NIS2
Network and Information Security Directive 2
NIS2 ist die zweite EU-Cybersicherheits-Richtlinie und verpflichtet ab 2024 deutlich mehr Unternehmen zu Mindeststandards bei IT-Sicherheit, Risikomanagement und Incident-Meldung. Betroffen sind sogenannte "wesentliche" und "wichtige" Einrichtungen aus 18 Sektoren – einschließlich vieler Mittelständler aus Industrie, Logistik und IT-Dienstleistung.
Die NIS2-Richtlinie (EU 2022/2555) ersetzt die ältere NIS1 und weitet den Geltungsbereich massiv aus. In Deutschland setzt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) die Vorgaben um. Von schätzungsweise 30.000 betroffenen Unternehmen sind die meisten KMU – nicht nur klassische KRITIS-Betreiber.
Pflichten umfassen: Risikomanagement-Maßnahmen (Art. 21), Incident-Meldung an das BSI binnen 24/72 Stunden, Lieferketten-Sicherheit, Geschäftsführer-Haftung bei Verstößen und konkrete technische Maßnahmen wie MFA, Verschlüsselung, EDR und sichere Authentifizierung.
Bußgelder reichen bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes – ähnlich der DSGVO. Geschäftsführer haften zudem persönlich. Der praktische Einstieg führt über eine NIS2-Gap-Analyse: Welche der ~30 Pflichten erfüllen wir, welche nicht?
Praxis-Beispiel
Ein 80-Mitarbeiter-Maschinenbauer aus dem Bergischen Land hat 2025 mit einer NIS2-Gap-Analyse gestartet. Ergebnis: 60 % der technischen Pflichten waren erfüllt (Backup, Patch-Management), 40 % nicht (kein dokumentierter Incident-Response-Plan, keine MFA für Admin-Konten, kein EDR). Roadmap: 6 Monate bis Compliance.
Häufige Fragen zu NIS2
Bin ich von NIS2 betroffen?
Faustregel: Sie sind betroffen, wenn Sie in einem der 18 Sektoren tätig sind UND mehr als 50 Mitarbeiter ODER über 10 Mio. Euro Jahresumsatz haben. Sektoren reichen von Energie, Transport und Bank über Lebensmittel und Chemie bis zu IT-Dienstleistern und digitaler Infrastruktur.
Bis wann muss NIS2 umgesetzt sein?
Die EU-Frist war Oktober 2024. In Deutschland verzögerte sich das Umsetzungsgesetz, betroffene Unternehmen sollten aber dennoch zügig starten – die Pflichten gelten ab Inkrafttreten ohne lange Übergangsfrist.