Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 RichtlinieNIS2 einfach erklärtNIS2 Richtlinie Deutschlandwas ist NIS2

Was ist die NIS2-Richtlinie? Einfach erklärt [2026]

NIS2-Richtlinie einfach erklärt: Was sie fordert, wer betroffen ist und was deutsche Unternehmen jetzt tun müssen. Alle Fakten kompakt.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 202611 Min. Lesezeit

Was ist die NIS2-Richtlinie? Einfach erklärt

Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit, die seit Dezember 2022 in Kraft ist und ein einheitliches Cybersicherheitsniveau in allen EU-Mitgliedstaaten schaffen soll. Für Deutschland ist sie besonders relevant, weil je nach Abgrenzung rund 29.000 bis 40.000 Unternehmen in 18 Sektoren betroffen sein können, die Umsetzungsfrist am 17. Oktober 2024 ablief und der Sanktionsrahmen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes reicht.

Für die Praxis heißt das: NIS2 ist keine abstrakte EU-Vorgabe, sondern ein handfester Compliance-Rahmen für Geschäftsleitung, IT, Informationssicherheit, Einkauf und Notfallmanagement. Wenn Sie zuerst prüfen möchten, ob Ihr Unternehmen überhaupt in den Anwendungsbereich fällt, ist der Beitrag zum NIS2-Betroffenheitscheck der richtige Einstieg. Die Detailpflichten zu den Maßnahmen finden Sie außerdem in den NIS2-Anforderungen nach Artikel 21.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist die europäische Grundnorm für Cybersicherheit in kritischen und besonders relevanten Wirtschaftssektoren. Gemeint ist die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022. Sie regelt, welche Einrichtungen organisatorische und technische Sicherheitsmaßnahmen treffen, erhebliche Sicherheitsvorfälle melden und ihre digitale Resilienz gegenüber Behörden nachweisen müssen. Rechtsgrundlage und Zweck ergeben sich vor allem aus Art. 1 der Richtlinie, der ein hohes gemeinsames Cybersicherheitsniveau in der Union schaffen soll.

NIS2 ersetzt die ältere NIS1-Richtlinie von 2016. Der wesentliche Unterschied ist nicht nur eine Aktualisierung des Wortlauts, sondern eine deutlich größere Reichweite. Statt sich vor allem auf klassische Betreiber wesentlicher Dienste und einige digitale Dienste zu konzentrieren, bezieht NIS2 deutlich mehr Sektoren, mehr Unternehmen und klarere Governance-Pflichten ein. Damit wird Cybersicherheit regulatorisch vom Spezialthema für KRITIS-nahe Bereiche zu einer Managementpflicht für einen viel breiteren Kreis betroffener Einrichtungen.

Die NIS2-Richtlinie arbeitet mit zwei zentralen Kategorien: wesentliche Einrichtungen und wichtige Einrichtungen. Beide müssen angemessene Sicherheitsmaßnahmen umsetzen, Vorfälle melden und ihre Sicherheitsorganisation dokumentieren. Der Unterschied liegt vor allem in Intensität und Stil der Aufsicht. Wesentliche Einrichtungen unterliegen einer proaktiveren Aufsicht, wichtige Einrichtungen eher einer reaktiven. Für Unternehmen ist deshalb die richtige Einordnung nicht nur juristisch, sondern auch operativ entscheidend.

Wichtig ist außerdem die rechtliche Einordnung als Richtlinie. Anders als eine EU-Verordnung gilt sie nicht unmittelbar in allen Details, sondern musste von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Seit dem 18. Oktober 2024 ist NIS1 aufgehoben. Deutschland hat diese Frist verpasst und die Umsetzung erst mit dem neuen deutschen Rahmen zum 6. Dezember 2025 vollzogen. Genau deshalb sollten Unternehmen stets zwischen europäischer Grundlogik und konkreten deutschen Pflichten unterscheiden.

Warum wurde NIS2 eingeführt? — Von NIS1 zu NIS2

NIS2 wurde eingeführt, weil NIS1 den gewachsenen Cyberrisiken und der wirtschaftlichen Realität in Europa nicht mehr genügte. Die erste Richtlinie aus dem Jahr 2016 war ein wichtiger Startpunkt, hatte aber deutliche Lücken: Der Kreis betroffener Unternehmen war relativ klein, die sektorale Abdeckung uneinheitlich und die Aufsichts- sowie Sanktionssysteme in den Mitgliedstaaten stark unterschiedlich. In der Praxis führte das zu einem Flickenteppich statt zu einem belastbaren Binnenmarktstandard.

