otris-Rat­geber
NIS-2-Richtlinie (EU)

NIS-2: Pflichten, Fristen und Umsetzung in Deutschland

Stand:

Die NIS-2-Richtlinie (EU) 2022/2555 erweitert den Kreis verpflichteter Organisationen deutlich. Dadurch wird Cybersicherheit in vielen Sektoren zur verbindlichen Managementaufgabe. Entscheidend ist die Nachweisfähigkeit: Maßnahmen müssen nicht nur definiert sein, sondern wirksam umgesetzt und prüfbar dokumentiert werden. In Deutschland wurde das Umsetzungsgesetz am 5. Dezember 2025 verkündet; es gilt seit 6. Dezember 2025.

NIS-2 – Das Wichtigste auf einen Blick.

Ziel: EU-weit einheitliches, hohes Cy­ber­si­cher­heits­ni­veau und bessere Resilienz zentraler Dienste.

Geltungsbereich: Einrichtungen in den in NIS-2 festgelegten Sektoren (Anhänge I/II). Grundsätzlich erfasst NIS-2 dort mittelgroße und große Organisationen sowie bestimmte Sonderfälle unabhängig von der Größe.

Zeitplan: Die EU-Umsetzungsfrist endete am 17. Oktober 2024. Nationale Vorschriften sollen ab dem 18. Oktober 2024 angewendet werden. In Deutschland gilt das Umsetzungsgesetz seit dem 6. Dezember 2025.

Pflichten: Ri­si­ko­ma­nage­ment­maß­nah­men, Vorfallmeldungen (24 h/72 h/Abschlussbericht) sowie Governance durch die Geschäftsleitung.

Sanktionen: Mindest-Obergrenzen unterscheiden nach „wesentlichen“ und „wichtigen“ Einrichtungen – u. a. bis 10 Mio. EUR oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. bis 7 Mio. EUR oder 1,4 % (je nachdem, welcher Betrag höher ist).

1. Was ist NIS-2?

NIS-2 ist eine EU-Richtlinie, die Min­dest­an­for­de­run­gen an Cybersicherheit und die Meldung erheblicher Sicherheitsvorfälle festlegt. Dadurch soll die Wi­der­stands­fä­hig­keit von Wirtschaft und Verwaltung gegenüber Angriffen, Ausfällen und Störungen steigen.

Zudem führt NIS-2 eine systematischere Einteilung in „wesentliche“ und „wichtige“ Einrichtungen ein. Damit werden Aufsicht und Durchsetzung stärker an Bedeutung und Risiko des jeweiligen Sektors gekoppelt.

2. Zentrale Pflichten der NIS-2

2.1 Ri­si­ko­ma­nage­ment­maß­nah­men als Pflichtprogramm

Organisationen müssen geeignete technische und organisatorische Maßnahmen umsetzen, um Risiken zu reduzieren und Auswirkungen von Vorfällen zu begrenzen. Wichtig ist die Wirksamkeit – inklusive regelmäßiger Überprüfung und Verbesserung.

Typische Bausteine sind:

  • Incident Handling und klare Eskalationswege
  • Backup/Recovery sowie Notfall- und Krisenmanagement
  • Schwach­stel­len­ma­nage­ment und sichere Entwicklung
  • Identitäts- und Zugriffsmanagement (z.B. MFA, Rollen)
  • Lie­fer­ket­ten­si­cher­heit und Dienst­leis­ter­steue­rung
  • Schulungen und Security Awareness

2.2 Meldepflichten bei signifikanten Vorfällen

NIS-2 verlangt ein gestuftes Meldewesen, sobald eine Organisation Kenntnis von einem signifikanten Vorfall hat. Deshalb sind 24-h- und 72-h-Fristen nur mit vorbereiteten Abläufen realistisch.

Typische Meldeschritte sind:

  • Frühwarnung binnen 24 Stunden
  • Meldung binnen 72 Stunden
  • Abschlussbericht innerhalb eines Monats; bei laufendem Vorfall ggf. Zwischen- oder Fort­schritts­mel­dun­gen

2.3 Governance: Verantwortung auf Leitungsebene

Die Geschäftsleitung muss Maßnahmen billigen, die Umsetzung überwachen und Kompetenzaufbau sicherstellen. Dadurch wird Cybersicherheit organisatorisch verbindlicher und besser steuerbar.

NIS-2 umsetzen in sechs Schritten - otris software

3. Einordnung: NIS-2, KRITIS und bestehende IT-Si­cher­heits­an­for­de­run­gen

Viele Organisationen haben bereits Anforderungen aus dem BSIG-Umfeld, aus Branchenstandards oder aus internen Governance-Vorgaben. Dennoch erweitert NIS-2 den Blick. Neben technischen Kontrollen rücken Nachweise, Lieferkette und Management-Überwachung stärker in den Mittelpunkt.

Zudem ist die Zuordnung „wesentlich“ vs. „wichtig“ für die Intensität der Aufsicht relevant. Deshalb sollten Sie die eigene Einordnung früh dokumentieren und regelmäßig prüfen. Das gilt insbesondere bei Wachstum oder Änderungen im Leistungsportfolio.

4. Umsetzung und Zeitplan

Als Richtlinie musste NIS-2 bis zum 17. Oktober 2024 national umgesetzt werden; die Anwendung nationaler Maßnahmen ist ab dem 18. Oktober 2024 vorgesehen. In Deutschland gilt das Umsetzungsgesetz seit dem 6. Dezember 2025; die Umsetzung erfolgt u. a. über das BSI-Gesetz (BSIG).

Checkliste: NIS-2 strukturiert umsetzen

  • Betroffenheit prüfen: Sektor, Größe und relevante Dienste dokumentieren.
  • Rollen festlegen: Zuständigkeiten, Freigaben und Reporting definieren.
  • Lücken schließen: Gap-Analyse durchführen und Maßnahmen priorisieren.
  • Meldewege sichern: Kriterien, Ansprechpartner und Vorlagen vorbereiten.
  • Lieferkette steuern: Anforderungen, Nachweise und Eskalationen vereinbaren.
  • Nachweise bündeln: Richtlinien, Kontrollen und Tests versioniert ablegen.
  • Regelbetrieb verankern: KPIs nutzen und Verbesserungen dokumentieren.

5. Digitale Unterstützung bei der Umsetzung von NIS-2

Nach der inhaltlichen Umsetzung beginnt die eigentliche Herausforderung: Anforderungen müssen dauerhaft eingehalten werden. Gleichzeitig müssen Sie jederzeit nachweisen können, was gilt, was umgesetzt ist und wie wirksam Kontrollen sind. Genau hier ist digitale Unterstützung der größte Hebel.

In der Praxis entstehen die meisten Risiken durch Brüche im Alltag. Zuständigkeiten sind unklar, Freigaben liegen in E-Mail-Postfächern und Nachweise verteilen sich auf Laufwerke. Dadurch wird es schwer, Maßnahmen konsequent nachzuverfolgen. Außerdem werden Meldefristen unrealistisch, wenn Informationen erst zusammengesucht werden müssen.

IT-Systeme schaffen deshalb vor allem an drei Stellen Entlastung: Steuerung, Nachweis und Geschwindigkeit. Sie bündeln Vorgaben, Kontrollen und Maßnahmen in einem gemeinsamen Arbeitsstand. Zudem lassen sich Aufgaben, Fristen und Freigaben nachvollziehbar abbilden. Schließlich bleiben Nachweise versioniert auffindbar – inklusive Prüfpfad, wer wann was entschieden hat.

Tipp zur Umsetzung mit Software

Kombinieren Sie Bausteine entlang des eigenen Reifegrads – etwa ISMS-Strukturen, Richt­li­ni­en­ma­nage­ment, Risikomanagement und ein gepflegtes Rechtskataster. So lassen sich Vorgaben, Maßnahmen und Ver­ant­wort­lich­kei­ten in einem gemeinsamen Arbeitsstand steuern. Außerdem bleiben Freigaben, Aufgaben und Fristen nachvollziehbar dokumentiert. Entscheidend ist, dass Nachweise versioniert abgelegt und revisionssicher abrufbar sind – inklusive Prüfpfad, wer wann was freigegeben oder geändert hat.

6. Nächste Schritte bei der Umsetzung

Klären Sie zunächst die Einordnung und dokumentieren Sie den Geltungsbereich. Anschließend legen Sie Ver­ant­wort­lich­kei­ten, Berichtslinien und Meldewege fest. Danach priorisieren Sie Maßnahmen nach Risiko und setzen einen realistischen Umsetzungsplan auf. Parallel sollten Sie die Lieferkette einbeziehen und Anforderungen an Dienstleister verbindlich festhalten. Schließlich dokumentieren Sie Nachweise, Freigaben und Entscheidungen so, dass sie für Audits und im Vorfall jederzeit belastbar verfügbar sind.

7. FAQs: Häufig gestellte Fragen

Welche Organisationen sind von NIS-2 betroffen?

Betroffen sind Einrichtungen in den NIS-2-Sektoren (Anhänge I/II). Häufig gilt NIS-2 für mittelgroße und große Organisationen. Daneben existieren Sonderfälle unabhängig von der Größe.

Welche Meldefristen gelten bei Si­cher­heits­vor­fäl­len?

Vorgesehen ist ein gestuftes Meldewesen: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden sowie ein Abschlussbericht innerhalb eines Monats. Die Fristen laufen ab Kenntnis des Vorfalls.

Warum ist die Geschäftsführung so stark eingebunden?

Weil NIS-2 Governance ausdrücklich fordert. Leitungsebenen sollen Maßnahmen billigen, Umsetzung überwachen und Kompetenzaufbau sicherstellen.

Welche Sanktionen sieht NIS-2 grundsätzlich vor?

Die Richtlinie nennt Mindest-Obergrenzen für Geldbußen, u. a. bis 10 Mio. EUR oder 2 % (wesentliche Einrichtungen) sowie bis 7 Mio. EUR oder 1,4 % (wichtige Einrichtungen.

Zur Anmeldung

Webcast | ISMS

Termine: 26.03. | 16.04. | 07.05.
Jetzt kostenlos anmelden!

Produktwelt