblich:

  • Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, der höhere Betrag gilt
  • Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung gemäß Artikel 20 NIS2 bei nachweisbarer Vernachlässigung
  • Bußgelder werden bereits ohne konkreten Sicherheitsvorfall verhängt, allein aufgrund fehlender Dokumentation

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat durch NIS2 deutlich erweiterte Prüf- und Durchsetzungsbefugnisse erhalten. Für wesentliche Einrichtungen gilt proaktive Aufsicht. Das BSI kann jederzeit prüfen.

Was sollten Unternehmen jetzt tun?

Wer noch keine entsprechenden Vorkehrungen getroffen hat, sollte jetzt handeln. Der erste Schritt ist die Klärung der eigenen Betroffenheit: Ist mein Unternehmen eine wesentliche oder wichtige Einrichtung? Der zweite Schritt ist eine strukturierte Gap-Analyse, die zeigt, welche Maßnahmen bereits umgesetzt sind und wo Handlungsbedarf besteht.

Sie möchten mehr über NIS2 wissen? Nehmen Sie Kontakt auf und erfahren Sie, wie Ihr Unternehmen NIS2-konform wird: https://www.fme.de/dienstleistungen/business-consulting/nis2/

Häufig gestellte Fragen zu NIS2 (FAQ)

Was bedeutet NIS2 abgekürzt?

NIS2 steht für Network and Information Security Directive 2. Es handelt sich um die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (EU 2022/2555), die seit Oktober 2024 in Deutschland verbindlich ist.

Ab welcher Unternehmensgröße gilt NIS2?

Als Faustregel gilt: Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Millionen Euro Jahresumsatz in einem NIS2-relevanten Sektor sind als wichtige Einrichtung einzustufen. Wesentliche Einrichtungen beginnen in der Regel bei 250 Mitarbeitern oder 50 Millionen Euro Jahresumsatz.

Was passiert, wenn ein Unternehmen NIS2 nicht umsetzt?

Drohende Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Zusätzlich sind Geschäftsführer persönlich haftbar. Bußgelder werden auch ohne konkreten Cybervorfall verhängt.

Wer ist die Aufsichtsbehörde für NIS2 in Deutschland?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde für NIS2 in Deutschland. Es hat durch das NIS2UmsuCG erweiterte Prüf- und Sanktionsbefugnisse erhalten.

Gilt NIS2 auch für kleine Unternehmen?

In der Regel nicht für Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz unter 10 Millionen Euro. Ausnahmen gibt es jedoch für Unternehmen, die systemkritische Dienste erbringen, unabhängig von ihrer Größe.

Haben wir Ihr Interesse geweckt? Dann schreiben Sie uns doch einfach.
JETZT KONTAKT AUFNEHMEN
×

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert