NIS 2 Richtlinie

NIS-2 Richtlinie: Was sich jetzt für KRITIS-Betreiber, Mittelstand und IT-Dienstleister ändert

/in

Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz setzt Deutschland die EU-Richtlinie (EU) 2022/2555 in nationales Recht um – und schafft damit den umfassendsten Cybersicherheitsrahmen seit dem IT-Sicherheitsgesetz. Das Gesetz ist seit dem 6. Dezember 2025 in Kraft.

Damit steigt die Zahl der verpflichteten Organisationen deutlich. Unternehmen sollten sich jetzt intensiv mit den Anforderungen der NIS-2-Regulierung beschäftigen – insbesondere, weil zentrale Pflichten unmittelbar gelten und die Registrierungs- und Umsetzungsanforderungen nachweisfähig umgesetzt werden müssen.

Hintergrundinformationen zur EU-Richtlinie: Richtlinie (EU) 2022/2555 – EUR-Lex

Übersicht zur nationalen Umsetzung und Pflichten: BSI – NIS-2 Informationen

Wer fällt unter die NIS-2 Richtlinie?

Die Regulierung betrifft nicht mehr nur KRITIS-Betreiber. Auch zahlreiche mittelständische Unternehmen und IT-Dienstleister fallen erstmals unter verbindliche Sicherheitsanforderungen. Damit rückt NIS-2 in den Mittelpunkt der Unternehmensverantwortung – inklusive Governance, Nachweispflichten und Meldeprozessen.

Besonders wichtige Einrichtungen

Große Unternehmen aus Sektoren wie Energie, Gesundheit, Verkehr, digitale Infrastruktur, Finanzwesen sowie bestimmte öffentliche Verwaltungsbereiche. Für sie gelten besonders stringente Anforderungen und Aufsicht.

Wichtige Einrichtungen

Viele mittelständische Unternehmen, die bisher nicht reguliert waren – z. B. aus Fertigung, Chemie, Lebensmittelproduktion, Entsorgung oder Logistik.

IT-Dienstleister

Unabhängig von ihrer Größe gelten viele IT-Unternehmen als regulierte Einrichtungen, z. B. Cloud-Provider, Rechenzentren, SaaS-/PaaS-Anbieter sowie Telekommunikationsdienste.

Weiterführende Einordnung: ENISA – Informationen zur NIS-Richtlinie

Die wichtigsten Pflichten der NIS-2 Richtlinie

1) Registrierung beim BSI (Frist: 3 Monate)

Innerhalb von drei Monaten nach Inkrafttreten bzw. ab dem Zeitpunkt der Betroffenheit müssen sich betroffene Unternehmen beim BSI registrieren. Diese Registrierung ist die Grundlage für Aufsicht, Informationsaustausch und Meldewege.

Weiterführend: BSI – NIS-2 (Registrierung / Pflichten, Registrierung)

2) Einführung eines Risikomanagements (ISMS / Maßnahmen „Stand der Technik“)

NIS-2 verlangt ein umfassendes Risikomanagement für Informationssicherheit. In der Praxis führt das fast immer zu einem auditfähigen Informationssicherheits-Managementsystem (ISMS), bestehend aus:

  • Risikoanalyse und Risikobehandlung
  • Maßnahmen nach Stand der Technik
  • Netzwerk- und Systemsicherheit
  • Patch- und Schwachstellenmanagement
  • Notfall- und Business-Continuity-Konzepte
  • Schulungen und Awareness
  • Dokumentation, Rollen & Verantwortlichkeiten

Empfohlene Grundlage (internationaler Standard): ISO/IEC 27001 – ISO

Alternative / Ergänzung (deutscher Standard): BSI IT-Grundschutz

3) Strenge Meldepflichten (24h / 72h / 30 Tage)

Teil von NIS-2 sind verbindliche Meldefristen für erhebliche Sicherheitsvorfälle:

  • Erstmeldung innerhalb von 24 Stunden
  • Vertiefte Meldung innerhalb von 72 Stunden
  • Abschlussbericht nach 30 Tagen

Details zu Meldewegen und Pflichten: BSI – Meldepflichten

4) Lieferketten-Sicherheit (Supplier- & Third-Party-Risk)

Unternehmen müssen die Cybersicherheit ihrer Dienstleister und Anbieter nachweislich steuern. Das ist ein Kernbestandteil von NIS-2 und wird regelmäßig zum wichtigsten Umsetzungs- und Audit-Thema, weil:

  • Sicherheitsvorfälle häufig über Dienstleister/Partner entstehen,
  • Kunden Nachweise verlangen (Vendor Assessments),
  • Verträge, SLAs und Security-Anforderungen belastbar dokumentiert werden müssen.

Typische Anforderungen in der Praxis:

  • definierte Anforderungen an Dienstleister (Security Baselines),
  • Risikoklassifizierung und Auswahlverfahren,
  • regelmäßige Prüfungen / Reviews,
  • Nachweise (ISO 27001, SOC 2, C5 etc.) als Mindeststandard,
  • Eskalations- und Exit-Regelungen.

