Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 Digitale DiensteNIS2 PlattformenNIS2 Online-Marktplätze

NIS2 für Digitale Dienste: Plattformen und Marktplätze

Was NIS2 für Online-Plattformen, Marktplätze und digitale Dienste bedeutet: Pflichten, DSA-Abgrenzung und Schulungen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 202611 Min. Lesezeit

NIS2 für Digitale Dienste: Plattformen und Marktplätze

Online-Marktplätze, Online-Suchmaschinen und Plattformdienste sozialer Netzwerke können unter NIS2 regelmäßig als wichtige Einrichtungen erfasst sein. Für Plattformbetreiber zählen deshalb vor allem drei Fragen: Gehört mein Dienst zu Anhang II NIS2, wie grenze ich NIS2 sauber vom Digital Services Act ab und welche Melde-, Sicherheits- und Schulungspflichten muss ich konkret organisieren?

Letzte Aktualisierung: 23. März 2026

Die rechtlich belastbare Einordnung beginnt mit dem Anwendungsbereich. Anhang II der Richtlinie (EU) 2022/2555 nennt bei den digitalen Anbietern insbesondere Online-Marktplätze, Online-Suchmaschinen und Plattformdienste sozialer Netzwerke. Diese Unternehmen werden nach Art. 3 Abs. 2 NIS2 im Regelfall als wichtige Einrichtungen eingeordnet, sofern keine Sonderregel greift. Daneben regelt NIS2 auch Cloud-Computing-Dienste, Managed Service Provider und Managed Security Service Provider, die systematisch eher dem Bereich digitale Infrastruktur beziehungsweise ICT-Service-Management zugeordnet sind. Für Deutschland kommt hinzu, dass die konkrete Aufsicht und Registrierung von der nationalen Umsetzung abhängen. Wenn Sie die NIS2-Pflichten für technische Dienstleister vertiefen möchten, ist der Beitrag zu NIS2 für IT-Dienstleister und MSP der passende nächste Schritt.

Welche digitalen Dienste betroffen sind

Die wichtigste Antwort für NIS2 Digitale Dienste lautet: Nicht jede Website und nicht jede App ist automatisch NIS2-reguliert, aber Plattformmodelle mit systemischer digitaler Infrastruktur oder kritischer Vermittlungsfunktion geraten schnell in den Anwendungsbereich. Die Richtlinie unterscheidet nicht nach Marketingbegriffen wie Plattform, App oder SaaS, sondern nach rechtlich definierten Dienstarten.

Typischerweise betroffen sind vor allem diese Konstellationen:

DienstartTypische BeispieleNIS2-Einordnung
Online-MarktplätzeB2B- und B2C-Marktplätze, Plattformen mit Händler- und KäuferkontenAnhang II NIS2, regelmäßig wichtige Einrichtung
Online-SuchmaschinenVertikale Suchdienste, Preisvergleichs- oder Branchensuchdienste mit SuchfunktionAnhang II NIS2, regelmäßig wichtige Einrichtung
Plattformdienste sozialer NetzwerkeCommunity-Plattformen, Social-Network-Dienste, Creator-Plattformen mit InteraktionsfunktionenAnhang II NIS2, regelmäßig wichtige Einrichtung
Cloud-Computing-DiensteIaaS-, PaaS- und bestimmte SaaS-nahe Cloud-AngeboteEigener NIS2-Bereich außerhalb der klassischen Plattformdienste
Managed ServicesExtern betriebene IT-Administration, Monitoring, Remote-Betrieb, SOC-nahe LeistungenEigener NIS2-Bereich außerhalb der klassischen Plattformdienste

Für SaaS-Anbieter ist die Abgrenzung besonders wichtig. Ein SaaS-Produkt fällt nicht allein deshalb unter NIS2, weil es webbasiert ausgeliefert wird. Entscheidend ist, ob der Dienst funktional als Cloud-Computing-Dienst oder Managed Service einzuordnen ist und ob Größe, Umsatz oder Sondertatbestände erfüllt sind. Wer nur „SaaS“ auf die Startseite schreibt, beantwortet damit noch keine aufsichtsrechtliche Frage.

