NIS2 Richtlinie 2026: Welche Unternehmen betroffen sind und was zu tun ist

Die NIS2-Richtlinie ist seit 2024 in nationales Recht umzusetzen und stellt tausende deutsche Unternehmen vor neue Herausforderungen in der IT-Sicherheit. Wer betroffen ist, was konkret umzusetzen ist und welche Konsequenzen bei Verstößen drohen, zeigt dieser Überblick.

Was ist die NIS2-Richtlinie?

NIS2 steht für "Network and Information Security Directive 2" und ist die überarbeitete EU-Richtlinie zur Cybersicherheit kritischer Infrastrukturen. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert deren Geltungsbereich erheblich. Ziel ist es, ein einheitlich hohes Cybersicherheitsniveau in allen EU-Mitgliedstaaten zu gewährleisten.

In Deutschland wurde die Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt. Zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Registrierung, Aufsicht und Durchsetzung übernimmt.

Welche Unternehmen sind von NIS2 betroffen?

NIS2 unterscheidet zwischen zwei Kategorien betroffener Organisationen:

• Wesentliche Einrichtungen (Essential Entities): Große Unternehmen aus hochkritischen Sektoren mit mindestens 250 Mitarbeitern oder einem Jahresumsatz über 50 Millionen Euro sowie einer Jahresbilanzsumme über 43 Millionen Euro.
• Wichtige Einrichtungen (Important Entities): Mittlere Unternehmen aus kritischen Sektoren mit mindestens 50 Mitarbeitern oder einem Jahresumsatz über 10 Millionen Euro.

Schätzungen zufolge fallen in Deutschland zwischen 25.000 und 30.000 Unternehmen unter die NIS2-Richtlinie. Bestimmte Einrichtungen gelten unabhängig von ihrer Größe als betroffen, darunter DNS-Dienstleister, TLD-Registries, Anbieter öffentlicher elektronischer Kommunikationsnetze sowie Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene.

Wichtig: Auch kleine und mittlere Unternehmen (KMU) können betroffen sein, wenn sie zu einem der regulierten Sektoren gehören und die Schwellenwerte erreichen. Eine Selbsteinschätzung ist daher für alle Unternehmen ratsam, die in der digitalen Infrastruktur oder in kritischen Versorgungsbereichen tätig sind.

Die 18 Sektoren der NIS2-Richtlinie

Die Richtlinie erfasst insgesamt 18 Sektoren, aufgeteilt in zwei Anhänge:

Anhang I - Hochkritische Sektoren:

• Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)
• Verkehr (Luft, Schiene, Wasser, Straße)
• Bankwesen
• Finanzmarktinfrastruktur
• Gesundheit (Krankenhäuser, Labore, Pharmaunternehmen)
• Trinkwasser
• Abwasser
• Digitale Infrastruktur (DNS, TLD, Cloud-Anbieter, Rechenzentren, CDN)
• IKT-Dienstleistungsmanagement (B2B)
• Öffentliche Verwaltung
• Weltraum

Anhang II - Sonstige kritische Sektoren:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion und Handel mit chemischen Stoffen
• Produktion und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe und Herstellung von Waren
• Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschung

NIS2-Pflichten: Was konkret umgesetzt werden muss

Betroffene Unternehmen müssen eine Reihe technischer und organisatorischer Maßnahmen einführen. Die zentralen Anforderungen umfassen:

• Risikomanagement: Regelmäßige Risikoanalysen und Erstellung von Sicherheitskonzepten für Netz- und Informationssysteme.
• Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden (Erstmeldung), innerhalb von 72 Stunden folgt eine detaillierte Aktualisierung, nach einem Monat der Abschlussbericht.
• Lieferkettensicherheit: Überprüfung und Absicherung von Drittanbieter-Risiken. Wer zahlreiche Software-Integrationen nutzt, muss die Sicherheit der gesamten Tool-Landschaft bewerten.
• Business Continuity Management: Backup-Konzepte, Krisenmanagement und Notfallpläne müssen dokumentiert und getestet sein.
• Kryptografie und Verschlüsselung: Sensible Daten müssen mit geeigneten Verfahren verschlüsselt übertragen und gespeichert werden.
• Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA): Privilegierte Zugänge zu kritischen Systemen müssen durch MFA gesichert werden.
• Schulungen: Regelmäßige Sicherheitsschulungen für Mitarbeiter und Führungskräfte sind vorgeschrieben.
• Registrierung beim BSI: Wesentliche und wichtige Einrichtungen müssen sich beim BSI registrieren und relevante Kontaktdaten hinterlegen.

Für die Protokollierung und Überwachung von Sicherheitsereignissen empfehlen sich Log-Monitoring-Tools, die verdächtige Aktivitäten automatisch erkennen und dokumentieren. Für die Verwaltung mobiler Geräte und Endpoints bieten MDM-Software-Lösungen eine strukturierte Kontrolle über den Gerätezustand und Sicherheitsrichtlinien.

Geschäftsführerhaftung: Was Entscheider wissen müssen

Ein zentrales Element von NIS2 ist die persönliche Haftung der Unternehmensleitung. Geschäftsführer und Vorstände können für Verstöße gegen die Sicherheitsanforderungen direkt in Haftung genommen werden. Das bedeutet konkret:

• Die Unternehmensleitung muss Cybersicherheitsmaßnahmen aktiv billigen und überwachen.
• Sie haftet persönlich, wenn nachgewiesen wird, dass durch mangelnde Aufsicht ein Sicherheitsvorfall begünstigt wurde.
• Bei wesentlichen Einrichtungen kann die zuständige Behörde eine natürliche Person als verantwortlich benennen und temporäre Tätigkeitsverbote verhängen.

Cybersicherheit ist damit keine reine IT-Aufgabe mehr, sondern eine Führungsaufgabe, die auf C-Level-Ebene verankert sein muss.

Bußgelder bei Verstößen gegen NIS2

Die Sanktionen bei Nichteinhaltung sind erheblich:

• Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (der höhere Betrag gilt).
• Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Zusätzlich kann das BSI Unternehmen temporär die Erbringung bestimmter Dienste untersagen, wenn die Anforderungen nicht erfüllt werden. Reputationsschäden durch öffentliche Bekanntmachung von Verstößen kommen hinzu.

Erste Schritte zur NIS2-Compliance

Für betroffene Unternehmen empfiehlt sich folgendes Vorgehen:

• Schritt 1: Betroffenheit prüfen. Sektor, Mitarbeiterzahl und Umsatz gegen die NIS2-Schwellenwerte abgleichen. Das BSI stellt dazu einen Selbstcheck bereit.
• Schritt 2: Gap-Analyse durchführen. Bestehende Sicherheitsmaßnahmen mit den NIS2-Anforderungen vergleichen und Lücken identifizieren.
• Schritt 3: Verantwortlichkeiten klären. Einen Informationssicherheitsbeauftragten (CISO oder extern) benennen und die Geschäftsführung einbeziehen.
• Schritt 4: Technische Maßnahmen umsetzen. Log-Monitoring, MFA, Backup-Lösungen und Endpoint-Management einführen oder erweitern.
• Schritt 5: Beim BSI registrieren. Die Registrierungspflicht gilt ab dem Zeitpunkt, zu dem die Schwellenwerte erreicht werden.

Unternehmen, die bereits ein ERP-System im Einsatz haben, sollten prüfen, ob dessen Sicherheitsfunktionen NIS2-konform konfiguriert sind, da ERP-Systeme oft das Herzstück der Unternehmens-IT bilden und besonders schützenswerte Daten verarbeiten.