Welche Unternehmen sind betroffen?

Unternehmen aus kritischen oder wichtigen Sektoren mit mindestens 50 Mitarbeitenden oder mehr als 10 Mio. Euro Jahresumsatz.

Welche Branchen nennt die Richtlinie konkret?

Unter anderem Energie, Gesundheit, IT-Dienste, Verkehr, Finanzwesen, Lebensmittelproduktion, Maschinenbau und öffentliche Verwaltung.

Welche Rolle spielt ISO 27001?

ISO 27001 ist ein internationaler Standard für Informationssicherheit und kann als Grundlage zur Umsetzung der NIS2-Anforderungen dienen.

Wie können sich Unternehmen vorbereiten?

Durch Risikoanalysen, Schulungen, Prozessanpassungen, Verantwortlichkeitsregelungen und ggf. durch Einführung eines ISMS.

Was kann Software bei der Umsetzung leisten?

Qualitätsmanagement- oder ISMS-Software hilft, Prozesse, Maßnahmen und Nachweise strukturiert zu dokumentieren und zu verwalten.

Die NIS2-Richtlinie (EU 2022/2555) wurde Ende Dezember 2022 veröffentlicht und trat am 16. Januar 2023 auf EU-Ebene in Kraft. Ziel der Richtlinie ist es, das Niveau der Cybersicherheit innerhalb der Europäischen Union deutlich zu erhöhen und einheitliche Standards für Netz- und Informationssicherheit festzulegen. Die Mitgliedstaaten wurden verpflichtet, die Vorgaben bis spätestens 17. Oktober 2024 in nationales Recht zu überführen.

Deutschland hat die NIS2-Richtlinie bislang noch nicht in nationales Recht umgesetzt. Der Gesetzesentwurf zur nationalen Umsetzung, das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), befindet sich derzeit noch im parlamentarischen Verfahren (Stand 06/2025). Mit dem Inkrafttreten des nationalen Rechts wird im Laufe des Jahres 2025 gerechnet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt betroffenen Unternehmen dennoch, sich frühzeitig mit den Anforderungen auseinanderzusetzen, da die europarechtliche Verpflichtung bereits besteht.

Was ist die NIS2-Richtlinie?

Q: Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine EU-Vorgabe zur Stärkung der Cybersicherheit und ersetzt die bisherige NIS-Richtlinie von 2016.

Die NIS2-Richtlinie ist die überarbeitete Fassung der bisherigen NIS-Richtlinie von 2016. Sie erweitert den Kreis der verpflichteten Organisationen erheblich und stellt strengere Anforderungen an die Informationssicherheit in Unternehmen.

Zu den Hauptzielen der NIS2 gehören:

die Stärkung der Cybersicherheit auf europäischer Ebene,
die Ausweitung der Pflichten auf weitere Sektoren und Unternehmensgrößen,
die Verbesserung der Zusammenarbeit zwischen Behörden und Unternehmen.

Wer ist von NIS2 betroffen?

Die Richtlinie unterscheidet zwischen besonders wichtigen Einrichtungen (essential entities) und wichtigen Einrichtungen (important entities), je nach Kritikalität des Sektors. Maßgeblich sind dabei sowohl die Branche als auch die Unternehmensgröße.

Ein Unternehmen fällt in den Anwendungsbereich, wenn es:

in einem der in Anhang I oder II der Richtlinie genannten Sektoren tätig ist, z. B. Energie, Gesundheit, IT-Dienstleistungen, Maschinenbau, Postdienste oder Lebensmittelproduktion,
mindestens 50 Mitarbeitende beschäftigt oder
einen Jahresumsatz von über 10 Millionen Euro erzielt.

Schätzungen zufolge werden in Deutschland rund 30.000 Unternehmen unter die Richtlinie fallen – deutlich mehr als bisher.

Welche Sektoren sind von der Richtlinie betroffen?