Für Plattformbetreiber ist außerdem die Unternehmensgruppe relevant. Die Größenlogik nach der Empfehlung 2003/361/EG und die Einbindung in Konzernstrukturen können dazu führen, dass ein Dienst nicht isoliert, sondern im Verbund bewertet wird. Gerade bei Marktplätzen, Social-Apps und Suchplattformen ist es daher riskant, nur die Einzelgesellschaft mit den wenigsten Mitarbeitenden zu betrachten.

Die operative Faustregel lautet: Wenn Ihr Dienst zahlreiche Nutzer, Händler, Anbieter oder Geschäftskunden digital zusammenführt und ein Sicherheitsvorfall erhebliche Auswirkungen auf Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit haben kann, ist eine NIS2-Vorprüfung zwingend. Parallel lohnt der Blick auf NIS2 Compliance Software, wenn Sie Pflichten, Nachweise und Fristen strukturiert dokumentieren wollen.

Abgrenzung: NIS2 vs. Digital Services Act

NIS2 und DSA überschneiden sich bei denselben Unternehmen, aber nicht bei derselben Pflichtlogik. NIS2 regelt Cybersicherheit und Resilienz der Netz- und Informationssysteme. Der Digital Services Act, also die Verordnung (EU) 2022/2065, regelt vor allem Plattformverantwortung, Transparenz, Notice-and-Action, Nutzerrechte, Werbetransparenz, Händler-Rückverfolgbarkeit und zusätzliche Risikopflichten für sehr große Online-Plattformen und Suchmaschinen.

Die sauberste Unterscheidung ist diese:

AspektAllgemeine NIS2Spezifisch für digitale Dienste
RegulierungszielCybersicherheit, Resilienz, Incident HandlingZusätzlich DSA-Pflichten zu Inhalten, Transparenz und Plattformprozessen
KategorieWesentliche oder wichtige Einrichtungen nach Art. 3 NIS2Bei Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken regelmäßig wichtige Einrichtungen nach Art. 3 Abs. 2 NIS2
SchutzzielVerfügbarkeit, Integrität, Authentizität, VertraulichkeitZusätzlich DSA: Umgang mit illegalen Inhalten, Händlerdaten, Nutzertransparenz
AufsichtCyber-Aufsicht und Incident-MeldungenParallel mögliche DSA-Aufsicht durch Plattformregeln und Koordinatoren für digitale Dienste
BesonderheitenArt. 21 Risikomanagement, Art. 23 VorfallmeldungenÜberschneidungen mit DSA-Prozessen, aber keine Ersetzung von Cyber-Pflichten

Für Online-Marktplätze ist der Unterschied besonders deutlich. Der DSA verlangt unter anderem bestimmte Informations- und Sorgfaltspflichten gegenüber Händlern, Nutzern und Behörden. NIS2 fragt dagegen, ob Ihre Authentisierung, Ihr Incident Handling, Ihre Lieferkette, Ihre Business-Continuity-Planung und Ihre Zugangskontrollen wirksam sind. Ein perfekter Notice-and-Action-Prozess nach DSA kompensiert kein schwaches IAM, und ein ausgereiftes SOC ersetzt keine DSA-Händlertransparenz.

Für soziale Netzwerke und Suchmaschinen gilt dieselbe Logik. Der DSA fokussiert stärker auf systemische Plattformrisiken, Inhalte, Empfehlungslogiken und Transparenz. NIS2 fokussiert auf Cyberrisiken, Betriebsstabilität und die Reaktion auf erhebliche Vorfälle. Beide Regelwerke können gleichzeitig gelten, müssen aber in Governance, Policies und Verantwortlichkeiten sauber getrennt werden. Wer diese Trennung nicht dokumentiert, erzeugt in Audits regelmäßig Doppelarbeit oder blinde Flecken.

