NIS-2-Anforderungen: Was Sie als Unternehmen wissen müssen  | sila consulting GmbH

Die NIS-2-Anforderungen beschäftigen derzeit viele Unternehmen aus verschiedenen Branchen. Die NIS-2-Richtlinie, kurz für die EU-Richtlinie über Netz- und Informationssicherheit 2 (im englischen Original: „The Network and Information Security „NIS Directive“), ist eine legislative Initiative der Europäischen Union zur Steigerung der Cyber-Resilienz sowie der verbesserten Reaktionsfähigkeit im Falle eines Cyberangriffs.

Am 13.11.2025 wurde das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet; der Geltungsbeginn wird auf Anfang 2026 vermutet. NIS-2 zielt darauf ab, die Widerstandsfähigkeit des Wirtschaftsraums der Europäischen Union (EU) gegenüber Cyberbedrohungen zu stärken und die Zusammenarbeit zwischen den Mitgliedstaaten in diesem Bereich zu fördern.  

Welche Konsequenzen dies nach sich zieht und was Unternehmen zu den NIS-2-Anforderungen wissen müssen, haben wir in diesem Blogartikel zusammengefasst. 

1. Was ist NIS-2 und worauf zielen die NIS-2-Anforderungen ab?
2. Wer ist betroffen von NIS-2?
   • Was sind besonders wichtige Einrichtungen?
   • Was sind wichtige Einrichtungen?
3.  NIS-2-Anforderungen: Was beinhalten sie?
4. Die Bedeutung von Informationssicherheits-Management-Systemen (ISMS) innerhalb von NIS-2 
5. Beratung zu den NIS-2-Anforderungen: sila consulting ist für Sie da 

1. Was ist NIS-2 und worauf zielen die NIS-2-Anforderungen ab?

Die NIS-2-Richtlinie wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten. Die Umsetzung des Gesetzes ließ in manchen europäischen Ländern – darunter auch Deutschland – einige Monate auf sich warten, doch im November 2025 wurde das NIS-2-Umsetzungsgesetz schließlich beschlossen. Übergangfristen gibt es keine. Somit stellt NIS-2 mit den zugehörigen Anforderungen ein wichtiges Thema im Bereich der Cybersicherheit dar. 

NIS-2 ist der Nachfolger der ersten NIS-Richtlinie aus dem Jahr 2016 (bekannt als NIS – Richtlinie über Netz- und Informationssicherheit). Das Hauptziel von NIS war es, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme innerhalb der EU zu gewährleisten. Dies war insbesondere für die kritischen Infrastrukturen von Bedeutung. 

NIS-2 ist somit eine wichtige Weiterentwicklung der NIS-Richtlinie, um den sich ständig verändernden Bedrohungen und Technologien gerecht zu werden. Die Richtlinie ist Teil der umfassenderen Bemühungen der EU, die Cyber-Resilienz zu stärken und ein hohes Maß an Cyber-Security in verschiedenen Sektoren sicherzustellen. 

Die NIS-2-Anforderungen sollen gewährleisten, dass die Sicherheit kritischer Infrastrukturen und digitaler Dienste innerhalb der EU-Staaten verbessert wird. Hierfür sieht die Richtlinie spezifische Verpflichtungen für Betreiber wesentlicher Wirtschaftszweige vor. 

Dazu gehören unter anderem: 

• die Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden
• die Planung und Umsetzung angemessener Sicherheitsmaßnahmen 
• Mechanismen zur Zusammenarbeit für die Erhöhung der Informationssicherheit 

Im weiteren Verlauf dieses Blogartikels werden wir einen detaillierten Blick auf die wichtigsten Aspekte der NIS-2-Richtlinie und der NIS-2 Anforderungen werfen. Außerdem werden wir ihre Auswirkungen auf betroffene Unternehmen beleuchten und darauf eingehen, inwiefern die NIS-2 Richtlinie zur Stärkung der Cybersicherheit in der EU beiträgt. 

2. Wer ist betroffen von NIS-2? 

Die NIS-2-Anforderungen betreffen eine Vielzahl mittlerer und großer Unternehmen bzw. Organisationen in der EU. In Deutschland sind ungefähr 29.000-30.000 Unternehmen von NIS-2 betroffen. 

Im Gegensatz zu NIS beruft die NIS-2-Richtlinie sich nicht nur auf die bereits bekannten kritischen Infrastrukturen, sondern wurde auf 18 Sektoren ausgeweitet. Betroffen sind insbesondere Betreiber wesentlicher Dienste, die sogenannten besonders wichtigen Einrichtungen. Darüber hinaus gilt die Richtlinie für die sogenannten wichtigen Einrichtungen, etwa aus dem Bereich der digitalen Dienstleistungen. 

Was sind besonders wichtige Einrichtungen? 

In die Kategorie der wesentlichen Einrichtungen fallen Unternehmen mit mehr als 250 Mitarbeitenden oder mindestens 50 Mio. EUR Jahresumsatz bzw. 43 Mio. EUR Jahresbilanz. Die folgenden Sektoren mit höherer Kritikalität sind hierbei u. a. eingeschlossen: 

• Energie- und Wasserwirtschaft 
• Verkehrswesen (Schiene, Straße, Luft, Wasser) 
• Bank- und Finanzwesen 
• Gesundheit 
• Digitale Infrastrukturen und ICT-Services 
• Öffentliche Verwaltung
• Trink- und Abwasser
• Weltraum 

Was sind wichtige Einrichtungen? 

In diese Kategorie fallen Unternehmen mit 50 oder mehr Mitarbeitenden oder einem Jahresumsatz ab 10 Mio. EUR. Zu den betroffenen Sektoren zählen zusätzlich zu den oben genannten die folgenden: 

• Post- und Kurierdienstanbieter 
• Abfallwirtschaft 
• Forschungseinrichtungen 
• Chemieindustrie 
• Lebensmittelindustrie 
• Verarbeitendes Gewerbe, z.B. Maschinenbau, Fahrzeugbau, elektrische Ausrüstung

NIS-2 sieht einige Anforderungen an diese Akteure vor, um sicherzustellen, dass sie entsprechende Maßnahmen zum Schutz ihrer Systeme und Dienste implementieren und bei Sicherheitsvorfällen angemessen reagieren können. 

 3. NIS-2-Anforderungen: Was beinhalten sie? 

NIS-2 bringt einige Anforderungen mit sich, um die Sicherheit kritischer Infrastrukturen und digitaler Services in der EU zu gewährleisten. Dabei wird zwischen zwei Arten von Einrichtungen unterschieden – besonders wichtig und wichtig. 

Um den NIS-2-Anforderungen gerecht zu werden, müssen die betroffenen Unternehmen einige Maßnahmen in Bezug auf ihre IT-Sicherheit umsetzen. Dies beinhaltet z. B. die Überprüfung von Sicherheitsprotokollen und die Einrichtung von zeitgemäßen Sicherheitstechnologien, Risikoanalysen sowie Notfallplänen. 

Im Wesentlichen beinhalten die NIS-2-Anforderungen folgende Punkte: 

• Erweiterter Anwendungsbereich:
  Wie bereits erwähnt, erweitert NIS-2 den Anwendungsbereich der Richtlinie auf eine breitere Palette von Akteuren. Hierzu gehören neue Dienstleistungen und Sektoren wie digitale Marktplätze, Cloud-Dienste und kritische Infrastrukturen in den Bereichen Gesundheit sowie Verkehr. 
• Risikoanalyse und Risikomanagement: 
  NIS-2 legt konkrete Pflichten in Bezug auf das Risikomanagement und die Implementierung von Sicherheitsvorkehrungen fest. Betroffene Einrichtungen müssen angemessene technische bzw. organisatorische Sicherheitsmaßnahmen nach aktuellem Stand der Technik implementieren, um die Auswirkungen von Sicherheitsvorfällen zu minimieren. Hierzu zählen beispielsweise Cyber-Risikomanagement und Business Continuity Management sowie Verschlüsselungstaktiken und Zutrittsbeschränkungen. Durch diese Maßnahmen soll die Widerstandsfähigkeit gegenüber Cyberangriffen erhöht und gestärkt werden.  
• Meldepflichten von Sicherheitsvorfällen:
  Betroffene Einrichtungen sind dazu verpflichtet, erhebliche Sicherheitsvorfälle den nationalen Behörden zu melden und entsprechende Maßnahmen zur Abhilfe zu ergreifen. Dabei ist ein dreistufiges Melde-Regime für Sicherheitsvorfälle vorgesehen; die Meldung erfolgt je nach Schweregrad und Kategorie des Vorfalls. Bei gravierenden Zwischenfällen wie z. B. Betriebsstörungen oder dem Verlust von Daten, ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden zu informieren, innerhalb von 72 Stunden muss eine vertiefte Meldung erfolgen, und abschließend wird eine finale Dokumentation verlangt. 
• Regelmäßige Überprüfung und Aktualisierung:
  Unternehmen müssen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und bei Bedarf aktualisieren. Somit soll gewährleistet werden, dass die Maßnahmen stets dem aktuellen Stand der Technik entsprechen und den wandelnden Bedrohungen gerecht werden. 
• Zusammenarbeit und Informationsaustausch:
  NIS-2 fördert die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten, um eine koordinierte Reaktion auf Cyberbedrohungen zu ermöglichen. Die Richtlinie sieht außerdem die Einrichtung von Kooperations-Gruppen vor, die aus Vertretern der nationalen Behörden für Cybersicherheit der Mitgliedstaaten bestehen. Diese Gruppen sollen als Foren für den Austausch von Best Practices, für die Koordinierung von Reaktionsmaßnahmen und für die Entwicklung gemeinsamer Ansätze zur Cybersicherheit dienen. 
• Strafverfolgung und Sanktionen:
  NIS-2 sieht vor, dass die Mitgliedstaaten angemessene Sanktionen gegen Unternehmen verhängen können, die gegen die Anforderungen verstoßen, z. B. in Form von Bußgeldern. Dabei gelten geringere Geldstrafen für wichtige Einrichtungen im Gegensatz zu den besonders wichtigen Einrichtungen, welche einer proaktiven Aufsicht der Behörden unterliegen. Außerdem werden Mechanismen zur Zusammenarbeit zwischen Strafverfolgungsbehörden und Aufsichtsbehörden etabliert. In Deutschland kommen dem BSI durch das NIS-2-Gesetz erweiterte Aufsichts- und Durchsetzungsbefugnisse zu. 

Wichtig: NIS-2 beinhaltet eine verschärfte Management-Haftung. Diese beinhaltet eine persönliche Haftbarkeit der Unternehmensführung bzw. Leitungsebene für die Umsetzung und Einhaltung der Risikomanagement-Maßnahmen; dies kann nicht delegiert werden. Es ist eine Haftungs-Obergrenze angedacht, die sich zu 2 % des globalen Jahresumsatzes eines Unternehmens beläuft.  

4. Die Bedeutung von Informationssicherheits-Management-Systemen (ISMS) innerhalb von NIS-2 

Die Rechte und Pflichten, die betroffenen Unternehmen auferlegt werden, lassen schnell deutlich werden: Informationssicherheits-Management-Systeme (ISMS) sind kein exklusives Thema für KRITIS, denn NIS-2 macht die Implementierung eines ISMS für betroffene Unternehmen faktisch zur Pflicht.  

Während früher viele Organisationen freiwillig auf Standards wie ISO 27001 setzten, müssen nun "wesentliche" und "wichtige" Einrichtungen systematische Sicherheitsmaßnahmen nachweisen. 

• Das ISMS dient dabei auch ohne Zertifizierung als strukturierter Rahmen für die geforderten Risikoanalysen und -bewertungen. Unternehmen müssen ihre Bedrohungslandschaft kontinuierlich erfassen und dokumentieren; ein ISMS bietet hierfür die methodische Grundlage. 

• Bei Audits und Kontrollen durch nationale Aufsichtsbehörden dient ein etabliertes ISMS als Beleg für die Erfüllung der NIS-2-Anforderungen. Es dokumentiert, dass Sicherheit systematisch und nicht nur ad hoc betrieben wird. 

• NIS-2 verlangt keine einmalige Maßnahmenumsetzung, sondern einen fortlaufenden Prozess; der PDCA-Zyklus (Plan-Do-Check-Act) eines ISMS entspricht genau dieser Anforderung nach ständiger Weiterentwicklung der Sicherheitsarchitektur. 

• Durch ein ISMS werden Verantwortlichkeiten, Prozesse und Richtlinien formal festgelegt, was auch den NIS-2-Anforderungen an Governance und Managementverantwortung entspricht. 

Eine Beratung und Unterstützung bei der ISMS-Umsetzung ist empfehlenswert, um sämtlichen Anforderungen aus dem NIS-2-Gesetz gerecht zu werden. 

5. Beratung zu den NIS-2-Anforderungen: sila consulting ist für Sie da 

NIS-2 ist ein brisantes Thema in der Cybersicherheit und beschäftigt aktuell zahlreiche Management-Teams. Wie sieht es bei Ihnen aus? Fühlen Sie sich gut aufgestellt? Oder sind Sie sich noch nicht sicher, ob Ihr Unternehmen zu den betroffenen Einrichtungen zählt? Wir unterstützen Sie in allen Belangen rund um NIS-2 und ISMS.  

Unsere Empfehlung ist klar: Warten Sie nicht lange und starten Sie direkt mit einer Gap-Analyse und einer entsprechenden Maßnahmenplanung, um auf der sicheren Seite zu sein. Eine Registrierung ist auf der Website des BSI möglich. 

NIS-2-Beratung: Sie sind unsicher, ob sie von NIS-2 betroffen sind und/oder möchten Handlungsempfehlungen erhalten? Unsere Sicherheitsexpert:innen beraten Sie gerne. Dank unserer Erfahrung im Bereich ISMS und Informationssicherheit profitieren Sie in vielerlei Hinsicht, denn unsere Beratungskompetenz in diesem Themenfeld zeichnet unsere Arbeit seit vielen Jahren aus. Wir geben Ihnen klare Handlungsempfehlungen und Hilfestellung auf dem Weg zu Compliance und Informationssicherheit. 

NIS-2-Self-Check: Möchten Sie eine erste unverbindliche Einschätzung, ob Sie von NIS-2 betroffen sind? Unser kostenloser NIS-2 Self-Check hilft Ihnen bei der dabei. Geben Sie Ihre entsprechenden Daten ein und erfahren Sie, ob NIS-2 Auswirkungen auf Sie hat und wie Sie weiter verfahren sollten. 

Kontaktieren Sie uns gerne – wir stehen Ihnen mit Rat und Tat rund um NIS-2 zur Seite.