Ein Kernproblem von NIS1 lag in der unterschiedlichen nationalen Umsetzung. Die Mitgliedstaaten konnten sehr unterschiedlich definieren, welche Unternehmen als Betreiber wesentlicher Dienste galten. Das erschwerte grenzüberschreitend tätigen Unternehmen die Compliance erheblich und schwächte die Vergleichbarkeit zwischen den nationalen Aufsichtsregimen. Hinzu kam, dass digitale Lieferketten, Cloud-Abhängigkeiten, Managed Services und moderne Bedrohungslagen wie Ransomware unter NIS1 nicht in derselben Tiefe adressiert wurden wie heute.

Die EU reagierte darauf mit einem deutlich breiteren Ansatz. NIS2 soll nach den politischen Zielsetzungen statt nur einiger tausend Unternehmen europaweit etwa 160.000 Einrichtungen erfassen. Der Anwendungsbereich wurde auf 18 Sektoren erweitert, die Trennung in wesentliche und wichtige Einrichtungen vereinfacht und der Maßnahmenkatalog konkretisiert. Besonders wichtig ist, dass die Richtlinie nicht nur Technik meint, sondern auch Governance, Lieferkettensicherheit, Krisenmanagement und Managementverantwortung ausdrücklich einbezieht.

Auch beim Sanktionsrahmen geht NIS2 weiter als NIS1. Art. 34 der Richtlinie verlangt europaweit wirksame, verhältnismäßige und abschreckende Geldbußen und nennt unionsweit Mindesthöchstgrenzen. Dadurch wird das Sanktionsniveau stärker harmonisiert. Für die Geschäftsleitung relevant ist zusätzlich Art. 20: Leitungsorgane müssen Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und Schulungen erhalten. Cybersicherheit wird damit ausdrücklich zu einer Führungsaufgabe.

Die politische Botschaft hinter NIS2 ist klar: Cyberangriffe betreffen nicht mehr nur klassische KRITIS-Betreiber, sondern Wertschöpfungsketten, Forschung, digitale Infrastrukturen, Industrie, Logistik und zentrale Dienstleister. Die Richtlinie soll deshalb nicht nur einzelne Unternehmen schützen, sondern die Resilienz des europäischen Binnenmarkts insgesamt erhöhen.

Welche Unternehmen sind von NIS2 betroffen?

Von NIS2 betroffen sind grundsätzlich mittlere und große Unternehmen in 18 regulierten Sektoren. Die Richtlinie unterscheidet zwischen Einrichtungen aus Anhang I mit hoher Kritikalität und Einrichtungen aus Anhang II als sonstige kritische Sektoren. Die praktische Daumenregel lautet: Wer in einem relevanten Sektor tätig ist und mindestens 50 Beschäftigte oder 10 Millionen Euro Jahresumsatz beziehungsweise Jahresbilanzsumme erreicht, muss NIS2 regelmäßig prüfen. Die belastbare Erstprüfung bietet der Betroffenheitscheck für NIS2.

Zu den 11 wesentlichen Sektoren zählen:

  1. Energie
  2. Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur
  9. Verwaltung von IKT-Diensten zwischen Unternehmen im öffentlichen Sektor
  10. Öffentliche Verwaltung
  11. Weltraum

Zu den 7 wichtigen Sektoren zählen:

  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Herstellung, Produktion und Vertrieb von Chemikalien
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe
  6. Anbieter digitaler Dienste
  7. Forschung

Die Größenkriterien sind wichtig, aber nicht alles. Für bestimmte digital besonders sensible Einrichtungen gilt NIS2 unabhängig von der Unternehmensgröße. Dazu zählen insbesondere DNS-Diensteanbieter, TLD-Name-Registries, Vertrauensdiensteanbieter sowie bestimmte Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste. Kleine Unternehmen sollten sich deshalb nicht vorschnell als irrelevant einstufen, wenn sie in genau diesen Funktionsbereichen tätig sind.