5) Dokumentation & Nachweise

NIS-2 ist keine reine „Umsetzungsaufgabe“, sondern eine Nachweisaufgabe. Relevante Bereiche (ISMS, Meldungen, Lieferkette, Governance) müssen dokumentiert und prüfbar sein. In der Praxis entscheidet nicht nur, ob etwas umgesetzt wurde – sondern ob es reproduzierbar, nachvollziehbar und evidenzbasiert ist.

6) Bußgelder und Durchsetzung

Die NIS-2-Regulierung sieht empfindliche Sanktionen vor – einschließlich hoher Bußgelder in Abhängigkeit von der Einordnung und Schwere des Verstoßes.

Offizielle Einordnung: BSI – NIS-2 Informationen

Verantwortung der Geschäftsführung: NIS-2 ist Governance, nicht nur IT

Ein zentraler Teil der Umsetzung ist die verschärfte Verantwortung der Unternehmensleitung. Geschäftsführungen müssen:

  • Maßnahmen freigeben
  • Ressourcen bereitstellen
  • Risiken verstehen und steuern
  • Schulungen absolvieren
  • Umsetzung überwachen

Wichtig: Die Verantwortung bleibt – selbst wenn Aufgaben operativ delegiert werden.

Auswirkungen auf KRITIS, Mittelstand und IT-Dienstleister

KRITIS-Betreiber

Für KRITIS verschärfen sich insbesondere Meldeprozesse, Lieferkettenverantwortung und Anforderungen an eine abgestimmte Sicherheitsarchitektur. Zusätzlich rücken Themen wie die Bewertung kritischer Komponenten und deren Einsatz stärker in den Fokus.

Offizielle KRITIS-Definition: BMI – KRITIS Definition

Mittelstand

Viele mittelständische Unternehmen müssen erstmals ein ISMS etablieren und NIS-2-Pflichten implementieren. Typische To-dos:

  • Strukturierte Sicherheitsprozesse
  • Regelmäßige Schulungen und Awareness
  • Dokumentation und Verantwortlichkeiten
  • Lieferkettenprüfungen
  • Nachweisfähigkeit gegenüber Behörden, Kunden und Partnern

Praxisrisiko: Viele Mittelständler unterschätzen die erforderliche Dokumentationstiefe – und starten zu spät mit Governance, Rollen und Evidenzaufbau.

IT-Dienstleister

IT-Dienstleister sind doppelt betroffen:

  1. Sie müssen die NIS-2-Pflichten selbst erfüllen.
  2. Ihre Kunden verlangen Nachweise und belastbare Sicherheitsstandards.

In der Praxis werden ISO 27001 und vergleichbare Standards (z. B. BSI-Grundschutz) zum Baseline-Nachweis – nicht nur für Compliance, sondern als Voraussetzung für Ausschreibungen, Vertragsverlängerungen und Lieferantenlisten.

NIS-2 & ISO 27001: Umsetzungsbasis, die auditfähig macht

Viele Anforderungen aus NIS-2 lassen sich durch ISO 27001-, oder IT-Grundschutz-Strukturen effizient abbilden. Unternehmen mit vorhandenen Strukturen profitieren besonders, weil sie:

  • Risikomanagement, Policies und Kontrollen bereits etabliert haben,
  • Nachweise (Evidenzen) konsistent führen,
  • sich leichter auf Audits, Kontrollen und Kundenfragen vorbereiten können.

Unser Angebot: So unterstützt Securance-iAP bei der Umsetzung von NIS-2

Securance-iAP begleitet Unternehmen bei allen Schritten – von der Einstufung bis zur auditfähigen Umsetzung:

  • Einstufung nach NIS-2 (Betroffenheit, Kategorie, Scope)
  • Gap-Analyse bestehender Sicherheitsmaßnahmen
  • Aufbau/Weiterentwicklung eines auditfähigen IKS
  • Umsetzung von Lieferketten-Anforderungen und Nachweisprozessen
  • Etablierung von Melde- und Notfallprozessen
  • Vorbereitung auf Audits, Kontrollen und Kundenanforderungen

Securance-iAP ist Ihr Partner für eine sichere und auditfähige Umsetzung der NIS-2-Anforderungen. 

Erfahren Sie mehr über die NIS-2-Umsetzung

 

Nehmen Sie noch heute Kontakt mit uns auf!

Kontakt aufnehmen

 

Das könnte Dich auch interessieren
Cyber Resilience ActCyber Resilience Act (CRA): Neue Anforderungen, neue Rolle für das BSI
Webinar ISO 27001 als Türöffner – IKS als WettbewerbsvorteilISO 27001 als Türöffner – IKS als Wettbewerbsvorteil
CYBER-SECURITY IM HOTEL IST CHEFSACHE!, Check-in Daten, iAPCyber-Security im Hotel ist Chefsache!
Security Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den MittelstandSecurity Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den Mittelstand
Webinar BSIC5 GleichwertigkeitsverordnungNoch kein C5-Testat?
DORA - Digital Operational Resilience Actistockphoto/Dmytro YarmolinDORA – Digital Operational Resilience Act