Sicherheitsanforderungen für Plattformbetreiber

Plattformbetreiber müssen nach Art. 21 NIS2 kein abstraktes Sicherheitsversprechen abgeben, sondern angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen nachweisbar umsetzen. Für digitale Dienste wird diese Pflicht durch die Durchführungsverordnung (EU) 2024/2690 auf EU-Ebene konkretisiert, insbesondere für digitale Infrastrukturen, Managed Services und weitere digitale Anbieter.

Die Kernbausteine aus Art. 21 Abs. 2 NIS2 sind für Plattformen besonders praxisrelevant:

  1. Risikoanalyse und Sicherheitsrichtlinien nach Art. 21 Abs. 2 Buchst. a NIS2.
  2. Incident Handling nach Art. 21 Abs. 2 Buchst. b NIS2.
  3. Business Continuity, Backup und Krisenmanagement nach Art. 21 Abs. 2 Buchst. c NIS2.
  4. Lieferkettensicherheit nach Art. 21 Abs. 2 Buchst. d NIS2.
  5. Sichere Entwicklung, Beschaffung und Wartung nach Art. 21 Abs. 2 Buchst. e NIS2.
  6. Bewertung der Wirksamkeit von Maßnahmen nach Art. 21 Abs. 2 Buchst. f NIS2.
  7. Cyberhygiene und Schulungen nach Art. 21 Abs. 2 Buchst. g NIS2.
  8. Kryptografie und gegebenenfalls Verschlüsselung nach Art. 21 Abs. 2 Buchst. h NIS2.
  9. Personal-, Zugriffs- und Asset-Sicherheit nach Art. 21 Abs. 2 Buchst. i NIS2.
  10. MFA, sichere Kommunikation und Notfallkommunikation nach Art. 21 Abs. 2 Buchst. j NIS2.

Für Plattformbetreiber übersetzen sich diese Normen in sehr konkrete Kontrollfragen. Wie werden Händlerkonten und Administratoren abgesichert? Sind API-Zugriffe segmentiert? Gibt es saubere Rechtekonzepte für Content-Moderation, Trust-and-Safety, Finance und Engineering? Können verdächtige Logins, Massenexports oder Manipulationen an Such- oder Rankinglogiken schnell erkannt werden? Und sind Drittanbieter wie Zahlungsdienstleister, Cloud-Provider, Authentisierungsdienste oder externe Entwickler in das Lieferkettenmodell integriert?

Gerade Online-Marktplätze und soziale Netzwerke haben oft komplexe Vertrauensketten. Händler, Creator, Werbekunden, Moderationsteams, externe Support-Dienstleister und Cloud-Subprozessoren greifen parallel auf Teile des Systems zu. Dadurch steigen die Anforderungen an Identitätsmanagement, Logging, Session-Sicherheit, Secrets-Management und Rollenmodelle deutlich. Wer hier noch mit geteilten Admin-Konten, unklaren Superuser-Rechten oder unvollständigen Audit-Logs arbeitet, erfüllt die Erwartung aus Art. 21 NIS2 kaum belastbar.

Ein zweiter Schwerpunkt ist die Lieferkette. Plattformen hängen oft an Zahlungsprovidern, CDN-Anbietern, Ticketing-Systemen, Chat-Tools, Fraud-Services, externen Entwicklern und KI-basierten Moderations- oder Supportdiensten. Art. 21 Abs. 2 Buchst. d NIS2 verlangt ausdrücklich, die Beziehungen zu direkten Lieferanten und Dienstleistern in das Risikomanagement einzubeziehen. Genau deshalb reicht es nicht, nur die eigene Anwendung zu härten.

