NIS-2 und Cybersicherheit

Wer jetzt unter die NIS-2-Pflichten fällt

Die Richtlinie betrifft Unternehmen aus 18 Sektoren, die in der EU tätig sind oder dort Dienstleistungen anbieten. Neben klassischen KRITIS-Betreibern fallen auch viele mittelständische Betriebe unter die neuen Regelungen.

Schwellenwerte:

• 50 Beschäftigte und 10 - 50 Mio. EUR Umsatz oder bis 43 Mio. EUR Bilanzsumme

• 50 - 250 Beschäftigte und bis 50 Mio. EUR Umsatz und 10 - 43 Mio. EUR Bilanzsumme

• Mind. 250 Beschäftigte oder mind. 50 Mio. EUR Umsatz und mind. 43 Mio. EUR Bilanzsumme

Unternehmen werden in diese Kategorien eingeteilt:

Besonders wichtige Einrichtungen

• Betreiber kritischer Anlagen (KRITIS) gelten als „besonders wichtige Einrichtungen“.

• Einrichtungen z. B. für Domains, DNS, qualifizierte Vertrauensdienste, größere Telekommunikationsanbieter.

• Einrichtungen ab 50 Beschäftigte oder mit mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme, die in den Sektoren 1 (Einrichtungen mit hoher Kritikalität) und 2 (sonstige kritische Sektoren) tätig sind.

Wichtige Einrichtungen

• Einrichtungen ab 250 Beschäftigte oder mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme, die in dem Sektor 1 tätig sind.

Sonstige Einrichtungen (Unabhängig der Größe)

• Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten

• Vertrauensdienstanbieter

• TLD-Namensregistrierungen und DNS-Dienstanbieter (außer Betreiber von Root-Namenservern)

• Alleinige Anbieter, die essenziell für Gesellschaft und Wirtschaft sind

• Einrichtungen, deren Ausfall einen großen Effekt auf öffentliche Ordnung, Sicherheit oder Gesundheit hätte

• Einrichtungen, deren Ausfall zu einem Systemrisiko mit grenzübergreifenden Folgen führen könnte

• Einrichtungen, die wegen spezieller nationaler oder regionaler Wichtigkeit kritisch sind

• Vom EU-Mitgliedstaat definierte Einrichtung der öffentlichen Verwaltung der Zentralregierung oder kritische Einrichtung der öffentlichen Verwaltung auf regionaler Ebene

• Kritische Infrastrukturen gemäß Richtlinie (EU) 2022/2557

• Einrichtungen, die Domänennamenregistrierungsdienste erbringen

• Zusätzlich gilt die neue Richtlinie indirekt auch für Dienstleister und Lieferanten von betroffenen Einrichtungen.

Sektoren mit hoher Kritikalität

• Energie (Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas und Wasserstoff)

• Verkehr (Luftverkehr, Schienenverkehr, Schiffart, Straßenverkehr (Behörden)

• Bankwesen

• Finanzmarktinfrastrukturen

• Gesundheitswesen

• Trinkwasser

• Abwasser

• Digitale Infrastruktur

• Verwaltung von IKT-Diensten

• Öffentliche Verwaltung

• Weltraum

Sonstige kritische Sektoren

• Post- und Kurierdienste

• Abfallbewirtschaftung

• Produktion, Herstellung und Handel mit chemischen Stoffen

• Verarbeitendes Gewerbe/Herstellung von Waren (Herstellung von Medizinprodukten und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen und sonstiger Fahrzeugbau)

• Anbieter digitaler Dienste

• Forschung

Auch Dienstleister und Lieferanten kritischer Einrichtungen sind indirekt betroffen – ein Zusammenhang, der zunehmend auch im Rahmen der EU-Lieferkettenrichtlinie (CS3D) an Bedeutung gewinnt.

Zentrale Pflichten nach NIS-2

Die Richtlinie schreibt eine ganze Reihe organisatorischer und technischer Maßnahmen vor, darunter:

• Identifizierung und Registrierung kritischer Dienstleistungen, Anlagen oder Komponenten beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

• Einrichtung einer rund um die Uhr erreichbaren Kontaktstelle

• Meldepflicht für Sicherheitsvorfälle

  • Erstmeldung innerhalb von 24 Stunden nach Kenntnis der Störung

  • Bestätigung innerhalb von 72 Stunden nach Kenntnis der Störung

  • Optionale Zwischenmeldungen

  • Abschlussmeldung innerhalb von 30 Tagen nach der Bestätigung

• Einführung eines Informationssicherheitsmanagementsystems (ISMS) für das Management von Cyberrisiken.  Als Standards für das Risikomanagement dienen beispielsweise die ISO 3100 oder ISO 27005, oder der BSI-Standard 200-3.

• Business Continuity Management (BCM) und IT-Notfallmanagement nach geeigneten Standards. Beispielsweise dem BSI-Standard 200-4.

• KRITIS-Management: Betroffene Organisationen sollten eine zentrale Koordinierung, Steuerung und Kontrolle der Pflichten zu NIS-2 einrichten.

• Lieferantenmanagement zur Bewertung von Risiken in der Lieferkette

• Angriffserkennungssysteme und Maßnahmen nach dem Stand der Technik

Ein Jahr nach NIS-2 – erste Lehren

Viele Unternehmen arbeiten auch 2025 noch an der vollständigen Umsetzung ihrer ISMS-Strukturen. Die Aufsichtsbehörden haben angekündigt, ab 2026 verstärkt zu prüfen.
Unternehmen sollten daher 2025 nutzen, um interne Audits durchzuführen und Schwachstellen zu beheben, bevor Sanktionen drohen.

ISMS als Pflicht und Chance

Ein ISMS ist mehr als eine gesetzliche Vorgabe. Es ist ein strategisches Instrument, um Cyberrisiken zu erkennen und zu steuern.
Die zuverlässige Einführung dauert zusammen mit der Zertifizierung in der Regel 15 bis 36 Monate. Wer jetzt noch am Anfang steht, sollte pragmatisch vorgehen:

• Mit einer eingeschränkten ISMS-Ausbaustufe starten (z. B. BSI-Standard 200-3)

• Zunächst Kernprozesse oder kundenrelevante Bereiche abdecken

• Später schrittweise erweitern und zertifizieren

Ein funktionierendes ISMS ist zudem Teil einer ganzheitlichen Compliance-Struktur.
Es unterstützt nicht nur beim Datenschutz, sondern auch bei Nachweispflichten aus der Lieferkettenrichtlinie (CS3D) und hilft, Datenschutzvorfälle frühzeitig zu erkennen und zu melden.

Umsetzung und Zertifizierung

Der typische Einführungsprozess folgt dem PDCA-Zyklus (Plan – Do – Check – Act):

1. Planen: ISMS-Richtlinie und Verantwortlichkeiten festlegen

2. Umsetzen: Assets identifizieren, Risiken bewerten, Maßnahmen umsetzen

3. Überprüfen: Wirksamkeit regelmäßig auditieren

4. Handeln: Systeme verbessern und dokumentieren

Nach dem ersten vollständigen Zyklus ist eine Zertifizierung sinnvoll.
Sie erfolgt meist zweistufig (Dokumentenprüfung + Audit vor Ort) und gilt drei Jahre – mit jährlichen Zwischenprüfungen.

Fazit

Die NIS-2-Richtlinie ist längst gelebte Pflicht. Informationssicherheit ist keine Vorbereitung mehr, sondern ein kontinuierlicher Prozess. Unternehmen, die jetzt handeln, klare Zuständigkeiten schaffen und ihre Systeme regelmäßig prüfen, sichern nicht nur die Einhaltung gesetzlicher Vorgaben, sondern stärken auch ihre Resilienz, Wettbewerbsfähigkeit und Kundenvertrauen.

Das könnte Sie auch interessieren

• Technisch-Organisatorische Maßnahmen – TOM Teil 1

• Technisch-Organisatorische Maßnahmen – TOM Teil 2

• Datenschutzvorfall Meldepflicht

Autor: Markus Vatter, Head of Compliance, 25.02.2026