NIS-2-Richtlinie - neue gesetzliche Anforderungen zur Cybersicherheit


Die sicherheitspolitische Lage hat sich in den letzten Jahren verschärft. Die Europäische Union setzt daher auf einheitliche europäische Sicherheitsstandards, um Wirtschaft und Verwaltung gegen zunehmende Angriffe im digitalen Raum zu wappnen. Kritische Infrastruktur soll geschützt und die Abwehr von Cyberangriffen verbessert werden. Auf europäischer Ebene wurde dazu die NIS-2-Richtlinie verabschiedet.

Das Wichtigste in Kürze:

Die EU-Richtlinie wurde zum 6. Dezember 2025 in deutsches Recht durch die Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie („Network and Information Security“) überführt. Ab Anfang 2026 gelten somit für eine erweiterte Anzahl an Unternehmen und Branchen, die bisher nicht von der ersten Richtlinie (KRITIS) betroffen waren, umfangreiche Meldepflichten. Bei Verstößen drohen Geldstrafen.
  • Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz/Bilanzsumme aus zahlreichen Sektoren. Je nach Größe erfolgt die Einstufung als wesentliche oder wichtige Einrichtung, was Umfang der Aufsicht und Strafen beeinflusst; einzelne Einrichtungen sind unabhängig von ihrer Größe betroffen.
  • betroffene Unternehmen sind verpflichtet eine Auswahl von im Gesetz definierten Maßnahmen umzusetzen. Diese können technisch, organisatorisch oder operativ sein.
  • Bei Sicherheitsvorfällen bestehen strenge Meldepflichten: Frühwarnung binnen 24 Std., Erstmeldung binnen 72 Std., Abschlussbericht spätestens nach einem Monat.
  • Eine Registrierung beim BSI (Bundesamt für Sicherheit in der Informationstechnik) über das Unternehmenskonto (MUK) und das BSI-Portal ist erforderlich.
    Unternehmen werden nicht aktiv informiert, ob sie durch die NIS-2-Richtlinie betroffen sind, und müssen dies selbst prüfen.
  • Bei Verstößen drohen hohe Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wesentliche) bzw. 7 Mio. € oder 1,4 % (wichtige Einrichtungen).

Übersicht der betroffenen Unternehmen

Die NIS-2-Richtlinie gilt für Unternehmen (und öffentliche Einrichtungen) der nachfolgenden Branchen bzw. Sektoren mit mindestens 50 Mitarbeitenden oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme. Ob Sie der Richtlinie unterliegen, können Sie u.a. mithilfe des Entscheidungsbaum des BSI schnell und einfach ermitteln. In den folgenden Tabellen werden auch nochmal alle betroffenen Sektoren aufgezeigt. Diejenigen, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen (KRITIS) zählten, sind in der Übersicht mit (neu) gekennzeichnet.
Große Unternehmen aus dieser Liste (ab 250 Mitarbeitende oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme) zählen zu den wesentlichen Einrichtungen. Mittelgroße Unternehmen (zwischen 50 und 249 Mitarbeitende) aus der Liste zu den wichtigen Einrichtungen. Dies hat Auswirkungen auf die Prüfung und Konsequenzen (siehe Abschnitt Kontrollen und Konsequenzen).
Sektor
Teilsektoren
Einrichtungen (beispielhaft!)
Energie
  • Elektrizität
  • Fernwärme und -kälte
  • Erdöl
  • Erdgas
  • Wasserstoff
  • Betreiber in den jeweiligen Teilsektoren
  • Versorgungsunternehmen
  • Erdgasunternehmen
  • zentrale Bevorratungsstellen (Erdöl)
Verkehr
  • Luftverkehr
  • Schienenverkehr
  • Schifffahrt
  • Straßenverkehr
  • Luftfahrtunternehmen
  • Infrastrukturbetreiber im Schienenverkehr
  • Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt
  • Straßenverkehrsbehörden
  • Betreiber intelligenter Verkehrssysteme
Bankwesen
-
  • Kreditinstitute
Finanzmarktinfrastrukturen
-
  • Betreiber von Handelsplätzen
  • zentrale Gegenparteien
Gesundheitswesen
-
  • Gesundheitsdienstleister
  • Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen
Trinkwasser (neu)
-
  • Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“
Abwasser (neu)
-
  • Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln
Digitale Infrastruktur
-
  • Betreiber von Internet-Knoten
  • Anbieter von Cloud-Computing-Diensten
  • Anbieter von Rechenzentrumsdiensten
  • Vertrauensdiensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze
Verwaltung von IKT-Diensten (Business-to-Business) (neu)
-
  • Anbieter verwalteter Dienste
  • Anbieter verwalteter Sicherheitsdienste
öffentliche Verwaltung (neu)
-
  • Einrichtungen der öffentlichen Verwaltung von Zentralregierungen sowie auf regionaler Ebene
Weltraum (neu)
-
  • Betreiber von Bodeninfrastrukturen
Aus diesen Sektoren sind auch Einrichtungen unabhängig von ihrer Größe von der Richtlinie betroffen. Hierzu zählen zum Beispiel Anbieter von öffentlichen elektronischen Kommunikationsnetzen, Vertrauensdiensteanbieter, alleinige Anbieter, die essenziell für Gesellschaft und Wirtschaft sind sowie Einrichtungen, deren Ausfall einen großen Effekt für die öffentliche Ordnung, Sicherheit oder Gesundheit hätte.
Unternehmen aus dieser Liste (große und mittlere) zählen zu den wichtigen Einrichtungen.
Sektor
Teilsektoren
Einrichtungen (beispielhaft!)
Post- und Kurierdienste (neu)
-
  • Anbieter von Postdiensten und Kurierdiensten
Abfallbewirtschaftung
-
  • Unternehmen der Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen (neu)
-
  • Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
  • Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
-
  • Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind
Verarbeitendes Gewerbe/Herstellung von Waren (neu)
  • Herstellung von Medizinprodukten und In-vitro-Diagnostika
  • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
  • Herstellung von elektrischen Ausrüstungen
  • Maschinenbau
  • Herstellung von Kraftwagen und Kraftwagenteilen
  • sonstiger Fahrzeugbau
  • Einrichtungen, die Medizinprodukte herstellen
  • Unternehmen, die im jeweils genannten Teilsektor gemäß NACE Rev. 2 tätig sind
Anbieter digitaler Dienste (neu)
-
  • Anbieter von Online-Marktplätzen
  • Anbieter von Online-Suchmaschinen
  • Anbieter von Plattformen für Dienste sozialer Netzwerke
Forschung (neu)
-
  • Forschungseinrichtungen

