NIS2 FAQ — Die 30 häufigsten Fragen und Antworten [2026]

NIS2 FAQ — Die 30 häufigsten Fragen und Antworten

NIS2 (Network and Information Security Directive 2) ist die EU-Richtlinie 2022/2555, die seit Oktober 2024 in nationales Recht umgesetzt werden muss und in Deutschland je nach Zählweise rund 29.000 bis 40.000 Unternehmen direkt oder mittelbar betrifft. Dieses NIS2 FAQ beantwortet die wichtigsten Fragen zu Betroffenheit, Fristen, Maßnahmen, Bußgeldern und Haftung kompakt, mit Blick auf 18 Sektoren, Bußgelder bis 10 Mio. EUR und die deutsche Umsetzungslage im Jahr 2026.

Letzte Aktualisierung: 23. März 2026

Wenn Sie zuerst die Grundlogik der Richtlinie verstehen möchten, lesen Sie ergänzend Was ist die NIS2-Richtlinie? und die Übersicht zu NIS2 Fristen und Deadlines 2026. Für die Selbsteinschätzung Ihres Unternehmens ist außerdem die Anleitung zur NIS2-Betroffenheit prüfen hilfreich.

Inhaltsverzeichnis: Alle 30 NIS2-Fragen im Überblick

Was ist NIS2? — Die wichtigsten Grundlagen

1. Was bedeutet NIS2?

NIS2 bedeutet „Network and Information Security Directive 2“ und bezeichnet die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Inhaltlich ist NIS2 die Nachfolgeregelung der ersten NIS-Richtlinie von 2016 und soll sicherstellen, dass mehr Unternehmen in kritischen und wichtigen Sektoren ein belastbares Cyber-Risikomanagement betreiben. Anders als NIS1 arbeitet NIS2 mit konkreteren Vorgaben zu Governance, Maßnahmen und Vorfallmeldungen. Für Unternehmen ist die Richtlinie deshalb nicht nur ein politischer Rahmen, sondern eine operative Pflichtengrundlage mit unmittelbarer Wirkung auf Geschäftsleitung, IT, Einkauf, Compliance und Incident Response. Einen systematischen Einstieg finden Sie im Beitrag Was ist die NIS2-Richtlinie?.

2. Wann tritt NIS2 in Kraft?

NIS2 ist auf EU-Ebene seit dem 16. Januar 2023 in Kraft, und die Mitgliedstaaten mussten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Für deutsche Unternehmen ist deshalb wichtig, zwei Daten zu unterscheiden: die unionsrechtliche Umsetzungsfrist am 17. Oktober 2024 und die praktische nationale Vollzugs- beziehungsweise Umsetzungslage im jeweiligen Mitgliedstaat. In Deutschland spricht man 2026 zusätzlich über Registrierungs- und Meldepflichten über das BSI-Portal, weshalb die operative Relevanz nicht erst mit einem letzten Klarstellungsschreiben beginnt. Wer wartet, bis jede Detailfrage abschließend geklärt ist, verliert in der Regel zu viel Zeit. Einen kompakten Überblick bietet NIS2 Fristen und Deadlines 2026.

3. Was ist das NIS2UmsuCG?

Das NIS2UmsuCG ist das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Gemeint ist damit das nationale Gesetzgebungspaket, mit dem Deutschland die Richtlinie (EU) 2022/2555 in das deutsche Recht, vor allem in das BSIG, überführt. In der Praxis ist der Begriff wichtig, weil viele BSI-Hinweise, Registrierungsinformationen und Fachartikel nicht nur von „NIS2“, sondern ausdrücklich vom NIS2UmsuCG sprechen. Für Unternehmen bedeutet das: Die eigentlichen Pflichten ergeben sich aus der EU-Richtlinie und ihrer nationalen Umsetzung zusammen. Wer interne Projekte aufsetzt, sollte daher immer zwischen unionsrechtlicher Anforderung, nationaler Ausgestaltung und BSI-Verwaltungspraxis unterscheiden, statt sich nur auf einen Schlagwortbegriff zu verlassen.

4. Welche Behörde ist für NIS2 in Deutschland zuständig?

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, die zentrale Anlaufstelle für NIS2-bezogene Fragen, Registrierung und Meldeprozesse. Die Europäische Kommission nennt das BSI auf ihrer Deutschland-Seite als Single Point of Contact und nationales CSIRT. Praktisch heißt das für betroffene Unternehmen: Das BSI ist die erste Adresse für Betroffenheitsprüfung, Portalregistrierung, Meldewege und Orientierungshilfen. Je nach Sektor können daneben weitere Fachaufsichten oder Regulierer relevant sein, etwa im Finanz- oder Gesundheitsbereich. Für die tägliche Projektarbeit sollten Unternehmen trotzdem zunächst vom BSI ausgehen, weil dort die operative Infrastruktur und die FAQ-Logik gebündelt sind. Eine vertiefte Einordnung der Meldepraxis finden Sie unter NIS2 Meldepflicht 24 Stunden.

5. Was ist der Unterschied zwischen NIS1 und NIS2?

Der zentrale Unterschied ist der deutlich größere und schärfere Anwendungsbereich. NIS1 erfasste weniger Sektoren, weniger Unternehmen und enthielt weniger konkrete Mindestmaßnahmen. NIS2 erweitert die Regulierung auf 18 Sektoren, differenziert zwischen wesentlichen und wichtigen Einrichtungen, konkretisiert in Art. 21 den Maßnahmenkatalog und verpflichtet Leitungsorgane in Art. 20 ausdrücklich zur Billigung, Überwachung und Schulung. Hinzu kommen strengere Meldefristen nach Art. 23 mit Frühwarnung, Meldung und Abschlussbericht. Für Unternehmen ist NIS2 deshalb kein bloßes Update von NIS1, sondern ein Regimewechsel: Cybersecurity wird von einer primär technischen Sicherheitsfrage zu einer dokumentations- und haftungsrelevanten Managementpflicht.

Wer ist von NIS2 betroffen?

6. Welche Unternehmen fallen unter NIS2?

Unter NIS2 fallen grundsätzlich mittlere und große Unternehmen in den Sektoren der Anhänge I und II der Richtlinie, sofern keine spezielle Ausnahme oder Sonderregel greift. Erfasst sind unter anderem Energie, Verkehr, Gesundheit, digitale Infrastruktur, ICT-Service-Management, Post- und Kurierdienste, Abfallwirtschaft, Herstellung bestimmter kritischer Produkte, Lebensmittel, Chemie und Forschung. Für die Praxis ist entscheidend, dass NIS2 nicht nur klassische KRITIS-Betreiber betrifft. Gerade mittelständische Unternehmen in regulierten Lieferketten, Cloud-nahen Diensten, Managed Services oder industrieller Produktion werden durch NIS2 häufiger erfasst, als die Geschäftsleitung zunächst erwartet. Den ersten belastbaren Schritt bildet deshalb eine strukturierte NIS2-Betroffenheit prüfen, nicht eine grobe Bauchentscheidung.

7. Welche Größenschwellen gelten bei NIS2?

Die Standardlogik knüpft an die KMU-Definition der Empfehlung 2003/361/EG an. Vereinfacht gilt: Kleine Unternehmen haben weniger als 50 Beschäftigte und höchstens 10 Mio. EUR Jahresumsatz oder Bilanzsumme; mittlere Unternehmen liegen darüber, aber unter 250 Beschäftigten und 50 Mio. EUR Umsatz beziehungsweise 43 Mio. EUR Bilanzsumme. Für NIS2 ist relevant, dass die Richtlinie regelmäßig bei mindestens mittlerer Unternehmensgröße ansetzt, also ab 50 Beschäftigten oder 10 Mio. EUR. Diese Schwellen sind jedoch nicht die ganze Wahrheit. In bestimmten Bereichen können auch kleinere Einrichtungen unabhängig von der Größe direkt erfasst sein, etwa wenn sie eine besondere systemische Rolle einnehmen. Außerdem können verbundene Unternehmen in die Berechnung einbezogen werden, weshalb Gruppenstrukturen früh geprüft werden sollten.

8. Welche 18 Sektoren sind von NIS2 erfasst?

NIS2 erfasst 18 Sektoren in zwei Anhängen. Zu den hochkritischen Bereichen in Anhang I gehören Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Anhang II ergänzt weitere kritische Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Herstellung bestimmter Produkte, Produktion und Verarbeitung von Lebensmitteln, Chemie, Forschung, digitale Anbieter und bestimmte ICT-Dienstleistungen. Für Unternehmen ist die Zuordnung oft nicht trivial, weil Geschäftsmodelle mehrere Kategorien berühren können. Ein IT-Dienstleister mit Betriebsverantwortung, ein Hersteller digital vernetzter Produkte oder ein Forschungshaus mit kritischen Datenbeständen sollte seine Einordnung nicht vorschnell anhand der Handelsregisterformulierung treffen, sondern entlang der tatsächlichen Leistungen und Abhängigkeiten prüfen.

9. Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Wesentliche Einrichtungen unterliegen im Grundsatz einer strengeren, proaktiveren Aufsicht; wichtige Einrichtungen werden stärker reaktiv beaufsichtigt. Die Unterscheidung hat praktische Folgen für Auditdruck, behördliche Eingriffstiefe und Priorisierung im Risikomanagement. Inhaltlich müssen beide Kategorien angemessene Maßnahmen nach Art. 21 umsetzen und erhebliche Vorfälle nach Art. 23 melden. Der Unterschied liegt also weniger darin, ob Pflichten bestehen, sondern wie intensiv sie beaufsichtigt und mit Sanktionen flankiert werden. In Deutschland wird in der Praxis zusätzlich zwischen wichtigen und besonders wichtigen Einrichtungen differenziert. Für Management-Entscheidungen ist deshalb nicht nur die Frage „betroffen oder nicht betroffen“ relevant, sondern die richtige Einordnung in die jeweilige Intensitätsstufe mit Blick auf Governance, Nachweise und Behördenkontakt.

10. Gilt NIS2 auch für KMU?

Für viele KMU lautet die kurze Antwort: oft nicht direkt, aber häufig mittelbar oder in Sonderfällen doch. Kleine Unternehmen unter 50 Beschäftigten und 10 Mio. EUR Umsatz oder Bilanzsumme sind nach der Standardlogik meist nicht originär erfasst. Das bedeutet jedoch nicht, dass NIS2 für sie praktisch irrelevant wäre. Kunden, insbesondere regulierte Unternehmen, geben Anforderungen aus Art. 21 und der Lieferkettenperspektive vertraglich weiter. Außerdem können bestimmte kleine Einrichtungen wegen ihrer Rolle, etwa als Vertrauensdiensteanbieter oder in besonders sensiblen digitalen Funktionen, direkt erfasst werden. Wer als KMU für regulierte Kunden arbeitet, sollte daher mindestens die NIS2 Checkliste und die Anleitung zur NIS2-Betroffenheit prüfen heranziehen, statt NIS2 pauschal abzuhaken.

Übersicht: Die 18 NIS2-Sektoren

1. Energie
2. Verkehr
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheit
6. Trinkwasser
7. Abwasser
8. Digitale Infrastruktur
9. Öffentliche Verwaltung
10. Raumfahrt
11. ICT-Dienstleistungen (B2B, je nach Einordnung)
12. Post- und Kurierdienste
13. Abfallwirtschaft
14. Herstellung kritischer Produkte
15. Lebensmittelproduktion und -vertrieb
16. Chemie
17. Digitale Anbieter
18. Forschung

Welche Pflichten bringt NIS2?

11. Was sind die 10 Mindestmaßnahmen nach Art. 21 NIS2?

Art. 21 Abs. 2 NIS2 nennt einen Katalog von Mindestmaßnahmen, der das operative Herzstück der Richtlinie bildet. Dazu gehören Risikoanalyse und Sicherheitskonzepte, Incident Handling, Business Continuity und Krisenmanagement, Lieferkettensicherheit, Sicherheit bei Entwicklung und Wartung, Bewertung der Wirksamkeit von Maßnahmen, grundlegende Cyberhygiene und Schulungen, Kryptografie und Verschlüsselung, Personal- und Zugriffssicherheit sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Der entscheidende Punkt ist die Proportionalität: NIS2 verlangt keine identische Umsetzung für jedes Unternehmen, aber eine angemessene, dokumentierte und wirksame Umsetzung bezogen auf Größe, Risiko, Bedrohungslage und Kritikalität. Eine vertiefte Auslegung des Maßnahmenkatalogs finden Sie in NIS2 Anforderungen Artikel 21 Maßnahmen.

12. Was ist die NIS2-Meldepflicht?

Die NIS2-Meldepflicht verpflichtet betroffene Einrichtungen, erhebliche Sicherheitsvorfälle ohne unangemessene Verzögerung an die zuständige Behörde beziehungsweise das zuständige CSIRT zu melden. Gemeint sind Vorfälle, die erhebliche Betriebsstörungen oder erhebliche finanzielle Verluste verursachen oder verursachen können oder andere natürliche oder juristische Personen spürbar beeinträchtigen. NIS2 will damit nicht nur Transparenz schaffen, sondern eine schnellere behördliche Reaktionsfähigkeit und sektorübergreifende Lagebilder ermöglichen. Für Unternehmen heißt das praktisch: Es reicht nicht, Vorfälle intern zu bearbeiten. Es muss eine Meldeentscheidung mit Verantwortlichen, Kriterien, Eskalationswegen und belastbarer Dokumentation geben. Einen praxisnäheren Ablauf erläutert NIS2 Meldepflicht 24 Stunden.

13. Welche Fristen gelten für Meldungen nach Art. 23 NIS2?

Art. 23 NIS2 arbeitet mit drei Stufen. Erstens ist eine Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung abzugeben, wenn ein erheblicher Vorfall vorliegt oder vermutet wird. Zweitens folgt innerhalb von 72 Stunden eine Vorfallmeldung mit erster Bewertung, Schweregrad und möglichen grenzüberschreitenden Auswirkungen. Drittens ist spätestens nach einem Monat ein Abschlussbericht einzureichen, sofern der Vorfall bis dahin bewältigt ist; andernfalls folgt zunächst ein Zwischenbericht und später der Abschlussbericht. Diese Fristen sind kurz, weil NIS2 das Management zu vorbereiteten Prozessen zwingt. Wer im Ernstfall noch Zuständigkeiten diskutiert, wird die Fristen kaum einhalten. Für das Fristenmanagement sollten Unternehmen parallel NIS2 Fristen und Deadlines 2026 berücksichtigen.

14. Muss die Geschäftsleitung nach NIS2 geschult werden?

Ja, Leitungsorgane müssen nach Art. 20 Abs. 2 NIS2 selbst Schulungen absolvieren und die Schulung innerhalb der Organisation fördern. Diese Pflicht ist rechtlich und praktisch relevant, weil NIS2 Cybersicherheit ausdrücklich auf die Ebene der Unternehmensleitung hebt. Es genügt daher nicht, wenn die IT-Abteilung dem Vorstand einmal pro Jahr eine Präsentation schickt. Die Geschäftsleitung muss verstehen, welche Risiken bestehen, welche Maßnahmen gebilligt wurden, wie Vorfall- und Meldeketten funktionieren und welche Entscheidungspflichten sie selbst tragen. Genau daraus ergibt sich auch der Link zur Geschäftsführerhaftung. Wer Management-Schulung nur als formalen Haken behandelt, unterschätzt die Dokumentations- und Aufsichtspflicht deutlich. Eine vertiefte Haftungsperspektive finden Sie unter NIS2 Haftung Geschäftsführer.

15. Was bedeutet die Registrierungspflicht?

Die Registrierungspflicht bedeutet, dass betroffene Unternehmen ihre relevanten Stammdaten und Kontaktinformationen gegenüber der zuständigen Behörde beziehungsweise über die bereitgestellte Melde- und Registrierungsinfrastruktur hinterlegen müssen. In Deutschland erfolgt dies praktisch über das BSI-Portal. Registriert werden typischerweise Informationen zur Einrichtung, zu Ansprechpartnern, zu technischen oder organisatorischen Kontaktstellen sowie je nach Ausgestaltung zur Einordnung der Einrichtung. Für Unternehmen ist das mehr als ein Verwaltungsakt: Die Registrierung macht Betroffenheit sichtbar, schafft einen offiziellen Kommunikationskanal und zwingt zur internen Klärung von Verantwortlichkeiten. Wer schon an dieser Stelle keine saubere Governance hat, wird bei Art. 21 und Art. 23 regelmäßig ebenfalls Schwächen zeigen. Für die operative Vorbereitung empfiehlt sich die NIS2 Checkliste.

NIS2-Umsetzung in der Praxis

16. Wie starte ich die NIS2-Implementierung sinnvoll?

Der richtige Start ist eine belastbare Kombination aus Betroffenheitsprüfung, Management-Entscheidung und Gap-Analyse. Zuerst sollte geklärt werden, ob und in welcher Kategorie Ihr Unternehmen erfasst ist. Danach folgt eine Bestandsaufnahme gegen Art. 21 NIS2: Welche Maßnahmen existieren bereits, welche sind nur informell geregelt und wo fehlen Nachweise? Erst anschließend ist ein Umsetzungsplan sinnvoll, der Verantwortlichkeiten, Fristen und Prioritäten festlegt. In der Praxis bewährt sich ein 90-Tage-Programm mit Fokus auf Governance, Incident Response, Lieferkette, Berechtigungen, Backups und Awareness. Wer sofort ein Großprojekt ohne Scoping startet, erzeugt meist viel Dokumentation, aber wenig Steuerbarkeit. Für den Einstieg ist NIS2 Checkliste meist hilfreicher als ein abstraktes Reifegradmodell.

