NIS 2 (Netz- und Informationssicherheit) – Definition und Richtlinie
Die NIS-2-Richtlinie ist ein zentraler Pfeiler der europäischen Cybersecurity-Strategie und markiert einen bedeutenden Fortschritt in der Sicherung der digitalen Infrastruktur innerhalb der Europäischen Union. Im Vergleich zur ursprünglichen NIS-Richtlinie bringt NIS 2 weitreichendere Anforderungen, strengere Aufsichtsmaßnahmen und einen deutlich erweiterten Kreis an betroffenen Unternehmen mit sich. Ziel dieser EU-Gesetzgebung ist es, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Union zu gewährleisten und die Widerstandsfähigkeit gegenüber den stetig wachsenden Bedrohungen im Cyberraum zu stärken.
Was ist die NIS-2-Richtlinie?
Hinter dem Kürzel NIS 2 verbirgt sich die Richtlinie (EU) 2022/2555. In Deutschland wurde diese durch das NIS-2-Umsetzungsgesetz (unter anderem Anpassungen im BSIG) konkretisiert, welches seit dem 06. Dezember 2025 offiziell in Kraft ist. Während der Cyber Resilience Act (CRA) oder die Verordnung (EU) 2024/2847 primär die Sicherheit von Produkten fokussiert, die ab dem 11. Dezember 2027 vollumfänglich konform sein müssen, konzentriert sich NIS 2 auf die Resilienz der Organisationen und deren kritischen Geschäftsprozesse.
Die Richtlinie verpflichtet Unternehmen dazu, technische und organisatorische Maßnahmen zu ergreifen, um Sicherheitsrisiken zu beherrschen und die Auswirkungen von Vorfällen zu minimieren. Damit reagiert die EU auf den digitalen Wandel und die Tatsache, dass die Sicherheit einzelner Akteure direkte Auswirkungen auf die gesamte europäische Wirtschaft und Gesellschaft hat.
Die zentralen Ziele der NIS 2
Die Hauptziele der Richtlinie lassen sich in drei Kernbereiche zusammenfassen:
- Erhöhung der Cyber-Resilienz: Unternehmen müssen Mindeststandards implementieren, um Angriffe abzuwehren und im Ernstfall die Betriebskontinuität zu wahren.
- Harmonisierung innerhalb der EU: Durch einheitliche Vorgaben wird vermieden, dass innerhalb des Binnenmarktes unterschiedliche Sicherheitsniveaus existieren, was die Sicherheit der gesamten Lieferkette stärkt.
- Verbesserte Reaktionsfähigkeit: Strengere Meldepflichten sorgen dafür, dass Sicherheitsvorfälle zeitnah an nationale Behörden gemeldet werden, was eine koordinierte Abwehr auf EU-Ebene ermöglicht.
Wer ist betroffen? Sektoren und Schwellenwerte
Ein wesentliches Merkmal der NIS-2-Richtlinie ist die Ausweitung des Anwendungsbereichs. Es wird zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen unterschieden. Die Einteilung erfolgt primär nach Sektoren und Unternehmensgröße:
| Sektor-Kategorie | Beispiele |
| Sektoren besonders wichtiger Einrichtungen | Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, Digitale Infrastruktur |
| Sektoren wichtiger Einrichtungen | Post- und Kurierdienste, Abfallbewirtschaftung, Lebensmittelproduktion, Verarbeitendes Gewerbe (z. B. Maschinenbau) |
Grundsätzlich sind alle mittleren und großen Unternehmen in diesen Sektoren betroffen (ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz). Damit rückt die Cybersicherheit auch für viele mittelständische Betriebe in den Fokus, die bisher nicht unter die KRITIS-Regulierungen fielen.
Wichtige Änderungen und die Haftung der Geschäftsführung
Im Vergleich zur alten NIS-1-Richtlinie wurden die Daumenschrauben deutlich angezogen. Besonders kritisch für die Führungsebene ist die Haftung der Geschäftsführung. Vorstände und Geschäftsführer sind nun persönlich dazu verpflichtet, die Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen. Bei Verstößen drohen nicht nur hohe Bußgelder für das Unternehmen, sondern auch persönliche Haftungsrisiken für die Verantwortlichen.
Zusätzlich wurden die Anforderungen an das Schwachstellenmanagement und die Sicherheit in der Lieferkette verschärft. Hier gibt es enge Synergien zum CRA, da die Meldepflichten für ausgenutzte Sicherheitslücken ab dem 11. September 2026 auch für Produkthersteller verpflichtend werden.
Operationalisierung der NIS-2-Konformität mit d.works
Die Umsetzung der NIS-2-Anforderungen ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Viele Unternehmen stehen vor der Herausforderung, veraltete IT-Strukturen an die neuen Standards anzupassen und die nötige technische Dokumentation zu erstellen.
Unser ganzheitlicher Ansatz ermöglicht es Ihnen, den Fokus auf das Wesentliche zu richten und Ihr Unternehmen regulatorisch belastbar aufzustellen.
Möchten Sie erfahren, wie d.works Sie bei der Umsetzung der NIS-2-Richtlinie unterstützen kann?
https://www.d.works/business-continuity/zertifizierungen/nis2/