Notwendige präventive Maßnahmen

Unternehmen und Organisationen, die von der Richtlinie betroffen sind, müssen technische, organisatorische und operative Maßnahmen ergreifen, um Sicherheitsrisiken vorzubeugen, beziehungsweise Auswirkungen bei eingetretenen Vorfällen abzuwenden oder möglichst gering zu halten. Dabei gilt, dass die Maßnahmen verhältnismäßig sein sollen. Die Verhältnismäßigkeit wird mithilfe einer Risikobetrachtung geprüft, bei der individuell die Wahrscheinlichkeit des Eintretens eines Sicherheitsvorfalles und deren Schwere betrachtet wird. Folgende Maßnahmen können Sie ergreifen:
  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  • grundlegende Verfahren im Bereich der Cyberhygiene (zum Beispiel Updates) und Schulungen im Bereich der Cybersicherheit
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Verantwortung der Geschäftsführung und Schulungen

Die Richtlinie legt klar fest, dass die Verantwortung für die Umsetzung und Überwachung der Maßnahmen bei der Geschäftsführung, beziehungsweise den „Leitungsorganen“ liegt. Hinzukommt die Verpflichtung, selbst an Schulungen teilzunehmen und entsprechende Veranstaltungen den Mitarbeitenden anzubieten. Ziel ist es, Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken im Bereich der Cybersicherheit aufzubauen und Umgangspraktiken mit den Auswirkungen zu entwickeln.

Melde- und Berichtspflichten bei Vorfällen

Sicherheitsvorfälle müssen durch die betroffenen Unternehmen gemeldet werden. Die in der Richtlinie vorgesehenen Fristen können sich im deutschen Umsetzungsgesetz noch ändern, eine schnelle Reaktionsfähigkeit wird dennoch notwendig sein. Die Details zum Ablauf und der Meldestelle folgen ebenfalls noch.
  • innerhalb von 24 Stunden ab Kenntnis des Vorfalls: Frühwarnung
  • innerhalb von 72 Stunden ab Kenntnis des Vorfalls: Meldung (erste Bewertung des Vorfalls und deren Auswirkungen)
  • spätestens nach einem Monat: Abschlussbericht (ausführliche Beschreibung des Vorfalls, der Ursachen sowie Abhilfemaßnahmen)
Erfolgt ein Vorfall vor der Registrierung (siehe nächster Abschnitt), kann dies über ein Online-Formular an das BSI gemeldet werden.

Registrierung

Betroffene Unternehmen müssen sich bei der nationalen Behörde registrieren lassen. Der Ablauf ist wie folgt vorgesehen:
  1. Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK)
    Dabei handelt es sich um ein Nutzerkonto für Unternehmen im Sinne des Onlinezugangsgesetzes (OZG). MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit.
  2. Registrierung mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal unter https://portal.bsi.bund.de. Es dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle.
Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Prüfen Sie daher nach, ob Sie bzgl. Ihrer Größe und Branche dazuzählen. Ist dies der Fall, liegt die Verantwortlichkeit bei der Geschäftsführung. Im Unternehmen müssen passende Personen festgelegt werden, die die Vorgaben operativ umsetzen. Sprechen Sie zudem Ihren bestehenden IT-Dienstleister darauf an. Es ist sehr empfehlenswert, sich für die Umsetzung fachkundige Unterstützung hinzuziehen.

Kontrollen und Konsequenzen

Werden die notwendigen Maßnahmen nicht eingehalten und gegen die Meldepflichten verstoßen, können hohe Geldstrafen auf die Unternehmen zukommen.
Von den Aufsichtsbehörden können Vor-Ort-Kontrollen durchgeführt, Nachweise angefordert und Anweisungen mit Fristeinhaltung gegeben werden. Dabei erfolgt dies bei wichtigen Einrichtungen reaktiv, z.B. nach Hinweisen auf Verstöße. Für wesentliche Einrichtungen ist die Aufsicht proaktiv mit zusätzlichen regelmäßigen Sicherheitsprüfungen (auch Ad-hoc).
Als Höchstbeträge für mögliche Geldstrafen wurden in der Richtlinie 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes im vorigen Jahr für wesentliche Einrichtungen festgesetzt. Für wichtige Einrichtungen sind es 7 Millionen Euro oder 1,4 Prozent.

Downloads und weitere Informationen