IHK-Ratgeber
NIS-2: EU-Richtlinie zur Verbesserung der Cyber-Sicherheit
Die NIS-2-Richtlinie wurde 2023 auf EU-Ebene verabschiedet, um das Cybersicherheitsniveau in der Europäischen Union deutlich zu erhöhen. Sie erweitert den Anwendungsbereich der früheren NIS-Richtlinie erheblich und erfasst nun viele zusätzliche Sektoren und Unternehmen. Ziel ist es, kritische und wichtige wirtschaftliche Bereiche besser vor Cyberangriffen zu schützen und die Widerstandsfähigkeit von Unternehmen und öffentlichen Stellen zu stärken.
Mit NIS-2 gelten neue, umfassende Anforderungen an die Informationssicherheit, die an die aktuelle Bedrohungslage angepasst sind und von den betroffenen Unternehmen verbindlich umzusetzen sind.
Mit NIS-2 gelten neue, umfassende Anforderungen an die Informationssicherheit, die an die aktuelle Bedrohungslage angepasst sind und von den betroffenen Unternehmen verbindlich umzusetzen sind.
Status zum deutschen Gesetzgebungsverfahren
Stand: 10. Dezember 2025
NIS-2: Seit 6. Dezember in Kraft
Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Rund 30.000 Unternehmen müssen nun strengere Vorgaben zur IT-Sicherheit erfüllen und werden vom BSI beaufsichtigt. Unternehmen sollten jetzt prüfen, ob sie nach § 28 BSIG als „wichtige“ oder „besonders wichtige“ Einrichtung gelten. Die Einstufung entscheidet über alle weiteren Pflichten.
Da es keine Übergangsfristen gibt, sollten die nächsten Schritte schnell erfolgen:
- Betroffenheit prüfen (§ 28 BSIG)
Schwellenwerte, Sektorzuordnung und branchenspezifische Besonderheiten klären. Bei Unsicherheiten kann externe Beratung helfen. - „Mein Unternehmenskonto“ anlegen
Vorbereitung für die spätere Registrierung beim BSI. Empfehlung: bis 31. Dezember 2025. - Registrierung im BSI-Portal (ab 6. Januar 2026)
Die Registrierung muss innerhalb von 3 Monaten erfolgen. Erforderliche Angaben nach § 33 sollten vorab geprüft werden. - Risikomanagementmaßnahmen umsetzen (§ 30 BSIG)
Gap-Analyse durchführen, Umsetzung planen und dokumentieren. Orientierung an Standards wie ISO 27001 ist sinnvoll. - Meldeprozess für Sicherheitsvorfälle festlegen (§ 32 BSIG)
Frühwarnfristen beachten: Erstmeldung binnen 24 Stunden. Zuständigkeiten klären und Prozesse testen. - Verantwortliche Person benennen (ISB/CISO)
Verantwortlichkeiten und Vertretungen klar Regeln; externe Vergabe ist möglich. - Geschäftsleitung schulen (§ 38 BSIG)
Cybersicherheit ist ausdrücklich Leitungspflicht. Schulungen und Überwachung der Maßnahmen sind gesetzlich vorgeschrieben.
Siehe auch hier für weitere Informationen zum Gesetz vom Bundesamt für Sicherheit in der Informationstechnik.
Welche Unternehmen betroffen sind
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 steigt die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI erfüllen müssen, deutlich an. Insgesamt wird mit rund 30.000 betroffenen Einrichtungen gerechnet. Die Richtlinie unterscheidet dabei zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“.
Die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2) erfasst insbesondere mittlere und große Unternehmen in sicherheitsrelevanten Sektoren wie Energie, Verkehr, Gesundheitswesen, Bank- und Finanzwesen, digitale Infrastruktur sowie ausgewählte Bereiche der öffentlichen Verwaltung. Auch bestimmte Dienste, wie z. B. DNS- oder Vertrauensdienste, sind unabhängig von der Unternehmensgröße erfasst.
Ob ein Unternehmen nach § 28 BSIG betroffen ist, muss es eigenständig prüfen. Eine automatische Information erfolgt nicht. Zur NIS-2-Betroffenheitsprüfung des BSI.
Wird eine Betroffenheit festgestellt, entsteht eine Registrierungspflicht beim BSI. Das BSI kann darüber hinaus in Einzelfällen eine Betroffenheit anordnen.
Ein Unternehmen gilt als betroffen, wenn es
- in einem der in NIS-2 definierten Sektoren tätig ist und
- bestimmte Schwellenwerte (Mitarbeitende, Umsatz, Bilanzsumme) erreicht oder überschreitet.
Ein Unternehmen ist betroffen, wenn es Schwellwerte für die Mitarbeitenden-Anzahl oder den Jahresumsatz/die Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.
Schwellwerte
- Als "besonders wichtige Einrichtungen" gelten:
- Betreiber kritischer Anlagen ("KRITIS-Betreiber")
- Spezielle Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationanbieter
- Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 genannten Sektoren tätig sind.
- Als "wichtige Einrichtungen" gelten:
- Spezielle Einrichtungen z. B. für Vertrauensdienste, kleinere Telekommunikationanbieter
- Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den in Anlage 1 und 2 genannten Sektoren tätig sind.
SektorenIn den Anhängen I und II der EU-Richtlinie sind "Sektoren mit hoher Kritikalität" bzw. "Sonstige kritische Sektoren" aufgelistet, die in Teilsektoren und "Art der Einrichtung" aufgesplittet sind.
Was Unternehmen jetzt tun müssen
Das NIS-2-Umsetzungsgesetz verpflichtet betroffene Unternehmen zu technischen und organisatorischen Maßnahmen nach §§ 30 ff. BSIG. Siehe hier To-dos für betroffene Unternehmen.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant:
- Risikomanagementmaßnahmen, Business Continuity Management (§§ 30, 31)
Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung - Meldepflichten (§32)
- Registrierungspflicht (§§ 34, 34)
- Unterrichtungspflichten (§35)
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (§38)
Drohende Folgen bei Nichtbeachtung
Bei Verstößen gegen die NIS-2-Pflichten drohen hohe Bußgelder sowie aufsichtsrechtliche Maßnahmen des BSI. Die Behörden können Anordnungen erlassen und deren Umsetzung innerhalb gesetzter Fristen verlangen. Darüber hinaus kann eine persönliche Haftung der Geschäftsleitung entstehen, wenn sie ihren gesetzlichen Überwachungs- und Steuerungspflichten nicht nachkommt.
Zusammenarbeit von Wirtschaft und Staat
NIS-2 stärkt die Zusammenarbeit zwischen Unternehmen und staatlichen Stellen. Durch den verpflichtenden Austausch sicherheitsrelevanter Informationen, regelmäßige Übungen und Schulungen sollen Cyberbedrohungen frühzeitig erkannt und abgewehrt werden. Das Gesetz verfolgt das Ziel, das Cybersicherheitsniveau in Wirtschaft und Verwaltung spürbar zu erhöhen. Unternehmen sind daher gefordert, die neuen Anforderungen zeitnah umzusetzen und ihre Sicherheitsprozesse kontinuierlich weiterzuentwickeln.
Hinweis:
Die Informationen und Auskünfte der IHK Nord Westfalen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.
Die Informationen und Auskünfte der IHK Nord Westfalen sind ein Service für ihre Mitgliedsunternehmen. Sie enthalten nur erste Hinweise und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für ihre inhaltliche Richtigkeit nicht übernommen werden. Sie können eine Beratung im Einzelfall, beispielsweise durch einen Rechtsanwalt, Steuer- oder Unternehmensberater, nicht ersetzen.