Meldepflichten bei Sicherheitsvorfällen

Die Meldepflichten aus Art. 23 NIS2 treffen digitale Dienste genauso ernst wie andere regulierte Unternehmen. Entscheidend ist nicht, ob ein Vorfall peinlich oder öffentlichkeitswirksam ist, sondern ob er erhebliche Auswirkungen auf die Erbringung des Dienstes hat. Plattformbetreiber müssen deshalb früh bewerten können, ob Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit in relevantem Umfang beeinträchtigt sind.

Die NIS2-Meldelogik besteht aus drei Stufen:

  1. Frühwarnung innerhalb von 24 Stunden nach Kenntnis des erheblichen Vorfalls.
  2. Vorfallmeldung innerhalb von 72 Stunden mit erster Bewertung, Auswirkungen und Gegenmaßnahmen.
  3. Abschlussbericht innerhalb eines Monats nach der 72-Stunden-Meldung.

Für Plattformen ist diese Fristenlogik operativ anspruchsvoll, weil technische Analyse, Kommunikationsdruck und Kundenerwartungen gleichzeitig steigen. Ein kompromittiertes Händlerkonto, ein Ausfall des Suchindex, ein DDoS auf die Registrierungsstrecke oder eine Manipulation von Empfehlungslogiken kann innerhalb weniger Minuten geschäftskritisch werden. Wer dann noch keine Zuständigkeiten für Erstbewertung, Freigabe und Behördenkommunikation festgelegt hat, verliert Zeit genau dort, wo Art. 23 NIS2 keine Zeitreserve vorsieht.

Ein typisches Beispiel ist ein Online-Marktplatz mit erfolgreicher Kontoübernahme bei mehreren Händlern. Dann stellt sich nicht nur die Frage nach dem Schaden bei den betroffenen Konten, sondern auch nach Auswirkungen auf Bestellprozesse, Zahlungsabwicklung, Verbrauchervertrauen und Drittparteien. Dasselbe gilt für Suchmaschinen oder soziale Netzwerke, wenn Kernfunktionen ausfallen oder manipuliert werden und dadurch große Nutzergruppen betroffen sind.

Wichtig ist außerdem die Parallelität zu anderen Regimen. Wenn personenbezogene Daten betroffen sind, kann zusätzlich Art. 33 DSGVO greifen. Wenn der Vorfall die Vertrauens- und Sicherheitsprozesse eines Marktplatzes berührt, kann intern zugleich eine DSA-Relevanzprüfung nötig werden. Diese Überschneidungen ändern aber nichts daran, dass die NIS2-Meldeuhr separat läuft. Für die praktische Ausgestaltung hilft unser Leitfaden zur NIS2-Vorfallmeldung.

Schulungspflichten für Plattform-Teams

NIS2 macht Schulung bei digitalen Diensten nicht zum optionalen Awareness-Thema, sondern zum Pflichtbaustein des Cyber-Risikomanagements. Art. 21 Abs. 2 Buchst. g NIS2 nennt ausdrücklich grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen. Art. 20 Abs. 2 NIS2 verpflichtet außerdem Leitungsorgane, selbst Schulungen zu absolvieren und Schulungen innerhalb der Organisation zu fördern.

Für Plattformbetreiber ist das besonders relevant, weil Risiken nicht nur in der klassischen IT liegen. Produktteams entscheiden über Rollenmodelle, Support-Teams bearbeiten sensible Kontoanfragen, Trust-and-Safety-Teams arbeiten mit Eskalationsrechten, Marketing-Teams verwalten Kampagnenkonten, Finance-Teams prüfen Zahlungsströme und externe Dienstleister bekommen oft privilegierten Zugriff auf Produktionsumgebungen. Eine reine IT-Schulung deckt diese Angriffsfläche nicht ab.

Ein belastbares Schulungsmodell für digitale Dienste sollte mindestens vier Zielgruppen unterscheiden:

ZielgruppeTypische RisikenSchulungsschwerpunkte
GeschäftsleitungGovernance, Freigaben, Haftung, KrisenentscheidungenArt. 20 NIS2, Meldewege, Priorisierung, Aufsicht
Engineering und ITZugangskontrollen, Secrets, Logging, Recovery, HardeningSecure Development, IAM, Incident Handling, Cloud-Security
Operations, Support, Trust & SafetyKontoübernahmen, Social Engineering, IdentitätsprüfungCyberhygiene, Eskalation, Berechtigungen, Missbrauchsmuster
Einkauf und Vendor ManagementDrittparteirisiken, Vertragslücken, unklare SicherheitszusagenLieferkettensicherheit, Nachweise, Kontrollrechte

Der Nachweis ist ebenso wichtig wie der Inhalt. Plattformbetreiber sollten dokumentieren, wer wann welche Schulung mit welchem Stand absolviert hat, welche Rollen zusätzliche Vertiefungen benötigen und wie Management-Schulungen in Governance-Prozesse zurückgespielt werden. Ein LMS-Export allein reicht selten aus, wenn weder Zielgruppenlogik noch Aktualisierungsrhythmus erkennbar sind.

Wenn Sie Schulungsformate, Anbieter und Nachweismodelle vergleichen wollen, hilft der Überblick unter NIS2-Schulung Vergleich. Für Teams, die sofort eine umsetzbare Grundlage brauchen, ist die NIS2 Online-Schulung der schnellste Einstieg in dokumentierbare Rollen- und Awareness-Pflichten.

Handlungsempfehlung für Plattformen und Marktplätze

Die pragmatische Umsetzung für digitale Dienste beginnt nicht mit einer langen Policy-Sammlung, sondern mit einer belastbaren Einordnung des eigenen Dienstes. Plattformbetreiber sollten zuerst den Dienstarten-Match gegen Anhang II NIS2 dokumentieren, danach den Geltungsbereich von DSA und NIS2 trennen und erst anschließend Controls, Fristen und Nachweise operationalisieren.

Ein realistischer 90-Tage-Plan sieht so aus:

  1. Dienst einordnen: Prüfen Sie, ob Ihr Angebot rechtlich als Online-Marktplatz, Suchmaschine, soziales Netzwerk, Cloud- oder Managed Service zu bewerten ist.
  2. Governance festlegen: Benennen Sie Verantwortliche für NIS2, DSA, Incident Handling und Lieferkette.
  3. Meldeprozess testen: Üben Sie 24-Stunden-, 72-Stunden- und 1-Monats-Logik an einem realistischen Vorfall.
  4. Privilegierte Zugriffe härten: Führen Sie MFA, Rechte-Minimierung, Logging und saubere Freigabeprozesse für Admin-Zugriffe konsequent durch.
  5. Lieferanten kontrollieren: Priorisieren Sie Cloud-, Zahlungs-, Authentisierungs- und Entwicklungsdienstleister.
  6. Teams schulen: Rollenbasierte Schulungen für Management, Engineering, Operations und Support sind kein Nice-to-have, sondern Pflicht nach Art. 20 Abs. 2 und Art. 21 Abs. 2 Buchst. g NIS2.
  7. Nachweise zentral bündeln: Policies, Tests, Schulungen, Incident-Übungen und Lieferantenbewertungen müssen für Audits schnell auffindbar sein.

Die wichtigste Management-Botschaft lautet deshalb: Für digitale Dienste ist NIS2 kein reines Technikprojekt, sondern ein Betriebs- und Governance-Thema. Wer Plattformrisiken, Lieferkette, Incident-Meldungen und Schulungsnachweise nicht gemeinsam steuert, baut zwar einzelne Kontrollen auf, aber keine belastbare Regulierungspraxis.

FAQ zu NIS2 für digitale Dienste

Welche digitalen Dienste fallen unter NIS2?

