NIS22026-04-177 min Lesezeit

Was ist NIS2? Die EU-Cybersicherheitsrichtlinie einfach erklärt (2026)

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01NIS2 auf einen Blick
  2. 021. Warum wurde NIS2 verabschiedet?
  3. 032. Für wen gilt NIS2?
  4. 043. Die zehn Sicherheitsmaßnahmen nach Art. 21
  5. 054. Meldepflichten: 24h / 72h / 30 Tage
  6. 065. Management-Verantwortung: persönliche Haftung
  7. 076. Strafen bei Verstößen
  8. 087. Das deutsche NIS2UmsuCG
  9. 098. NIS2 in Österreich: das NISG 2024
  10. 109. NIS2 umsetzen: Der 10-Schritte-Plan
  11. 1110. Häufige Fehler bei der NIS2-Umsetzung
  12. 12Fazit

Was ist NIS2? Die EU-Cybersicherheitsrichtlinie einfach erklärt

Die NIS2-Richtlinie (EU 2022/2555) ist das wichtigste Cybersicherheitsgesetz Europas seit der DSGVO. Sie zwingt tausende Unternehmen in 18 Sektoren dazu, ein strukturiertes Informationssicherheits-Managementsystem aufzubauen, Sicherheitsvorfälle innerhalb strikter Fristen zu melden und ihre Leitungsebene persönlich für Cybersicherheit verantwortlich zu machen.

Dieser Leitfaden erklärt in klarer Sprache: Was ist NIS2? Für wen gilt sie? Welche Pflichten entstehen? Und wie setzen Unternehmen in Deutschland und Österreich die neuen Anforderungen praktisch um?

NIS2 auf einen Blick

Merkmal Detail
Rechtsform EU-Richtlinie 2022/2555
Inkrafttreten 16. Januar 2023
Umsetzungsfrist in nationales Recht 17. Oktober 2024
Deutsches Umsetzungsgesetz NIS2UmsuCG (ändert das BSI-Gesetz)
Österreichisches Umsetzungsgesetz NISG 2024
Anwendungsbereich Mittlere und große Unternehmen (ab 50 MA oder 10 Mio. EUR Umsatz) in 18 Sektoren
Anzahl betroffener Unternehmen in DE ca. 30.000
Zentrale Meldestelle DE BSI (Bundesamt für Sicherheit in der Informationstechnik)
Zentrale Meldestelle AT GovCERT Austria
Maximale Strafe bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes

1. Warum wurde NIS2 verabschiedet?

Die Vorgängerrichtlinie NIS1 von 2016 war ein erster Versuch, die Cybersicherheit kritischer Infrastrukturen in Europa zu harmonisieren. Sie deckte aber nur wenige Sektoren ab, ließ Mitgliedstaaten bei der Umsetzung große Spielräume und hatte weder echte Sanktionsmechanismen noch klare Meldepflichten.

Die Realität veränderte sich schneller als das Recht: Ransomware-Angriffe auf Krankenhäuser, Produktionsketten und öffentliche Verwaltungen zeigten, dass Cybersicherheit keine IT-Angelegenheit mehr ist, sondern ein volkswirtschaftliches Kernthema. Die NIS2-Richtlinie ist die konsequente Antwort der EU: breiterer Anwendungsbereich, verbindliche Mindeststandards, echte Sanktionen und Management-Verantwortung.

2. Für wen gilt NIS2?

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities). Beide Gruppen fallen in der Regel unter die Richtlinie, wenn sie mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von 10 Mio. EUR überschreiten – zuzüglich der Zugehörigkeit zu einem der 18 Sektoren.

Wesentliche Einrichtungen (Anhang I)

  • Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
  • Verkehr (Luft, Schiene, Straße, Wasser)
  • Banken
  • Finanzmarktinfrastruktur
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (DNS, TLD, Rechenzentren)
  • ICT-Management für Geschäftskunden (B2B)
  • Öffentliche Verwaltung
  • Raumfahrt

Wichtige Einrichtungen (Anhang II)

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie
  • Lebensmittel
  • Produzierendes Gewerbe (z.B. Medizinprodukte, Computer, Elektrotechnik, Maschinenbau, Kraftfahrzeuge)
  • Digitale Anbieter (Suchmaschinen, Online-Marktplätze, soziale Netzwerke)
  • Forschungseinrichtungen

Unabhängig von der Größe gelten DNS-Provider, TLD-Registries, qualifizierte Vertrauensdienstleister und Anbieter öffentlicher elektronischer Kommunikationsnetze als wesentlich. Sie unterliegen NIS2 auch als Kleinstunternehmen.

3. Die zehn Sicherheitsmaßnahmen nach Art. 21

Das Herzstück von NIS2 ist der Maßnahmenkatalog in Artikel 21. Jedes betroffene Unternehmen muss nachweislich folgende zehn Maßnahmen umsetzen:

  1. Risikoanalyse und Informationssicherheitsrichtlinien – strukturierter, dokumentierter Risikomanagementprozess
  2. Bewältigung von Sicherheitsvorfällen – Incident-Response-Plan, definierte Rollen
  3. Aufrechterhaltung des BetriebsBusiness Continuity, Backups, Krisenmanagement, Desaster-Recovery
  4. Sicherheit der Lieferkette – Dienstleister-Bewertung, Verträge, Kontrollrechte
  5. Sicherheit bei Erwerb, Entwicklung und Wartung – Secure Development Lifecycle, Schwachstellenmanagement
  6. Richtlinien zur Wirksamkeitsbewertung – Audits, Tests, kontinuierliche Verbesserung
  7. Cyberhygiene und Schulungen – grundlegende Security-Praktiken, Awareness
  8. Kryptografie und Verschlüsselung – Klassifizierungsrichtlinie, Schlüsselmanagement
  9. Personal- und Zugriffskontrolle, Asset-Management – Identity Access Management, Least Privilege
  10. Mehrfaktor-Authentifizierung, sichere Kommunikation, Notfallkommunikation

Diese Maßnahmen sind nicht verhandelbar. Unternehmen müssen sie in einem Informationssicherheits-Managementsystem (ISMS) verankern und kontinuierlich nachweisen. Eine ISMS-Software reduziert den Aufwand dafür um 70 bis 85 Prozent gegenüber manuellen Ansätzen.

4. Meldepflichten: 24h / 72h / 30 Tage

NIS2 führt ein gestuftes Meldesystem für signifikante Sicherheitsvorfälle ein:

  • 24 Stunden: Frühwarnung an die zuständige Behörde (in Deutschland: BSI) nach Kenntnisnahme des Vorfalls
  • 72 Stunden: detaillierte Vorfallsmeldung mit erster Einschätzung der Schwere und Auswirkungen
  • Auf Anforderung: Zwischenbericht
  • 30 Tage: Abschlussbericht mit Ursachenanalyse, Umfang der Auswirkungen und getroffenen Maßnahmen

Ein Vorfall gilt als signifikant, wenn er eine erhebliche Betriebsstörung, finanziellen Schaden oder Auswirkungen auf andere Personen verursacht hat – oder hätte verursachen können. Die Meldung erfolgt in Deutschland über das NIS2-Portal des BSI, in Österreich über das nationale NIS-Portal an GovCERT Austria.

Der NIS2-Umsetzungsleitfaden zeigt, wie Unternehmen den Meldeprozess schrittweise aufbauen.

5. Management-Verantwortung: persönliche Haftung

Eines der schärfsten Instrumente von NIS2 ist die direkte Verantwortung der Leitungsebene (Art. 20). Geschäftsführer und Vorstände:

  • müssen Cybersicherheitsmaßnahmen persönlich genehmigen
  • müssen ihre Umsetzung überwachen
  • können bei fahrlässigen Versäumnissen persönlich haftbar gemacht werden
  • sind zur Cybersicherheitsschulung verpflichtet

Diese Verantwortung kann nicht an den CISO oder die IT-Leitung delegiert werden. In Deutschland konkretisiert § 30 BSIG-neu die Haftungsfolgen: Bei vorsätzlichen oder grob fahrlässigen Pflichtverstößen drohen Schadensersatzforderungen gegen Geschäftsleiter. Die persönliche Haftung ist eine wesentliche Neuerung gegenüber NIS1.

6. Strafen bei Verstößen

Die Bußgelder sind sektordifferenziert:

  • Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (höherer Wert)
  • Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

Darüber hinaus können Behörden vorübergehend die Ausübung von Leitungsfunktionen untersagen, Zertifizierungen aussetzen und Zwangsmaßnahmen anordnen. Für einen Konzern mit 500 Mio. EUR Umsatz entspricht der Höchstbetrag 10 Mio. EUR – das gleiche Niveau wie bei einer schwerwiegenden DSGVO-Verletzung.