Die NIS2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ (Anhang I) und „wichtigen Einrichtungen“ (Anhang II). Die Einteilung erfolgt je nach Sektor und Kritikalität für die Gesellschaft und Wirtschaft.

Besonders wichtige Sektoren (Anhang I):

Diese Einrichtungen unterliegen besonders strengen Aufsichtsmaßnahmen:

Energie (Elektrizität, Erdgas, Wasserstoff, Fernwärme, Öl)
Verkehr (Luft-, Schienen-, Schiffs- und Straßenverkehr)
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen (einschließlich Krankenhäuser, Labore, Hersteller medizinischer Geräte)
Trinkwasserversorgung
Abwasserentsorgung
Digitale Infrastruktur (z. B. Internet-Knotenpunkte, DNS-Anbieter, Cloud-Computing-Dienste)
Öffentliche Verwaltung (zentralstaatliche Ebenen, z. B. Ministerien)
Weltraum (z. B. Satellitendienste mit kritischer Funktion)

Wichtige Sektoren (Anhang II):

Auch diese Sektoren unterliegen den Pflichten der Richtlinie, jedoch mit angepasster Aufsicht:

Post- und Kurierdienste
Abfallbewirtschaftung
Chemische Stoffe (Produktion und Handel)
Herstellung, Produktion und Vertrieb von Lebensmitteln
Verarbeitende Industrie (z. B. Maschinenbau, Fahrzeugbau, Elektronik)
Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
Forschungsorganisationen

Was fordert die NIS2-Richtlinie konkret?

Unternehmen müssen ein umfassendes Sicherheitskonzept etablieren, das präventive, technische, organisatorische und prozessuale Maßnahmen beinhaltet. Zu den zentralen Anforderungen gehören:

Ein systematisches Risikomanagement, inklusive Identifikation und Bewertung von Bedrohungen.
Technische Sicherheitsmaßnahmen, etwa Zugangskontrollen, Netzwerkschutz, Verschlüsselung und regelmäßige Updates.
Notfallplanung und Betriebsfortführung, um bei Sicherheitsvorfällen schnell reagieren zu können.
Verantwortung auf Leitungsebene, inklusive Pflicht zur regelmäßigen Schulung der Geschäftsführung.
Meldepflichten bei Sicherheitsvorfällen, mit einer ersten Information innerhalb von 24 Stunden und einem Abschlussbericht innerhalb von fünf Tagen.
Sicherheitsanforderungen für Lieferanten und Dienstleister, da auch externe IT-Partner in die Risikoabwägung einbezogen werden müssen.

Wie sollten Unternehmen jetzt vorgehen?

Die Umsetzung der NIS2-Richtlinie erfordert ein strukturiertes Vorgehen. Unternehmen, die unter die Regelung fallen oder fallen könnten, sollten folgende Schritte einleiten:

Prüfung der Betroffenheit auf Basis von Branche und Unternehmenskennzahlen.
Analyse des aktuellen Sicherheitsniveaus: Welche Maßnahmen sind bereits vorhanden, wo bestehen Lücken?
Definition klarer Verantwortlichkeiten, insbesondere auf Managementebene.
Einführung oder Anpassung von Prozessen für Risikobewertung, Vorfallmanagement, Schulung und Dokumentation.
Regelmäßige Audits und Überprüfungen, um die Maßnahmen kontinuierlich anzupassen.

ISO 27001 als zentrale Umsetzungshilfe

Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 bietet eine strukturierte und international anerkannte Grundlage, um die Anforderungen der NIS2-Richtlinie systematisch umzusetzen.

Die Norm ISO 27001 unterstützt Unternehmen unter anderem dabei:

Risiken methodisch zu analysieren und zu bewerten,
geeignete Sicherheitsmaßnahmen gezielt auszuwählen,
Verantwortlichkeiten und Zuständigkeiten transparent festzulegen,
Prozesse und Maßnahmen regelmäßig zu überwachen und zu verbessern,
sowie die Einhaltung regulatorischer Vorgaben jederzeit nachweisbar zu dokumentieren.

Eine bestehende oder geplante Zertifizierung nach ISO 27001 kann somit ein effektiver Nachweis sein, dass wesentliche Anforderungen der NIS2-Richtlinie erfüllt werden. Besonders in Unternehmen mit internationalen Kunden oder komplexen Lieferketten ist dies ein wichtiger strategischer Vorteil.

Hinweis: Obwohl die ISO 27001 viele Anforderungen der NIS2 adressiert, müssen ergänzende Pflichten – etwa Meldefristen und branchenspezifische Vorgaben – gesondert berücksichtigt werden.

QM-Software als Unterstützung bei der Umsetzung

Digitale Werkzeuge wie Qualitätsmanagement-Software können Unternehmen unterstützen, die komplexen Anforderungen der NIS2-Richtlinie und von ISO 27001 strukturiert umzusetzen. Eine QM-Software wie roXtra bietet Unternehmen eine zentrale Plattform, um:

Richtlinien, Prozesse und Maßnahmen transparent zu dokumentieren,
Schulungen zu verwalten und deren Umsetzung zu kontrollieren,
Risiken zu erfassen und Maßnahmen zur Risikominderung nachzuhalten,
Audits zu planen und Verbesserungspotenziale systematisch zu erfassen,
Nachweise und Berichte für Behörden effizient zu erstellen.

Solche Tools ersetzen keine gesetzliche Verpflichtung, helfen aber, die komplexen Anforderungen der Richtlinie strukturiert und nachvollziehbar zu erfüllen.

Fazit: NIS2 ernst nehmen und frühzeitig vorbereiten

Die NIS2-Richtlinie hebt Cybersicherheit auf ein neues strategisches Niveau. Sie ist nicht nur eine technische Herausforderung, sondern betrifft alle Ebenen eines Unternehmens – von der IT über das Qualitätsmanagement bis zur Geschäftsführung.

Auch wenn das nationale Umsetzungsgesetz in Deutschland noch nicht final verabschiedet ist, besteht bereits Handlungsbedarf. Die europäische Rechtslage ist bindend, und die geforderten Maßnahmen lassen sich nicht kurzfristig umsetzen.

Unternehmen, die frühzeitig in Sicherheitsprozesse, Zuständigkeiten und Dokumentationsstrukturen investieren, schaffen nicht nur regulatorische Sicherheit – sie erhöhen auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen und stärken das Vertrauen ihrer Geschäftspartner.

Literaturverzeichnis und weiterführende Links zur NIS2-Richtlinie

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Themenseite zur NIS2-Richtlinie – Zuständigkeit, Anforderungen, Betroffenheit und Umsetzung
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
Bundesministerium des Innern und für Heimat (BMI)
Gesetzesentwurf zur Umsetzung der NIS2-Richtlinie in Deutschland (NIS2UmsuCG)
https://www.bmi.bund.de/SharedDocs/gesetze/DE/nis2-umsetzungsgesetz.html
EUR-Lex (Amtliches EU-Rechtsportal)
Volltext der Richtlinie (EU) 2022/2555 – NIS2-Richtlinie
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555
eco – Verband der Internetwirtschaft e.V.
Praxisorientierte Informationen zur NIS2-Richtlinie aus Sicht der IT-Branche
https://international.eco.de/pressemitteilungen/nis2-richtlinie-was-unternehmen-wissen-muessen/
Heise Online – iX Fachmagazin für IT-Profis
Juristische und technische Einordnung der NIS2-Vorgaben (inkl. Auswirkungen auf Mittelstand)
https://www.heise.de/hintergrund/NIS2-Richtlinie-Bundesregierung-verfehlt-Umsetzungsfrist-9656437.html
Bitkom e.V.
Leitfaden: NIS2 – Handlungsempfehlungen für Unternehmen
https://www.bitkom.org/Bitkom/Publikationen/NIS2-Leitfaden

NIS2-Richtlinie: Neue Anforderungen an die Cybersicherheit – was Unternehmen jetzt wissen sollten