Erfasst sind bei den digitalen Anbietern nach Anhang II NIS2 vor allem Online-Marktplätze, Online-Suchmaschinen und Plattformdienste sozialer Netzwerke. Daneben regelt NIS2 auch Cloud-Computing-Dienste, Managed Service Provider und Managed Security Service Provider, diese werden aber systematisch eher dem Bereich digitale Infrastruktur beziehungsweise ICT-Service-Management zugeordnet. Ob ein Unternehmen tatsächlich erfasst ist, hängt von Tätigkeit, Größe und Sondertatbeständen ab.

Müssen SaaS-Anbieter NIS2 umsetzen?

Nicht jeder SaaS-Anbieter automatisch. Relevant wird NIS2 vor allem dann, wenn das Angebot rechtlich als Cloud-Computing-Dienst, Managed Service oder Managed Security Service einzuordnen ist und die Schwellenwerte oder Sondertatbestände erfüllt sind. Die technische Architektur und die vertragliche Leistungsbeschreibung sind dafür wichtiger als das Marketing-Label SaaS.

Was bedeutet NIS2 für Online-Marktplätze?

Online-Marktplätze müssen nach Art. 21 NIS2 ein dokumentiertes Cyber-Risikomanagement aufbauen. Dazu gehören insbesondere Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung, Zugangskontrollen, Kryptografie, MFA sowie Schulungen nach Art. 21 Abs. 2 Buchst. g und Management-Schulungen nach Art. 20 Abs. 2 NIS2.

Wie registrieren sich digitale Dienste unter NIS2?

Digitale Dienste registrieren sich grundsätzlich nicht bei ENISA selbst, sondern bei der zuständigen nationalen Behörde oder über das nationale Verfahren des Mitgliedstaats. Für grenzüberschreitend tätige digitale Anbieter ist die Hauptniederlassung beziehungsweise der benannte Vertreter für die behördliche Zuordnung besonders wichtig.

Gelten für digitale Dienste andere NIS2-Anforderungen als für wesentliche Einrichtungen?

Der Kern des Cyber-Risikomanagements nach Art. 21 NIS2 ist ähnlich, aber digitale Dienste sind regelmäßig wichtige und nicht wesentliche Einrichtungen. Das wirkt sich vor allem auf die Aufsichtsintensität und Bußgeldstufen aus. Zusätzlich konkretisiert die Durchführungsverordnung (EU) 2024/2690 Sicherheitsmaßnahmen für bestimmte digitale Anbieter auf EU-Ebene.

Wie grenzt sich NIS2 vom Digital Services Act ab?

NIS2 regelt Cybersicherheit und Resilienz von Netz- und Informationssystemen, während der Digital Services Act in erster Linie Plattformverantwortung, Transparenz, Notice-and-Action, Händler-Rückverfolgbarkeit und Risikomanagement für Online-Inhalte adressiert. Für Plattformbetreiber können beide Regime parallel gelten, aber sie lösen unterschiedliche Pflichten aus.

Fazit: Digitale Dienste brauchen getrennte Regulierung, aber gemeinsame Umsetzung

Für NIS2 Digitale Dienste ist die zentrale Schlussfolgerung klar: Plattformen und Marktplätze müssen NIS2 nicht gegen den DSA ausspielen, sondern beide Regime sauber auseinanderhalten und operativ verzahnen. NIS2 betrifft die Cyber-Resilienz des Dienstes, DSA die Plattformverantwortung im Umgang mit Inhalten, Transparenz und Nutzerbeziehungen.

Für die Praxis heißt das: Prüfen Sie zuerst den Anwendungsbereich, härten Sie dann privilegierte Zugriffe und Lieferketten, testen Sie Ihre Vorfallmeldungen und rollen Sie Schulungen für Management, Engineering, Operations und Support aus. Wenn Sie dafür eine dokumentierbare Grundlage suchen, starten Sie mit unserer NIS2 Online-Schulung oder vertiefen Sie die Umsetzung über NIS2 für IT-Dienstleister und MSP und NIS2 Compliance Software.

Quellen

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →