NIS-2: Anforderungen und Umsetzung der EU-Richtlinie

Cyberangriffe, Systemausfälle und Datenlecks gehören längst zu den größten Geschäftsrisiken für Unternehmen. Mit der NIS-2-Richtlinie reagiert die EU auf diese Entwicklung und verschärft die gesetzlichen Anforderungen an die Informationssicherheit deutlich. Erstmals rückt dabei nicht nur die klassische kritische Infrastruktur, sondern auch ein großer Teil des Mittelstands in den Fokus der Regulierung. Wir geben Ihnen in diesem Beitrag einen Überblick über den aktuellen Rechtsstand der NIS-2-Richtlinie und zeigen auf, welche konkreten Pflichten für mittelständische Unternehmen bereits gelten und wie diese jetzt umzusetzen sind.

Was ist NIS-2?

NIS-2 (Network and Information Systems) ist eine aktuelle EU-Richtlinie für Cybersicherheit mit dem Ziel, die gesamte digitale Infrastruktur in Europa widerstandsfähiger gegen Cyberangriffe zu machen. Im Gegensatz zu ihrem Vorläufer, der NIS-Richtlinie gilt NIS-2 nicht mehr nur für Betreiber kritischer Infrastrukturen (KRITIS), sondern auch für den Mittelstand: Allein in Deutschland sind rund 30.000 Unternehmen im Zuge von NIS-2 verpflichtet, einheitliche Mindeststandards zum Schutz vor Cyberattacken umzusetzen.

NIS-2 umfasst die klassischen Anforderungen an Cybersicherheit, darunter Risikomanagement, technische und organisatorische Schutzmaßnahmen, Incident Management, Sicherheit in der Lieferkette, ein kontinuierliches Sicherheitsmonitoring und Meldepflichten bei Sicherheitsvorfällen und Cyberangriffen an die zuständigen Behörden.

Von NIS zu NIS-2: Weiterentwicklung der EU-Sicherheitsstandards

Die NIS-2-Richtlinie ist eine Weiterentwicklung der 2016 verabschiedeten NIS-Richtlinie, der ersten EU-weiten Richtlinie zur Cybersicherheit. Am 16. Januar 2023 trat die NIS-2-Richtlinie auf EU-Ebene in Kraft. Die Mitgliedstaaten waren verpflichtet, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Deutschland hat diese Frist überschritten, das nationale NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ist inzwischen jedoch verabschiedet worden und gilt seit Ende 2025. Damit sind die NIS-2-Pflichten für betroffene Unternehmen nun verbindlich anzuwenden.

Mit NIS-2 ist Cybersicherheit für zahlreiche mittelständische Unternehmen zur gesetzlichen Pflicht geworden. Wer die Fristen und Anforderungen ignoriert, kann mit hohen Bußgeldern belegt werden und riskiert Reputationsschäden bei Kundinnen und Kunden.

NIS-2-Pflicht: Welche Unternehmen müssen die Richtlinie umsetzen?

NIS-2 ist grundsätzlich verpflichtend für Unternehmen ab einer bestimmten Größe, die in einem von 18 relevanten Sektoren tätig sind. Zudem unterscheidet die Richtlinie je nach Schwellenwert zwischen besonders wichtigen (hoch kritischen) und wichtigen (kritischen) Einrichtungen.

	Besonders wichtige Einrichtungen	Wichtige Einrichtungen
Unternehmensgröße	Größere Unternehmen ab 250 Beschäftigte	Mittlere Unternehmen ab 50 bis ca. 250 Beschäftigte
Umsatz	Jahresumsatz und Jahresbilanzsumme über 10 Millionen Euro	Jahresumsatz und Jahresbilanzsumme über 50 Millionen Euro
Branchen	Energie Verkehr Gesundheitswesen Wasserversorgung Abfallwirtschaft Post und Kurierdienste Öffentliche Verwaltung IT und Telekomunikation Lebensmittelproduktion Chemie Finanzdienstleistungen Weltraum IT/ICT Dienste (B2B)	Ebenfalls die relevanten Sektoren Branchen, aber meist kleine bzw. mittlere Unternehmen, etwa regionale Versorger, Transportunternehmen, Lebensmittelproduzenten, Lebensmittelverarbeitung,  Abfall, Chemie, digitale Plattformen, Forschungseinrichtungen
Anmerkungen	Strengere Anforderungen und intensivere Kontrollen	Niedrigere Anforderungen, z. B. an Risikoanalyse und Meldepflichten

 

Unternehmen können auch indirekt unter die NIS-2-Pflicht fallen, wenn sie Dienstleister für Unternehmen in den betroffenen Sektoren sind.

Gibt es Ausnahmen von der NIS-2-Umsetzungspflicht?

Die NIS-2-Richtlinie gilt nicht für Unternehmen in den Bereichen nationale Sicherheit, Verteidigung, öffentliche Sicherheit oder Strafverfolgung. Auch die Justiz, die Parlamente und die Zentralbanken in der EU sind aus Gründen staatlicher Souveränität nicht von NIS-2 betroffen. Für diese Bereiche gelten in der Regel eigene Richtlinien für Cybersicherheit.

Sanktionen und Haftung: Wie wird die Nichteinhaltung von NIS-2 geahndet?

• NIS-2-pflichtige Unternehmen, die die Auflagen missachten, können mit hohen Geldstrafen belegt werden.
• Für wesentliche Infrastrukturen beträgt das Bußgeld bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, wobei der höhere Wert maßgeblich ist.
• Für wichtige Infrastrukturen werden Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes fällig.
• Die Unternehmensführung kann direkt für die Nicht-Einhaltung haftbar gemacht werden.
• Neben den finanziellen Sanktionen droht ein Vertrauens- und Reputationsverlust bei Kundinnen und Kunden sowie Partnerinnen und Partnern.

Anforderungen von NIS-2 im Überblick

NIS-2 verpflichtet betroffene Unternehmen, ihre IT-Sicherheitsstrukturen systematisch zu überprüfen und gezielt weiterzuentwickeln:

Strategisches Risikomanagement

• Durchführen detaillierter Risikobewertungen für die IT-Infrastruktur
• Umsetzen technischer und organisatorischer Schutzmaßnahmen wie Firewalls, Verschlüsselungen und Mehrfaktor-Authentifizierung
• Zugriffskontrollen und Asset Management für Hardware, Software und Daten

Notfallpläne

• Erstellen von Notfallplänen und Business-Continuity-Plänen, um den Betrieb im Fall eines Cyberangriffs schnellstmöglich weiterführen zu können

Meldepflichten und Vorfall-Management

• Meldung von Sicherheitsvorfällen und Berichterstattung innerhalb strenger Zeitfristen

Sicherheitsbewusstsein der Beschäftigten

• Regelmäßige Cybersecurity-Schulung der Mitarbeitenden, um das Bewusstsein für Risiken zu fördern

Sichere Lieferketten

• Überprüfung von Zulieferern und Dienstleistern, um die IT-Sicherheit in der Lieferkette zu gewährleisten

Dokumentation und Nachweisführung:

• Lückenlose Dokumentation und regelmäßige Aktualisierung aller implementierten Sicherheitsmaßnahmen

Die in NIS-2 festgelegten Maßnahmen folgen den Grundsätzen von ISO:27001, da der international anerkannte Standard für Informationssicherheit einen bewährten Rahmen für Informationssicherheitsmanagementsysteme (ISMS) bietet, um sensible Daten zu schützen.

Herausforderungen bei der Umsetzung von NIS-2

Viele der Maßnahmen, die NIS-2 vorschreibt, sollten eigentlich längst zum Standard in der IT-Sicherheit gehören. Gerade für Unternehmen, die bisher keine regulatorischen Auflagen hatten, kann die Umsetzung dennoch herausfordernd sein:

• Selbstprüfung: Anhand von Unternehmensgröße, Jahresbilanz und Tätigkeitsfeld sowie unter Berücksichtigung von Kunden muss ermittelt werden, ob das Unternehmen von NIS-2 betroffen ist.
• Risikoanalyse: Mögliche IT- und Cybersicherheitsrisiken müssen identifiziert werden, um entsprechende Maßnahmen umzusetzen.
• Risikomanagement: Es müssen umfassende Sicherheitsmaßnahmen implementiert werden, die alle identifizierten Risiken wie Cyberangriffe und physische Störungen abdecken.
• Dokumentation: Sowohl die Sicherheitsmaßnahmen als auch Prozessketten bei Sicherheitsvorfällen oder Sicherheitsüberprüfungen müssen im Detail dokumentiert werden.
• Sicherheitsbewusstsein: Das Bewusstsein für Cyberrisiken und ein Verantwortungsgefühl für die IT-Sicherheit muss unternehmensweit entwickelt werden – oft ist dafür ein kultureller Wandel notwendig.

Unsere erfahrenen IT-Consultants unterstützen Sie dabei, die NIS-2-Anforderungen für Ihr Unternehmen zu prüfen und effizient umzusetzen. Dabei helfen nicht nur das Fachwissen im Bereich von NIS-2, sondern auch der Blick von außen, um potenzielle Schwachstellen zu erkennen und geeignete Maßnahmen schnell und gezielt umzusetzen.

Vorteile von NIS-2 für den Mittelstand

• Gestärkte Cybersicherheit: Schutz vor wirtschaftlichen Schäden als Folge von Hackerangriffen oder IT-Ausfällen.
• Effizienzsteigerung: Standardisierte Protokolle und IT-Prozesse steigern die Effizienz im Unternehmen.
• Compliance: Klar zugewiesene Verantwortlichkeiten und eine umfassende Dokumentation reduziere Haftungsrisiken.
• Mehr Kundenvertrauen: Hohe Datensicherheit und ein transparentes Informationssicherheitsmanagement als Verkaufsargumente für Kunden.
• Resiliente Lieferketten: Verbesserte Cybersicherheit durch einheitliche Standards auch für Lieferanten.
• Zukunftssicherheit: Mittelständische Unternehmen, die die NIS-2-Richtlinie umsetzen, bleiben handlungsfähig und sind besser auf künftige regulatorische Änderungen vorbereitet.

Die Umsetzung von NIS-2 im Unternehmen bedeutet grundsätzlich, die Mindestanforderungen an Informationssicherheit umzusetzen. Je nach Branche, Leistungsangebot oder Kundenkreis können auch weit darüberhinausgehende Sicherheitsmaßnahmen sinnvoll sein. Umso wertvoller ist die Zusammenarbeit mit Experten: Sie analysieren Ihren individuellen Bedarf und entwickeln gemeinsam mit Ihnen geeignete Maßnahmen.

8 Praxis-Tipps für die reibungslose Umsetzung von NIS-2 im Mittelstand

Wir raten Unternehmen dazu, sich professionell zu NIS-2 beraten zu lassen, um die Weichen in die richtige Richtung zu stellen und unnötige Fehler zu vermeiden. Oft reicht es, bestehende Prozesse und Richtlinien lediglich anzupassen und nicht vollständig neu zu entwerfen. Die folgenden Praxistipps helfen Ihnen, den Gesamtaufwand für die NIS-2 Compliance so niedrig wie möglich zu gestalten.

1. Erstellen von IST- und GAP-Analysen
   Prüfen Sie den aktuellen Stand der IT-Sicherheit: Wo gibt es Lücken oder Abweichungen zu den in NIS-2 definierten Risikomanagementmaßnahmen?
2. Projekt planen
   Benennen Sie die beteiligten Stakeholder und Dienstleister, geben Sie eine Einschätzung der benötigten Ressourcen.
3. Projekt organisieren
   Legen Sie die Rollen und Verantwortlichkeiten für die Informationssicherheit im Unternehmen fest.
4. Aufbau eines Informationssicherheitsmanagementsystems
   Planen und implementieren Sie die erforderlichen technischen und organisatorischen Risikomanagement-Maßnahmen.
5. Prüfung der Lieferkette
   Prüfen Sie gemeinsam mit der Einkaufsabteilung die Informationssicherheitsstandards Ihrer Lieferanten und legen Sie deren Kritikalität mit Blick auf Informationssicherheit fest.
6. Meldewesen einrichten
   Entwerfen Sie standardisierte Prozesse für die fristgerechte Meldung von Sicherheitsvorfällen und die nachfolgende Berichterstattung.
7. Registrierung beim BSI
   Unternehmen, die unter den Anwendungsbereich der NIS-2-Richtlinie fallen, müssen sich bei der gemeinsamen Registrierungsstelle von BSI und BBK registrieren.

Laut dem aktuellen Regierungsentwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Kabinettsfassung Juli 2025) müssen Unternehmen bei der Registrierung nach § 31 ff. NIS2UmsuCG-E Namen und Kontaktdaten Ihres Unternehmens, die Rechtsform und ggf. die Handelsregisternummer, Sektor und Branche sowie eine Liste der Mitgliedstaaten angeben, in denen Ihr Unternehmen tätig ist.

Wir beraten Sie kompetent rund um Ihre NIS-2-Compliance

Wir denken nicht in theoretischen Modellen, sondern in konkreten Lösungen. Als externe Informationssicherheitsbeauftragte mit den Schwerpunkten Audits und Gap-Analysen unterstützen wir Ihr Unternehmen individuell und zielgerichtet. Mit zertifiziertem Fachwissen und jahrelanger Erfahrung begleiten wir unsere Mandanten mit Augenmaß rund um ISO/IEC 27001, NIS-2 oder KRITIS – von der ersten Analyse bis zur praktischen Umsetzung und der Etablierung eines nachhaltigen Sicherheitsbewusstseins in Ihrem Unternehmen.

NIS-2 definiert nicht nur gesetzliche Pflichten, sondern beschreibt das Mindestniveau an Informationssicherheit, das Unternehmen aus unserer Sicht heute erreichen sollten.

Ingo Köhne, Geschäftsführer IT-Consulting

Fazit: NIS-2 als Chance begreifen – passende Maßnahmen umsetzen

Die erweiterten Anforderungen an Cybersicherheit und die zögerliche Umsetzung der NIS-2-Richtlinie können auf mittelständische Unternehmen überfordernd wirken. Klar ist aber: NIS-2 ist nicht nur eine Herausforderung. Die EU-Richtlinie kann durchaus auch eine Chance für Unternehmen sein, ihre Informationssicherheit systematisch zu bewerten und anzupassen. Durch proaktives Handeln positionieren Sie sich als vertrauenswürdiger Partner, werden resilienter gegen Cybervorfälle und reduzieren dadurch das Risiko erfolgreicher Cyber-Angriffe und der daraus folgenden finanziellen Schäden.