17. Was kostet NIS2-Compliance?

NIS2-Compliance kostet je nach Ausgangslage, Sektor und Reifegrad sehr unterschiedlich viel. Unternehmen mit bestehendem ISMS, dokumentiertem Incident Management, klarer Lieferantensteuerung und regelmäßigem Awareness-Programm haben meist einen überschaubaren Zusatzaufwand. Unternehmen ohne strukturierte Sicherheitsorganisation müssen dagegen mit einem deutlich höheren Projekt- und Betriebsaufwand rechnen. Kosten entstehen nicht nur durch Technik, sondern auch durch Management-Zeit, Prozessdesign, externe Beratung, Schulungen, Dokumentation, Tests und Nachweise. Die entscheidende wirtschaftliche Perspektive lautet daher nicht „Was kostet NIS2 insgesamt?“, sondern „Welche Pflichtlücken sind für unser Risikoprofil kritisch und welche Maßnahmen bringen zuerst Nachweisfähigkeit?“ So lassen sich Prioritäten sauber setzen, ohne sofort jedes Detail perfekt auszubauen.

18. Hilft ISO 27001 bei NIS2?

Ja, ISO 27001 hilft deutlich, ersetzt NIS2 aber nicht automatisch. Ein funktionierendes Informationssicherheitsmanagementsystem schafft bereits viele Bausteine, die auch NIS2 verlangt: Risikomanagement, Rollen, Policies, Kontrollen, Audits und Verbesserungsprozesse. Gerade für Art. 21 ist das ein großer Vorteil. Dennoch bleibt eine Übersetzungsarbeit nötig, weil NIS2 zusätzliche Akzente auf Lieferkettensicherheit, konkrete Meldefristen, Managementverantwortung und nationale Registrierungs- beziehungsweise Meldeprozesse setzt. Unternehmen mit ISO 27001 sollten daher kein neues Parallelprogramm aufsetzen, sondern eine gezielte Mapping-Analyse durchführen: Was deckt das bestehende ISMS bereits ab, welche Nachweise sind vorhanden und wo bestehen NIS2-spezifische Lücken? So wird ISO 27001 vom Bürokratieblocker zum Beschleuniger.

19. Brauche ich für NIS2 einen CISO?

Ein gesetzlich zwingender CISO ist durch NIS2 nicht in jedem Fall vorgeschrieben. Erforderlich ist vielmehr eine klare und wirksame Governance mit benannten Verantwortlichkeiten. In größeren oder komplexeren Organisationen ist ein CISO oder eine gleichwertige Sicherheitsfunktion praktisch sehr sinnvoll, weil NIS2 Management, Technik, Lieferkette, Incident Response und Reporting zusammenführt. In kleineren Mittelstandsunternehmen kann eine andere tragfähige Lösung ausreichen, etwa eine interne Sicherheitsverantwortung mit klarer Berichtslinie an die Geschäftsleitung und externer Unterstützung für Spezialthemen. Entscheidend ist nicht der Titel, sondern ob die Zuständigkeit dokumentiert, durchsetzungsfähig und in Krisen belastbar ist. Wenn Verantwortlichkeiten diffus bleiben, scheitert NIS2 meist nicht an Technik, sondern an fehlender Steuerung.

20. Welche Tools helfen bei NIS2?

NIS2 verlangt keine bestimmte Tool-Landschaft, aber einige Werkzeugkategorien sind in der Praxis besonders hilfreich. Dazu zählen Asset- und Risikoregister, Ticket- und Incident-Management, SIEM oder Monitoring, Schwachstellenmanagement, Backup- und Recovery-Werkzeuge, IAM-Lösungen, Lieferantenregister und Schulungsplattformen für Awareness-Nachweise. Wichtig ist dabei ein nüchterner Ansatz: Tools lösen keine Governance-Lücke und ersetzen keine Prozesse. Ein Unternehmen mit fünf teuren Plattformen und unklaren Verantwortlichen ist regulatorisch schwächer aufgestellt als ein Unternehmen mit einer schlanken, dokumentierten Sicherheitsorganisation. Das Ziel sollte deshalb nicht „mehr Tools“ lauten, sondern „Nachweisfähigkeit und Reaktionsfähigkeit mit angemessenem Aufwand“. Gerade für mittelständische Unternehmen ist ein pragmatischer Stack mit sauberer Dokumentation meist wirksamer als ein überkomplexes Tool-Portfolio.

NIS2 Strafen und Haftung

21. Welche Bußgelder drohen bei NIS2-Verstößen?

Art. 34 NIS2 sieht erhebliche Bußgelder vor. Für wesentliche Einrichtungen beträgt die Obergrenze 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt sie bei 7 Mio. EUR oder 1,4 Prozent des weltweiten Jahresumsatzes. Diese Zahlen sollten Unternehmen nicht isoliert betrachten. Häufig sind behördliche Anordnungen, Audits, Abhilfemaßnahmen, externe Kommunikation und Vertrauensverlust mindestens ebenso belastend. Das eigentliche Risiko liegt daher in der Kombination aus finanzieller Sanktion, operativem Druck und möglicher Organhaftung. Eine detaillierte Bußgeldperspektive finden Sie unter NIS2 Bußgelder und Strafen.

22. Haften Geschäftsführer persönlich bei NIS2-Verstößen?

Geschäftsführer haften nicht automatisch bei jedem Verstoß persönlich, aber NIS2 erhöht ihre persönliche Risikozone erheblich. Art. 20 verpflichtet Leitungsorgane, Cyber-Risikomaßnahmen zu billigen, ihre Umsetzung zu überwachen und Schulungen zu absolvieren. Wenn Managemententscheidungen nicht dokumentiert werden, Risiken ignoriert werden oder Meldewege fehlen, kann dies nach nationalem Gesellschafts- und Haftungsrecht als Pflichtverletzung relevant werden. Besonders kritisch ist, dass NIS2 Cybersicherheit ausdrücklich aus der reinen IT-Ecke herausnimmt und in die Unternehmensleitung verlagert. Für Geschäftsführer bedeutet das: Delegation entlastet nur, wenn Auswahl, Steuerung, Kontrolle und Berichtswesen belastbar sind. Eine vertiefte Betrachtung bietet NIS2 Haftung Geschäftsführer.

23. Greift die D&O-Versicherung bei NIS2-Verstößen?

Eine D&O-Versicherung kann bei Organhaftungsrisiken relevant sein, sie ist aber kein Ersatz für NIS2-Compliance und kein sicherer Freifahrtschein. Ob Deckung besteht, hängt vom konkreten Vertrag, vom Pflichtverstoß, vom Verschuldensgrad und von möglichen Ausschlüssen ab. Viele Policen decken fahrlässige Pflichtverletzungen grundsätzlich ab, nicht jedoch jeden denkbaren Fall von Vorsatz, bewusster Pflichtverletzung oder bestimmte regulatorische Sanktionen. Praktisch ist deshalb wichtig, die D&O nicht erst nach einem Vorfall zu betrachten. Geschäftsleitung und Recht sollten früh prüfen, wie Cyber- und Compliance-Sachverhalte versichert sind, welche Informationspflichten bestehen und ob die internen NIS2-Nachweise einer späteren Deckungsprüfung standhalten würden. Versicherung ersetzt nie die Pflicht, Risiken wirksam zu steuern und zu dokumentieren.

24. Was passiert bei einer Nicht-Meldung eines erheblichen Vorfalls?

Eine Nicht-Meldung ist regulatorisch besonders heikel, weil sie sowohl die Meldepflicht aus Art. 23 verletzt als auch die behördliche Lageeinschätzung behindert. In der Praxis verschärft eine unterlassene oder verspätete Meldung fast immer die Gesamtbewertung des Falls. Die Behörde kann zusätzliche Maßnahmen anordnen, Nachweise verlangen und die Frage stellen, ob das Unternehmen seine Incident- und Governance-Strukturen überhaupt im Griff hatte. Außerdem steigt das Haftungsrisiko für Leitungsorgane, wenn ein Vorfall intern bekannt war, aber weder korrekt eskaliert noch fristgerecht gemeldet wurde. Unternehmen sollten deshalb nicht primär über die perfekte Formulierung nachdenken, sondern über eine belastbare Frühwarn- und Eskalationslogik. Für die konkrete Meldepraxis ist NIS2 Meldepflicht 24 Stunden der wichtigste Anschlussartikel.

25. Wie läuft die Aufsicht über NIS2-Unternehmen typischerweise ab?

Die Aufsicht richtet sich nach der Einordnung der Einrichtung und nach nationalem Recht. Wesentliche Einrichtungen unterliegen grundsätzlich einer intensiveren, auch proaktiven Beaufsichtigung, während wichtige Einrichtungen häufiger anlassbezogen oder reaktiv überprüft werden. Typische Aufsichtsmaßnahmen sind Informationsanforderungen, Nachweisanforderungen, Audits, Vor-Ort-Prüfungen, Anordnungen und Fristsetzungen zur Mängelbeseitigung. Für Unternehmen ist der praktische Maßstab daher nicht nur die Frage, ob eine Behörde „schon da“ ist, sondern ob die Organisation im Prüfungsfall belastbare Evidenz liefern kann. Wer Policies, Schulungsnachweise, Incident-Prozesse, Lieferantenbewertungen und Management-Protokolle nicht schnell vorlegen kann, steht unabhängig vom technischen Sicherheitsniveau unter Druck. Eine gute Vorbereitung beginnt folglich bei Nachweisfähigkeit, nicht bei Hochglanzfolien.

NIS2 und andere Regulierungen

26. Wie unterscheidet sich NIS2 von der DSGVO?

NIS2 schützt primär die Cybersicherheit und Resilienz von Netz- und Informationssystemen; die DSGVO schützt personenbezogene Daten und die Rechte betroffener Personen. Beide Regelungen überschneiden sich bei Sicherheitsvorfällen, Zugriffssteuerung, Dokumentation und Governance, verfolgen aber unterschiedliche Schutzrichtungen. Ein Ransomware-Vorfall kann daher zugleich ein NIS2-relevanter erheblicher Vorfall und eine Datenschutzverletzung nach Art. 33 DSGVO sein. Unternehmen sollten die Regelungen nicht gegeneinander ausspielen, sondern abgestimmt steuern. Wer nur auf Datenschutz schaut, übersieht oft Betriebs- und Lieferkettenrisiken. Wer nur auf NIS2 schaut, unterschätzt Melde- und Informationspflichten gegenüber Betroffenen und Aufsichtsbehörden im Datenschutzrecht.

27. Was ist der Unterschied zwischen NIS2 und KRITIS?

KRITIS bezeichnet in Deutschland traditionell Betreiber Kritischer Infrastrukturen mit bestimmten Schwellenwerten und sektorspezifischen Anforderungen. NIS2 geht darüber hinaus und erfasst deutlich mehr Unternehmen, insbesondere im Mittelstand, weil sie nicht nur klassische Kritische Infrastrukturen adressiert, sondern einen breiteren Kreis wesentlicher und wichtiger Einrichtungen. Für viele Unternehmen ist daher die richtige Schlussfolgerung: „Nicht KRITIS“ bedeutet nicht automatisch „nicht NIS2“. Gleichzeitig bleiben bestehende KRITIS-Logiken, etwa im BSIG und in sektoralen Anforderungen, relevant. NIS2 erweitert also das Spielfeld und verdrängt das Thema KRITIS nicht vollständig. Wer bisher glaubte, das Thema beträfe nur große Infrastrukturbetreiber, sollte seine Einordnung deshalb neu prüfen.

28. Wie verhält sich NIS2 zum EU AI Act?

NIS2 und EU AI Act verfolgen unterschiedliche, aber anschlussfähige Ziele. NIS2 fokussiert Cybersicherheit, Resilienz, Governance und Vorfallmanagement in kritischen und wichtigen Einrichtungen. Der EU AI Act regelt die Entwicklung, Bereitstellung und Nutzung von KI-Systemen nach Risikoklassen. In der Praxis überschneiden sich beide Regime dort, wo KI-Systeme in regulierten Unternehmen betrieben werden und Sicherheits-, Governance- oder Lieferkettenrisiken erzeugen. Ein Unternehmen kann also gleichzeitig NIS2-Pflichten zu Cyber-Risikomanagement und AI-Act-Pflichten zu Transparenz, Risikomanagement oder Kompetenz erfüllen müssen. Für Compliance-Teams ist deshalb eine integrierte Governance sinnvoll, auch wenn die Rechtsgrundlagen getrennt bleiben. Doppelarbeit entsteht meist dort, wo Fachbereiche Regulierungen isoliert organisieren.

29. Wie hängt NIS2 mit DORA zusammen?

DORA ist die EU-Verordnung für digitale operationale Resilienz im Finanzsektor und gilt unmittelbar für Finanzunternehmen sowie bestimmte IKT-Drittdienstleister. NIS2 ist breiter angelegt und sektorenübergreifend. Für Banken, Versicherer und andere Finanzakteure kann DORA im Einzelfall die speziellere Regelung sein, während NIS2 den allgemeinen unionsweiten Cybersicherheitsrahmen vorgibt. Praktisch sind die Themen dennoch ähnlich: Governance, Risikomanagement, Vorfallmeldungen, Tests, Lieferketten und Managementverantwortung. Unternehmen im Finanzsektor sollten deshalb keine zwei völlig getrennten Programme aufbauen, sondern eine gemeinsame Kontrollarchitektur mit regulatorischen Besonderheiten je Regime entwickeln. So lassen sich Überschneidungen effizient steuern, ohne die sektoralen Besonderheiten zu verwischen.

30. Welche Regelung hat bei Überschneidungen Vorrang?

Bei Überschneidungen gilt regelmäßig das Prinzip, dass speziellere sektorale Vorgaben den allgemeineren Rahmen konkretisieren oder teilweise verdrängen können. Genau deshalb enthält NIS2 in Art. 4 Regeln zum Verhältnis zu sektorspezifischen Rechtsakten. Für Unternehmen bedeutet das: Die richtige Frage lautet nicht „Welche Regelung ist wichtiger?“, sondern „Welche Anforderungen gelten kumulativ und wo ist eine speziellere Norm vorrangig?“ Wer beispielsweise im Finanzsektor tätig ist, muss DORA besonders genau prüfen. Wer einen Vorfall mit personenbezogenen Daten hat, muss zusätzlich die DSGVO einbeziehen. Die Kunst in der Praxis besteht darin, ein gemeinsames Governance-System aufzubauen, das unterschiedliche Meldewege, Fristen und Nachweise zusammenführt, statt für jede Regulierung eigene Silos zu errichten.

FAQ (Schema-relevant)

Was ist NIS2 und warum wurde die Richtlinie eingeführt?

NIS2 ist die Richtlinie (EU) 2022/2555 und wurde eingeführt, weil die erste NIS-Richtlinie zu eng, zu uneinheitlich und operativ zu unbestimmt war. NIS2 erweitert deshalb den Kreis betroffener Unternehmen, konkretisiert Mindestmaßnahmen in Art. 21 und stärkt die Verantwortung der Leitungsorgane in Art. 20.

Welche Unternehmen sind von NIS2 betroffen?

Betroffen sind vor allem mittlere und große Unternehmen in 18 Sektoren der Anhänge I und II der Richtlinie. Maßgeblich sind häufig die Schwellen von 50 Beschäftigten oder 10 Mio. EUR Umsatz beziehungsweise Bilanzsumme, ergänzt um Sonderfälle mit direkter Betroffenheit unabhängig von der Größe.

Welche Bußgelder drohen bei NIS2-Verstößen?

Für wesentliche Einrichtungen drohen bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Mio. EUR oder 1,4 Prozent des weltweiten Jahresumsatzes.

Haften Geschäftsführer persönlich bei NIS2-Verstößen?

Geschäftsführer haften nicht automatisch, tragen aber nach Art. 20 NIS2 eine eigene Governance- und Überwachungspflicht. Fehlende Aufsicht, fehlende Dokumentation und unterlassene Maßnahmen können deshalb das persönliche Haftungsrisiko deutlich erhöhen.

Wie beginne ich mit der NIS2-Implementierung?

Starten Sie mit Betroffenheitsprüfung, Gap-Analyse gegen Art. 21, klaren Management-Zuständigkeiten und einer belastbaren Incident- und Meldeorganisation. Danach sollten Lieferkette, Berechtigungen, Schulungen und Nachweise priorisiert ausgebaut werden.

Fazit

Dieses NIS2 FAQ zeigt vor allem eines: NIS2 ist kein Randthema der IT, sondern ein Management- und Organisationsrahmen für Cybersicherheit, der Betroffenheit, Maßnahmen, Meldepflichten und Haftung systematisch zusammenführt. Wer die Richtlinie ernsthaft umsetzen will, sollte nicht bei abstrakten Definitionen stehen bleiben, sondern die eigene Einordnung, den Maßnahmenstand und die Nachweisfähigkeit strukturiert prüfen.

Wenn Ihr Unternehmen jetzt in die Umsetzung gehen will, ist der nächste pragmatische Schritt eine saubere NIS2-Betroffenheit prüfen, danach die NIS2 Checkliste und die Vertiefungen zu NIS2 Anforderungen Artikel 21 Maßnahmen, NIS2 Bußgelder und Strafen sowie NIS2 Haftung Geschäftsführer. Wenn Sie das Thema intern strukturiert verankern möchten, ist der nächste Schritt: Jetzt NIS2-Schulung starten.

Quellen

• EUR-Lex: Richtlinie (EU) 2022/2555
• EUR-Lex: Empfehlung 2003/361/EG zur KMU-Definition
• Europäische Kommission: Umsetzung der NIS2-Richtlinie in Deutschland
• BSI: Infos zu NIS-2 und Registrierung
• ENISA: NIS2 Technical Implementation Guidance