7. Das deutsche NIS2UmsuCG

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die nationale Umsetzung in Deutschland. Es ändert das BSI-Gesetz und fügt nationale Spezifika hinzu:

  • Registrierungspflicht beim BSI innerhalb von drei Monaten nach Inkrafttreten
  • BSI-Meldewege als zentrale Schnittstelle
  • Konkretisierung der Managementhaftung (§ 30 BSIG)
  • Vorgaben zur Lieferkettenabsicherung
  • Nationale technische Mindeststandards

Die deutsche Umsetzung geht teilweise über den EU-Mindestrahmen hinaus – insbesondere bei der Dokumentationstiefe und den Prüfungsrechten des BSI. Unternehmen in Deutschland sollten ihr Compliance-Programm direkt am NIS2UmsuCG ausrichten, nicht nur an der Richtlinie.

8. NIS2 in Österreich: das NISG 2024

Österreich hat NIS2 mit einem eigenständigen NISG 2024 umgesetzt. Die wesentlichen Unterschiede zur deutschen Lösung:

  • Meldestelle ist GovCERT Austria (Bundesministerium für Inneres), nicht das BSI
  • Das NISG 2024 ist ein kombiniertes Spezialgesetz, kein BSI-Gesetz-Update
  • Konkrete Zuständigkeiten liegen beim BMI in Kooperation mit dem Bundeskanzleramt

Die technischen Anforderungen sind in beiden Ländern weitgehend deckungsgleich. Eine Übersicht zur NIS2-Umsetzung in Österreich behandelt die Besonderheiten im Detail.

9. NIS2 umsetzen: Der 10-Schritte-Plan

  1. Betroffenheitsanalyse (1–2 Tage): Prüfen, ob das Unternehmen unter NIS2 fällt
  2. Scope-Definition (3–5 Tage): Kritische Systeme und Prozesse identifizieren
  3. BSI-Registrierung (1 Tag): Registrierung über das NIS2-Portal
  4. Gap-Analyse (1–2 Wochen): Ist-Zustand gegen die zehn Maßnahmen abgleichen
  5. Risikomanagement (2–3 Wochen): Zentrales Risikoregister aufsetzen
  6. Technische Maßnahmen (4–8 Wochen): MFA, Backups, Segmentierung, Monitoring, EDR
  7. Meldeprozess (1–2 Wochen): 24h / 72h / 30d-Workflows etablieren
  8. Richtlinien und Freigaben (2 Wochen): Policies dokumentieren, Geschäftsführung einbeziehen
  9. Management-Schulung (1 Tag): Pflichtschulungen durchführen und dokumentieren
  10. Kontinuierliche Überwachung (laufend): Automatisierung, jährliche Re-Assessment

Der Gesamtaufwand liegt bei 200 bis 400 Personentagen in einem typischen Mittelstandsunternehmen. Eine NIS2-Software wie Matproof reduziert diesen Aufwand um 70 bis 85 Prozent, indem sie Nachweise automatisch aus bestehenden Systemen (Microsoft 365, AWS, Azure, Okta) sammelt und Meldeprozesse digitalisiert.

10. Häufige Fehler bei der NIS2-Umsetzung

  1. Zu späte Betroffenheitsanalyse – Unternehmen unterschätzen ihren Sektor und bemerken erst beim Audit, dass sie meldepflichtig sind.
  2. NIS2 als reines IT-Projekt – Ohne Einbindung von Leitungsebene, Recht und Einkauf bleibt die Umsetzung Stückwerk.
  3. Control-Silos mit ISO 27001, TISAX, DORA – Dieselben Kontrollen werden parallel betrieben. Eine Multi-Framework-Plattform erspart 60–80 % der Dopplungen.
  4. Papierhafte Richtlinien ohne Evidenz – Dokumente reichen nicht. Das BSI prüft, ob Maßnahmen tatsächlich wirken.
  5. Vernachlässigung der Lieferkette – Angriffe über Dienstleister (Solarwinds-Szenario) sind explizit Teil von Art. 21. Dienstleisterregister ist Pflicht.

Fazit

NIS2 ist kein theoretisches EU-Gesetz mehr, sondern geltendes Recht in Deutschland und Österreich. Die betroffenen Unternehmen müssen jetzt handeln: Registrierung, Maßnahmenumsetzung, Meldeprozess, Management-Schulung. Wer wartet, riskiert Bußgelder bis 10 Mio. EUR und persönliche Managementhaftung.

Der Weg zur NIS2-Compliance ist kein Sprint, aber auch kein Zwei-Jahres-Projekt. Mit einer Multi-Framework-Plattform und einem strukturierten 8-Wochen-Plan erreichen mittelständische Unternehmen in Deutschland die Audit-Bereitschaft deutlich schneller als mit Tabellen und Einzeltools.

Weiterführende Leitfäden:

NIS2Was ist NIS2NIS2 RichtlinieNIS2 DeutschlandNIS2UmsuCGNIS2 UmsetzungNIS2 Cybersicherheit

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern