NIS2-Richtlinie – Steckbrief für Unternehmen
August 2025
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass die "Directive on the Security of Network and Information Systems" (NIS2) in Deutschland rund 29.000 Unternehmen erstmals unter gesetzliche Cybersicherheitspflichten stellt. Diese werden als "wichtige" und "besonders wichtige" Einrichtungen klassifiziert und kommen zu den bereits regulierten 1.000 Unternehmen der kritischen Infrastruktur hinzu. Die Anzahl der regulierten Unternehmen steigt damit von 1.000 auf 30.000 – eine Ausweitung um das 30-fache.
Das Problem – Viele mittelständische Unternehmen kennen ihre neuen Pflichten noch nicht. NIS2 erweitert die Cybersicherheitsanforderungen von der kritischen Infrastruktur auf weite Teile der Wirtschaft. Die Prüfung der Betroffenheit ist durch Verweisungen auf andere Gesetze komplex. Selbst für Fachjuristen sind klare Abgrenzungen nicht immer einfach zu treffen.
Das BSI stellt allgemeine Informationen bereit, berät jedoch nicht im Einzelfall. Unternehmen müssen selbst prüfen, ob sie betroffen sind.
Dieser Beitrag zeigt Ihnen, was Sie für Ihre NIS2-Compliance wissen müssen.
Was ist NIS2? – Der Zweck
Aufgrund steigender Cyberangriffe hat die EU mit NIS2 eine Richtlinie geschaffen, die das Cybersicherheitsniveau in der Union harmonisieren und verbessern soll.
Die Norm verfolgt konkrete Ziele: die Eindämmung von Bedrohungen für Netz- und Informationssysteme und die Sicherstellung der Kontinuität wichtiger Dienste bei Sicherheitsvorfällen. Dies soll zur "Sicherheit der Union und dem reibungslosen Funktionieren der Wirtschaft" beitragen.
NIS2 löst die Vorgängerrichtlinie NIS ab, die verbindliche Cybersicherheitsanforderungen für kritische Infrastrukturen eingeführt hatte. Nach Einschätzung der Behörden war NIS erfolgreich und führte zu messbaren Verbesserungen der Cybersicherheit. Kritisiert wurde jedoch, dass regulierte Unternehmen sich mehr Flexibilität bei der Wahl der Sicherheitsmaßnahmen gewünscht hätten.
Die Umsetzung in deutsches Recht sollte bis zum 17. Oktober 2024 erfolgen. Das deutsche NIS2-Gesetz wurde jedoch aufgrund der kürzeren Legislaturperiode nicht mehr vom vorherigen Bundestag verabschiedet.
NIS2 Anwendungsbereich – Bin ich betroffen?
Die zentrale Frage für mittelständische Unternehmen lautet: Bin ich betroffen? NIS2 gilt für Ihr Unternehmen, wenn Sie drei Kriterien erfüllen:
1. Sie bieten Ihre Dienste in der EU an oder führen hier Ihre Aktivitäten durch
Bei deutschen Unternehmen ist dies in der Regel gegeben. Bei internationalen Konzernstrukturen kann die Abgrenzung relevant werden.
2. Sie sind in einem der regulierten Wirtschaftssektoren tätig
Hier wird es komplex. Die Definitionen sind offen gestaltet, und das Gesetz verweist auf Anhänge und andere EU-Vorschriften.
Betroffene Sektoren (Auswahl):
Energie (Elektrizität, Fernwärme, Öl, Gas, Wasserstoff)
Verkehr (Straße, Schiene, Luft, Wasser)
Bankwesen und Finanzmarktinfrastruktur
Gesundheitswesen
Wasser (Trink- und Abwasser)
Digitale Infrastruktur (Cloud-Computing, Rechenzentren)
Anbieter von IKT-Diensten (verwaltete Sicherheitsdienste)
Post- und Kurierdienste
Chemische Industrie
Lebensmittelindustrie
Verarbeitendes Gewerbe (Maschinen- und Fahrzeugbau, elektrische Ausrüstung)
Digitale Dienste (Online-Marktplätze)
Forschungseinrichtungen
Der Anwendungsbereich wurde deutlich ausgeweitet und umfasst nicht mehr nur kritische Infrastrukturen.
3. Ihr Unternehmen überschreitet die Mindestgrößen
Die Schwellenwerte sollen kleine Betriebe schützen. Eine Arztpraxis wäre zwar vom Sektor erfasst, fällt aber wegen der Größe heraus. Große Gemeinschaftspraxen können jedoch betroffen sein.
NIS2 verweist für die Schwellenwerte auf eine andere EU-Norm. Betroffen sind Unternehmen, die als mittlere Unternehmen gelten oder größer sind:
Mehr als 50 Beschäftigte
Jahresumsatz über 10 Millionen Euro
Wichtig – Bei Konzernen und Joint Ventures werden die Daten verbundener Unternehmen mitunter addiert.
Was muss ich tun? – Die wichtigsten Inhalte
Die Anforderungen konzentrieren sich auf das Cybersicherheits-Risikomanagement. NIS2 unterscheidet zwischen "wichtigen" und "besonders wichtigen" Einrichtungen. Die Einstufung richtet sich nach dem Wirtschaftsbereich, kann aber auch von den Mitgliedstaaten vorgenommen werden.
Cybersecurity wird Chefsache
Die Geschäftsführung muss die Maßnahmen zum Cybersicherheits-Risikomanagement billigen und überwachen. Sie trägt die direkte Verantwortung und muss regelmäßig an Schulungen zu Risiken und Risikomanagementpraktiken teilnehmen.
Sicherheitsmaßnahmen
Die NIS2-Richtlinie verpflichtet zu "geeigneten und verhältnismäßigen" Maßnahmen zur Beherrschung von Cybersicherheitsrisiken. Ziel ist es, die Auswirkungen von Sicherheitsvorfällen zu minimieren oder ganz zu vermeiden.
Benötigt werden Maßnahmen zur Verhinderung von Cybersicherheitsvorfällen und zur Schadensbegrenzung. Die konkreten Maßnahmen hängen vom jeweiligen Risiko ab. Klare Zertifizierungen gibt es noch nicht. Das BSI nennt den BSI-Grundschutz und Sicherheitszertifizierungen wie ISO 27001 als gute Ausgangspunkte - verpflichtend sind diese jedoch nicht.
Für das Management von Vorfällen sind Incident Response Pläne und vorheriges Training, etwa durch Table-Top-Übungen, empfehlenswert.
Melde- und Berichtspflichten
Erhebliche Sicherheitsvorfälle müssen unverzüglich an die Behörde gemeldet werden
Gegebenenfalls sind auch Kunden zu benachrichtigen
Enge Fristen: Erstmeldung innerhalb von 24 Stunden, Aktualisierung innerhalb von 72 Stunden
Weitere Pflichten
Behördenanordnungen: Aufsichtsbehörden können zur Nutzung bestimmter IKT-Produkte verpflichten (aktuell kaum praktisch relevant)
Registrierung: Verpflichtende (Erst-)Registrierung als Einrichtung, Änderungen sind mitzuteilen
Erreichbarkeit: Kommunikationskanäle für die Behörde müssen immer verfügbar sein
Informationsaustausch – Bei Teilnahme am Informationsaustausch zu Cybersicherheitsrisiken mit anderen Unternehmen
Aufsichtsbehörden und deren Befugnisse
Das BSI wird die zuständige Aufsichtsbehörde. Es betont einen Ansatz der Zusammenarbeit und Beratung, insbesondere zu Beginn liegt der Fokus auf Aufklärung. Gleichzeitig verfügt das BSI über weitreichende Befugnisse, einschließlich Vor-Ort-Kontrollen bei besonders wichtigen Einrichtungen.
Bei Sicherheitsvorfällen mit personenbezogenen Daten arbeitet das BSI mit den Datenschutzbehörden zusammen.
Was droht bei Verstößen? – Die Risiken
Sanktionsmaßnahmen
Die Behörden können verschiedene Maßnahmen verhängen: Warnungen, Anweisungen zu bestimmten Verhaltensweisen oder zum Unterlassen, Anweisungen zur Veröffentlichung von Verstößen und Geldbußen. Bei besonders wichtigen Einrichtungen sind sogar Betriebsuntersagungen oder vorübergehende Tätigkeitsverbote für Leitungsorgane möglich, bis die Mängel behoben sind.
Bußgelder
Besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
Zusätzlich: Zwangsgelder bis zu 100.000 Euro möglich
Verhältnis zur DSGVO: DSGVO-Bußgelder haben Vorrang. Für dasselbe Verhalten wird kein zusätzliches NIS2-Bußgeld verhängt, andere Ordnungsmaßnahmen bleiben jedoch möglich.
Persönliche Haftung der Geschäftsführung
Nach dem aktuellen Entwurf des deutschen Gesetzes handelt es sich um gesellschaftsrechtliche Haftung. Dies ist für Geschäftsführungsorgane insofern eine Erleichterung, als sie sich unter Umständen auf die Business Judgment Rule berufen können.
Öffentliche Warnungen
Das BSI kann nach dem deutschen Gesetzesentwurf Warnungen an die Öffentlichkeit richten.
Faktische Risiken
Neben den rechtlichen Sanktionen drohen Reputationsschäden und Störungen im Betriebsablauf.
NIS2 in Deutschland – Nächste Schritte & Timeline
Am 25. Juli 2025 wurde ein Regierungsentwurf verabschiedet. Das Gesetz befindet sich im Gesetzgebungsprozess, ist aber noch nicht abgeschlossen. Änderungen sind weiterhin möglich. Aufgrund der bereits verstrichenen Umsetzungsfrist erwarten wir, dass das Gesetz nach seinem Inkrafttreten sehr schnell anwendbar wird – entweder mit kurzen Umsetzungsfristen oder ohne Übergangszeit. Dies war auch in anderen EU-Ländern der Fall. Das Argument: Der wesentliche Inhalt entspricht der bereits länger bekannten NIS2-Richtlinie.
Empfohlene Sofortmaßnahmen
1. Anwendbarkeit prüfen:
Initiale Prüfung – Falls noch nicht geschehen oder unklar
Erneute Prüfung – Erforderlich, falls Ihr Business seit der letzten NIS-2-Prüfung personell gewachsen ist oder Ihr Geschäftsmodell auf einen umfassten Sektor ausgeweitet wurde
2. Compliance vorbereiten:
Zuständige Personen benennen,
Leitungsverantwortung klären,
Bestandsaufnahme der Informationssicherheit durchführen,
kontinuierliche Verbesserung etablieren,
Meldepflichten und Warnsystem vorbereiten
Sie benötigen Hilfe bei einem der Punkte?
Kontaktieren Sie uns für ein kostenloses NIS2-Erstgespräch.
Wir erarbeiten mit Ihnen eine Roadmap mit den wichtigsten Schritten und entwickeln Konzepte, Verträge und die rechtliche Dokumentation, damit Sie sich auf das konzentrieren, was für Sie zahlt – Ihr Business.
Autoren