Für die operative Einordnung hilft die folgende Übersicht:

KategorieTypische SchwelleAufsicht
Wesentliche Einrichtungenmeist große Unternehmen in hochkritischen Sektorenproaktiv
Wichtige Einrichtungenmeist mittlere Unternehmen in kritischen Sektoreneher reaktiv
Sonderfälle unabhängig von Größez. B. DNS, TLD, Vertrauensdienstesektorabhängig

Entscheidend ist immer die tatsächliche Tätigkeit, nicht nur die Selbsteinordnung im Organigramm. Ein Unternehmen kann etwa als Industrieunternehmen auftreten, zugleich aber digitale Kerndienste erbringen, die für die NIS2-Einstufung maßgeblich sind. Wer diese Abgrenzung vertiefen will, sollte parallel den Beitrag zur NIS2-Umsetzung in Deutschland lesen, weil dort die deutsche Systematik des BSIG bereits praxisnäher übersetzt wird.

Die 10 Mindestmaßnahmen nach Artikel 21

Art. 21 Abs. 2 der NIS2-Richtlinie nennt einen verbindlichen Mindestkatalog von zehn Risikomanagementmaßnahmen. Deutschland hat diese Vorgaben in § 30 Abs. 2 BSIG aufgegriffen. Gemeint sind keine optionalen Empfehlungen, sondern der regulatorische Kern dessen, was betroffene Einrichtungen organisatorisch und technisch beherrschen müssen. Die ausführliche Vertiefung finden Sie im Artikel zu den NIS2-Maßnahmen nach Artikel 21.

  1. Risikoanalyse und Sicherheitskonzepte: Unternehmen müssen Risiken systematisch identifizieren, bewerten und in Sicherheitsrichtlinien übersetzen. Ohne dokumentierte Risikoanalyse fehlt die Grundlage für jede verhältnismäßige Maßnahme.
  2. Bewältigung von Sicherheitsvorfällen: Gefordert sind Prozesse zur Erkennung, Eindämmung, Reaktion und Nachbereitung von Vorfällen. Incident Response muss organisatorisch vorbereitet und nicht erst im Ernstfall improvisiert werden.
  3. Aufrechterhaltung des Betriebs und Krisenmanagement: Backup, Wiederherstellung, Notfallplanung und Krisenorganisation gehören ausdrücklich dazu. NIS2 fragt also nicht nur nach Prävention, sondern auch nach Resilienz im Störungsfall.
  4. Sicherheit der Lieferkette: Unternehmen müssen Risiken bei unmittelbaren Anbietern und Dienstleistern berücksichtigen. Verträge, Auswahlprozesse und laufende Überwachung werden damit zu einem Compliance-Thema.
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen: Gefordert sind sichere Beschaffung, sichere Entwicklung, Patch- und Schwachstellenmanagement. Gerade Standardsoftware und externe Plattformen dürfen nicht blind vertraut werden.
  6. Bewertung der Wirksamkeit von Maßnahmen: Sicherheitskontrollen müssen regelmäßig überprüft werden. Gemeint sind also Audits, Tests, Reviews und andere Verfahren, die zeigen, ob Maßnahmen tatsächlich funktionieren.
  7. Grundlegende Schulungen und Sensibilisierung: Mitarbeitende und Schlüsselrollen müssen wissen, wie sie Sicherheitsrisiken erkennen und vermeiden. In Deutschland ergänzt § 38 BSIG diese Pflicht durch eine ausdrückliche Schulungspflicht der Geschäftsleitung.
  8. Kryptografische Verfahren: Verschlüsselung und andere kryptografische Schutzmechanismen müssen dort eingesetzt werden, wo sie zur Risikoreduzierung erforderlich sind. Das betrifft Daten in Ruhe, Datenübertragung und gegebenenfalls Signatur- oder Schlüsselmanagement.
  9. Personalsicherheit, Zugriffskontrolle und Asset Management: Rollen, Berechtigungen und die Verwaltung von IKT-Systemen müssen sauber organisiert sein. Praktisch bedeutet das Least Privilege, nachvollziehbare Zuständigkeiten und aktuelle Inventare.
  10. Multi-Faktor-Authentifizierung und gesicherte Kommunikation: Wo angemessen, verlangt NIS2 MFA, kontinuierliche Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation. Dieser Punkt ist besonders relevant für Remote-Arbeit, Administratorenzugriffe und Notfallkommunikation.

Die Richtlinie verlangt ausdrücklich einen verhältnismäßigen Ansatz. Das bedeutet aber nicht Beliebigkeit. Ein mittelständisches Unternehmen darf seine Sicherheitsorganisation schlanker gestalten als ein großer Betreiber kritischer Infrastruktur, muss die zehn Themenblöcke aber trotzdem erkennbar adressieren und dokumentieren. Genau an dieser Stelle entstehen in der Praxis die meisten Lücken, weil allgemeine IT-Sicherheitsmaßnahmen noch keine belastbare NIS2-Systematik ergeben.

NIS2-Umsetzung in Deutschland — Das NIS2UmsuCG

In Deutschland erfolgt die NIS2-Umsetzung vor allem über das NIS2UmsuCG und die damit verbundene Neufassung des BSIG. Für Unternehmen ist die wichtigste Information mit Blick auf März 2026: Der deutsche Umsetzungsrahmen gilt seit dem 6. Dezember 2025. Damit sind die deutschen Pflichten nicht mehr nur politisches Vorhaben, sondern operatives Recht. Das BSI ist dabei die zentrale Behörde für Registrierung, Aufsicht und zahlreiche Umsetzungsfragen.

Der neue deutsche Rahmen übersetzt die europäische Richtlinie in eine nationale Aufsichtslogik. Besonders wichtige und wichtige Einrichtungen müssen nach § 30 BSIG angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen dokumentiert umsetzen. § 33 BSIG führt zusätzlich eine Registrierungspflicht beim BSI ein. Die Frist beträgt grundsätzlich drei Monate ab dem Zeitpunkt, in dem eine Einrichtung erstmals oder erneut als betroffene Einrichtung gilt. Für bereits erfasste Unternehmen bedeutete das nach Inkrafttreten am 6. Dezember 2025 praktisch einen frühen Registrierungszeitpunkt im März 2026.

Ebenfalls wichtig ist die Organverantwortung. § 38 BSIG verpflichtet Geschäftsleitungen, die Risikomanagementmaßnahmen nicht nur formal abzunicken, sondern ihre Umsetzung aktiv zu veranlassen und zu überwachen. Außerdem müssen Geschäftsleitungen regelmäßig an Schulungen teilnehmen, um Risiken und Risikomanagementpraktiken im Bereich der Informationssicherheit bewerten zu können. NIS2 ist damit ausdrücklich keine reine IT-Aufgabe mehr.

Aus europäischer Sicht bleibt relevant, dass Deutschland die Umsetzungsfrist vom 17. Oktober 2024 verpasst hatte. Die EU-Kommission dokumentierte hierzu am 7. Mai 2025 eine mit Gründen versehene Stellungnahme wegen fehlender vollständiger Mitteilung der Umsetzung. Für Unternehmen ist dieser Rückstand heute allerdings keine Entschuldigung mehr. Seit dem 6. Dezember 2025 müssen sie mit einem konkret anwendbaren deutschen Rahmen arbeiten. Einen tieferen Überblick dazu bietet der Beitrag NIS2-Umsetzung in Deutschland.

NIS2 Fristen und Zeitplan

Der NIS2-Zeitplan ist überschaubar, aber in Deutschland politisch und praktisch relevant. Am 14. Dezember 2022 wurde die Richtlinie offiziell verabschiedet. Am 16. Januar 2023 trat sie in Kraft. Ab diesem Zeitpunkt lief die Umsetzungsfrist für die Mitgliedstaaten. Spätestens zum 17. Oktober 2024 hätten die nationalen Umsetzungsakte vorliegen müssen. Seit dem 18. Oktober 2024 ist die alte NIS1-Richtlinie aufgehoben.

Deutschland hat diese Frist nicht eingehalten. Die EU-Kommission reagierte darauf am 7. Mai 2025 mit einer mit Gründen versehenen Stellungnahme. Der deutsche Umsetzungsrahmen trat schließlich am 6. Dezember 2025 in Kraft. Für betroffene Unternehmen wurde damit Anfang März 2026 auch die erste große praktische Frist relevant, weil die Registrierung nach § 33 BSIG grundsätzlich binnen drei Monaten erfolgen musste.

Für die Unternehmenspraxis folgt daraus ein klarer Zeitplan:

DatumEreignisBedeutung
14.12.2022Verabschiedung der RichtliniePolitische Einigung abgeschlossen
16.01.2023InkrafttretenUmsetzungsfrist beginnt
17.10.2024EU-UmsetzungsfristDeutschland verpasst die Frist
18.10.2024Aufhebung von NIS1NIS2 ersetzt das alte Regime
06.12.2025Deutscher Rahmen giltBSIG-Novelle operativ wirksam
Anfang März 2026Registrierungsfenster für viele BestandsfällePraktische BSI-Pflicht relevant

Wer operative Deadlines, Meldefristen und Übergangsfragen vertiefen will, findet die Details im Beitrag zu den NIS2-Fristen und Deadlines 2026.

NIS2 vs. DSGVO, KRITIS und DORA

NIS2 ersetzt nicht andere Regime, sondern ergänzt oder überlagert sie. Gegenüber der DSGVO ist die Abgrenzung relativ klar: Die DSGVO schützt personenbezogene Daten, NIS2 die Sicherheit und Resilienz von Netz- und Informationssystemen in regulierten Einrichtungen. Ein Cybervorfall kann deshalb gleichzeitig eine NIS2-Meldepflicht und eine Datenschutzverletzung auslösen. Unternehmen brauchen also keine Entweder-oder-Logik, sondern abgestimmte Melde- und Krisenprozesse.

Zum bisherigen deutschen KRITIS-Regime besteht ein enger Zusammenhang. NIS2 erweitert den Kreis regulierter Einrichtungen deutlich über klassische KRITIS-Betreiber hinaus. Das bedeutet nicht, dass KRITIS vollständig verschwindet, wohl aber, dass die deutsche Sicherheitsregulierung breiter und systematischer wird. Viele Unternehmen, die bisher nicht im Fokus der KRITIS-Regulierung standen, rücken dadurch erstmals in einen formalen Cybersicherheitsrahmen.

Im Finanzsektor ist zusätzlich DORA zu beachten. Die Verordnung (EU) 2022/2554 regelt die digitale operationelle Resilienz für Finanzunternehmen und ist in vielen Punkten spezieller als NIS2. Praktisch gilt deshalb für Banken, Versicherer und andere regulierte Finanzakteure oft: DORA ist die vorrangige Spezialregel, NIS2 bleibt aber für das Gesamtverständnis und angrenzende Strukturen weiterhin wichtig. Wer Sanktionen und Haftungsfolgen einordnen möchte, sollte zusätzlich den Beitrag zu NIS2-Bußgeldern und Strafen lesen.

FAQ (Schema-relevant)

Was ist die NIS2-Richtlinie und wann tritt sie in Kraft?

Die NIS2-Richtlinie ist die EU-Richtlinie 2022/2555 zur Cybersicherheit. Sie wurde am 14. Dezember 2022 verabschiedet, trat am 16. Januar 2023 in Kraft und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland gilt der neue BSIG-Rahmen seit dem 6. Dezember 2025.

Welche Unternehmen müssen NIS2 umsetzen?

NIS2 betrifft vor allem mittlere und große Unternehmen in 18 Sektoren. Typische Schwellen sind mindestens 50 Beschäftigte oder 10 Millionen Euro Jahresumsatz beziehungsweise Jahresbilanzsumme. Für einzelne Einrichtungen wie DNS-Diensteanbieter, TLD-Registries und Vertrauensdiensteanbieter kann NIS2 auch unabhängig von der Größe gelten.

Was passiert wenn mein Unternehmen NIS2 nicht einhält?

Bei Verstößen drohen behördliche Anordnungen, verschärfte Aufsicht und Bußgelder. Art. 34 NIS2 nennt für wesentliche Einrichtungen mindestens bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes und für wichtige Einrichtungen mindestens bis zu 7 Millionen Euro oder 1,4 Prozent. Zusätzlich können Organhaftung, Reputationsschäden und operative Einschränkungen folgen.

Was ist der Unterschied zwischen NIS1 und NIS2?

NIS2 ist breiter, konkreter und strenger als NIS1. Die neue Richtlinie erfasst mehr Sektoren, nennt Mindestmaßnahmen expliziter, stärkt die Lieferkettenperspektive und verankert die Verantwortung der Geschäftsleitung deutlicher. Außerdem wurde der Sanktionsrahmen unionsweit stärker harmonisiert.

Gilt NIS2 auch für kleine Unternehmen unter 50 Mitarbeitern?

In vielen Fällen nicht, aber Ausnahmen sind wichtig. Kleine Unternehmen können unabhängig von der Größe erfasst sein, wenn sie bestimmte digital kritische Dienste anbieten, etwa DNS-Dienste, TLD-Registries oder Vertrauensdienste. Außerdem verlangen große Auftraggeber in regulierten Lieferketten häufig ähnliche Sicherheitsnachweise auch von kleineren Dienstleistern.

NIS2 ist damit vor allem ein Management- und Umsetzungsrahmen für betroffene Unternehmen, kein reines Technikthema. Wenn Sie die Anforderungen strukturiert in Schulung und Governance übersetzen möchten, ist der nächste sinnvolle Schritt: Jetzt NIS2-Schulung starten.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →