NIS-2-Richtlinie: Wer betroffen ist und welche Anforderungen jetzt gelten

Cyberangriffe auf Unternehmen und Behörden in Deutschland nehmen weiter zu; der BSI-Lagebericht 2025 beschreibt eine anhaltend angespannte IT-Sicherheitslage mit wachsenden Angriffsflächen und steigender Professionalität der Angreifer. Mit der NIS-2-Richtlinie (EU) 2022/2555 und dem deutschen NIS-2-Umsetzungsgesetz (NIS2UmsuCG) wird Cybersicherheit für viele Organisationen zum verbindlichen gesetzlichen Rahmen.

Dieser Beitrag zeigt, wer von NIS-2 betroffen ist, welche Anforderungen jetzt gelten und wie sich Unternehmen sinnvoll darauf vorbereiten können.

TL;DR – das Wichtigste in Kürze:

• Warum NIS-2? NIS-2 ist die überarbeitete EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen und reagiert auf die deutlich verschärfte Cyber-Bedrohungslage.

• Wer ist von der NIS-2-Richtlinie betroffen? Vor allem mittelgroße und große Organisationen in hochkritischen und kritischen Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitaler Infrastruktur und digitalen Diensten.

• Was sind die Kernanforderungen von NIS-2? Die Richtlinie definiert klare Vorgaben für Cybersicherheit, unter anderem zu Risikoanalyse, Lieferkettensicherheit, Kryptografie, Cyber-Hygiene und Meldewegen bei Sicherheitsvorfällen.

• Aktueller Stand? Das deutsche NIS-2-Umsetzungsgesetz ist beschlossen und am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Es tritt am Tag nach der Verkündung in Kraft.

• Was bedeutet NIS-2 in der Praxis? Organisationen müssen prüfen, ob sie unter NIS-2 fallen, ihr Sicherheitsniveau analysieren und nachschärfen, Meldewege und Zuständigkeiten festlegen.

Warum NIS-2?

NIS-2 ist die überarbeitete EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen, die den bisherigen gesetzlichen Rahmen an die aktuelle Bedrohungslage und den Stand der Digitalisierung anpasst. Sie ist nicht grundlegend neu, sondern baut auf der ersten NIS-Richtlinie von 2016 auf.

Die alte NIS-Richtlinie war dabei der Startpunkt für ein gemeinsames Cybersicherheitsniveau in der EU. In der Praxis zeigte sich jedoch: Die Umsetzung in den Mitgliedstaaten war sehr unterschiedlich, viele Unternehmen fielen gar nicht unter den Anwendungsbereich und Cyberangriffe sind gleichzeitig deutlich häufiger und professioneller geworden.

Die NIS-2-Richtlinie schärft den Rahmen jetzt nach. Sie reagiert auf eine dauerhaft angespannte Bedrohungslage, stärkere Vernetzung und neue Angriffsvektoren – etwa über Lieferketten oder digitale Dienste. Ziel ist es, Cybersicherheit verbindlicher, breiter und einheitlicher zu regeln: mit einem klaren Mindestniveau an Schutzmaßnahmen, einem erweiterten Kreis betroffener Sektoren und Einrichtungen sowie schärferen Vorgaben für Aufsicht, Meldepflichten und Managementverantwortung.

Kurz gesagt: NIS-2 soll sicherstellen, dass zentrale Dienste und Lieferketten in Europa auch unter hohem Cyberdruck verlässlich funktionieren – und dass Cybersicherheit nicht mehr freiwillig und „nice-to-have“ ist, sondern verbindlicher Standard.

Wer ist von der NIS-2-Richtlinie betroffen?

Die alte NIS-Richtlinie betraf vor allem Betreiber kritischer Anlagen. NIS-2 geht deutlich weiter: Neben klassischen KRITIS werden nun auch „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ reguliert. So will man den steigenden Bedrohungen im digitalen Raum gerecht werden.

Damit geraten viele Unternehmen in den Fokus, die sich bislang nicht als kritisch eingestuft haben – gerade im Mittelstand.

Zu den Sektoren, in denen Unternehmen in der Regel als besonders wichtige Einrichtungen eingestuft werden, gehören unter anderem:

• Energie (Strom, Gas, Öl, Fernwärme)

• Transport und Verkehr (Luft, See, Schiene, Straße)

• Banken und Finanzmarktinfrastrukturen

• Gesundheitswesen (Krankenhäuser, Labore, Hersteller kritischer Produkte)

• Trinkwasser und Abwasser

• Digitale Infrastruktur (DNS-Dienste, Rechenzentren, Cloud)

• Zentrale öffentliche Verwaltung

• Weltraum

Als wichtige Einrichtungen gelten zum Beispiel Unternehmen aus folgenden Bereichen:

• Post- und Kurierdienste

• Abfallwirtschaft

• Herstellung bestimmter kritischer Produkte (z. B. Chemie, Medizintechnik, Elektronik, Maschinen)

• Digitale Dienste (z. B. Online-Marktplätze, Suchmaschinen, Cloud-Dienste)

• Forschungseinrichtungen (in kritischen Bereichen)

Größenkriterien: Wer fällt typischerweise unter NIS-2?

Ob ein Unternehmen als besonders wichtig oder wichtig gilt, hängt immer von zwei Faktoren ab:

1. In welchem Sektor ist das Unternehmen tätig?

2. Wie groß ist das Unternehmen? (Mitarbeiter, Umsatz, Bilanzsumme)

Die NIS-2-Richtlinie knüpft dabei an die EU-Definition für mittlere und große Unternehmen an:

• Mittelgroße Unternehmen:

  • mindestens 50 Mitarbeiter

  • und mindestens 10 Millionen Euro Jahresumsatz oder Bilanzsumme

• Große Unternehmen:

  • mindestens 250 Mitarbeiter

  • und mindestens 50 Millionen Euro Jahresumsatz oder 43 Millionen Euro Bilanzsumme

Vereinfacht gilt:

• Ist ein mittelgroßes oder großes Unternehmen in einem hochkritischen Sektor (siehe Anlage 1 zu NIS-2) tätig, wird es in der Regel als besonders wichtige Einrichtung eingestuft.

• Ist es in einem kritischen Sektor (siehe Anlage 2) tätig, zählt es in der Regel als wichtige Einrichtung.

Zusätzlich gibt es einige Sonderfälle, die unabhängig von der Größe erfasst werden – etwa bestimmte Anbieter digitaler Infrastrukturen oder Vertrauensdienste. Behörden in Bereichen nationale Sicherheit, Verteidigung, Strafverfolgung sind von NIS-2 explizit ausgenommen.

Wie viele Einrichtungen sind in Deutschland betroffen?

Mit Umsetzung der NIS-2-Richtlinie steigt die Zahl der regulierten Einrichtungen in Deutschland nach Regierungsangaben von rund 4.500 (alte KRITIS-Logik) auf etwa 29.000 bis 30.000 Unternehmen und Behörden.

💡 Wichtig: Unternehmen müssen ihre Betroffenheit selbst prüfen – es gibt keinen flächendeckenden „NIS-2-Bescheid per Post“. Das BSI bietet hier als Hilfestellung unter anderem eine Möglichkeit zur Selbsteinschätzung online und umfassende FAQs zum Thema.

Welche zentralen Anforderungen stellt NIS-2?

Für betroffene Organisationen definiert die NIS-2-Richtlinie konkrete Mindestanforderungen an Cybersicherheit und Risikomanagement. Im Kern geht es um folgende Komponenten:

• Richtlinien zur Risikoanalyse und Informationssicherheit: Klare Regeln, wie Risiken für Netz- und Informationssysteme erkannt, bewertet und behandelt werden und wie Informationssicherheit gesteuert wird.

• Bewältigung von Sicherheitsvorfällen (Incident Handling): Verfahren zur Erkennung, Meldung, Analyse, Eindämmung und Nachbearbeitung von Sicherheitsvorfällen.

• Business Continuity und Krisenmanagement: Vorkehrungen, damit kritische Geschäftsprozesse auch bei Störungen schnell wieder funktionsfähig sind (Backups, Wiederanlaufpläne, Krisenkommunikation).

• Sicherheit in der Lieferkette: Berücksichtigung von Cybersicherheitsanforderungen in Verträgen und Prozessen mit Dienstleistern und Lieferanten, insbesondere beim Datenaustausch.

• Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen: Vorgaben für sichere Beschaffung, Entwicklung und Pflege von Systemen, inklusive strukturiertem Umgang mit Schwachstellen („Security by Design and Default“).

• Bewertung der Wirksamkeit von Sicherheitsmaßnahmen: Regelmäßige Überprüfung, ob die eingeführten Cybersicherheits- und Risikomanagementmaßnahmen den gewünschten Schutz tatsächlich erreichen.

• Grundlegende Cyber-Hygiene und Cybersicherheitsschulungen: Etablierung sicherer Routinen im Alltag (z. B. Updates, Passwörter) und laufende Schulung der Mitarbeiter zu Cyberrisiken.

• Regelungen zum Einsatz von Kryptographie: Richtlinien zur Nutzung von Kryptografie und Verschlüsselung, um Vertraulichkeit und Integrität sensibler Daten „in transit“ und „at rest“ zu gewährleisten.

• Personalsicherheit, Zugriffssteuerung und Asset Management: Maßnahmen zur Zuverlässigkeit in sicherheitskritischen Funktionen, klare Rollen- und Berechtigungskonzepte sowie strukturierte Verwaltung der relevanten Systeme und Informationswerte.

• Starke Authentifizierung und sichere Kommunikation: Einsatz starker Authentifizierungsverfahren (z. B. MFA) und Absicherung von Sprach-, Video- und Textkommunikation, einschließlich interner Notfallkommunikation.

Außerdem ergeben sich weitere zentrale Pflichten aus der NIS-2-Richtlinie:

• Umfangreiche Meldepflichten bei Sicherheitsvorfällen: Stufenweise und fristgebundene Meldung (z. B. erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden) an zuständige Behörden sowie Information betroffener Kunden und Nutzer.

• Aufsicht, Dokumentation und Managementverantwortung: Erweiterte Befugnisse der Aufsichtsbehörden, Nachweispflichten für Unternehmen und die ausdrückliche Verantwortung der Geschäftsleitung für Cybersicherheit und Risikomanagement.

Fristen und aktueller Stand der Umsetzung

(Stand: 05. Dezember 2025)

Auf EU-Ebene ist die NIS-2-Richtlinie (EU) 2022/2555 bereits seit dem 16. Januar 2023 in Kraft und seit 18. Oktober 2024 anwendbar. Sie hat die ursprüngliche NIS-Richtlinie von 2016 abgelöst und bildet den verbindlichen Rahmen für ein einheitliches Cybersicherheitsniveau in der EU.

In Deutschland erfolgt die Umsetzung über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Das Bundeskabinett hat den Gesetzentwurf im Juli 2025 beschlossen, der Bundestag hat das Gesetz am 13. November 2025 verabschiedet, der Bundesrat am 21. November 2025 zugestimmt.

Am 5. Dezember 2025 wurde das Gesetz im Bundesgesetzblatt veröffentlicht. Es tritt am Tag nach der Verkündung in Kraft.

Für Unternehmen bedeutet das:

• Der europäische Rahmen steht, die alte NIS-Richtlinie ist abgelöst.

• Die konkreten Pflichten in Deutschland (etwa zu Risikomanagement, Meldewegen und Aufsicht) greifen mit Inkrafttreten des NIS2UmsuCG.

• Für die technischen und organisatorischen NIS-2-Anforderungen sind keine langen Übergangsfristen vorgesehen – sie gelten im Wesentlichen ab Geltung des Gesetzes. Für einzelne Punkte, wie die Registrierung beim BSI, sind gestaffelte Fristen von einigen Monaten vorgesehen.

Kurz gesagt: Das NIS-2-Umsetzungsgesetz in Deutschland ist ab 6. Dezember 2025 formal in Kraft und die inhaltlichen Leitplanken sind klar – wer betroffen ist, sollte jetzt anfangen, die eigenen Sicherheitsmaßnahmen an den NIS-2-Standards auszurichten.

Was bedeutet NIS-2 praktisch für Unternehmen?

NIS-2 ist geltendes Recht und sorgt dafür, dass Cybersicherheit verbindlich geregelt wird. Mit konkreten Anforderungen an Risikomanagement, Prozesse und Technik. Für betroffene Unternehmen und Behörden heißt das, sie müssen ihre Umsetzung jetzt aktiv vorbereiten.

• Cyberkriminalität kennt keine Fristen: Die Bedrohungslage bleibt hoch. Mindeststandards nach NIS-2 reduzieren nicht nur regulatorisches Risiko, sondern vor allem die Chance, dass Ransomware, Datendiebstahl oder Lieferkettenangriffe den Betrieb lahmlegen.

• Umsetzung der Maßnahmen braucht Vorlauf: NIS-2 betrifft Governance, Prozesse, Technik und Schulungen. Diese Themen lassen sich nicht ad hoc schließen – wer erst bei Inkrafttreten anfängt, gerät schnell unter Zeitdruck.

• Wettbewerbsvorteil durch Compliance: Nachweisbare Cybersicherheit wird zunehmend zum Entscheidungskriterium in Ausschreibungen und Partnerschaften. Unternehmen, die NIS-2 professionell angehen, punkten bei Kunden und in regulierten Lieferketten.

Vorbereitungen treffen: 3 wichtige Schritte

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) sagt klar, dass Vorbereitung vor der ersten Prüfung entscheidend ist. Deshalb empfehlen wir jetzt drei konkrete Schritte:

1. Betroffenheit und Umfang klären: Prüfen Sie anhand von Sektor, Unternehmensgröße und Rolle in der Lieferkette, ob Sie betroffen sind – und ordnen Sie sich, falls ja, als „wichtig“ oder „besonders wichtig“ ein.

2. Kritische Prozesse zuerst absichern: Identifizieren Sie Schwachstellen in Ihrer IT-Sicherheit und fokussieren Sie sich vor allem auf Abläufe, bei denen Daten das Unternehmen verlassen oder viele Externe beteiligt sind.

3. Meldewege und Nachweise sauber aufstellen: Legen Sie Zuständigkeiten, Kommunikationskanäle und technische Belege fest, damit die kurzen Fristen im Ernstfall realistisch einzuhalten sind.

Was passiert, wenn NIS-2-Vorgaben nicht eingehalten werden?

Die Wahrheit ist: Das Risiko, Opfer eines Cyberangriffs zu werden, war nie größer. Alleine deshalb macht es schon Sinn, sich mit den NIS-2-Vorgaben auseinanderzusetzen.

Zusätzlich ist auch mit finanziellen Sanktionen zu rechnen, wenn die Richtlinie nicht eingehalten wird: Für besonders wichtige Einrichtungen sieht NIS-2 Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent vor – jeweils der höhere Betrag.

Wie FTAPI bei der NIS-2-Umsetzung unterstützt

FTAPI ist ein direkt nutzbarer Baustein, mit dem Sie zentrale Maßnahmen im Bereich Risikomanagement nachweislich umsetzen können: 

• Sicherer Datenaustausch als Teil der Risikobehandlung: Daten werden immer verschlüsselt übertragen und abgelegt, optional auch Ende-zu-Ende-verschlüsselt; Uploads werden vorab auf schädliche Inhalte geprüft.

• Starke Absicherung der Lieferkette: Partner und Zulieferer arbeiten über sichere Datenräume, verschlüsselten Ad-hoc-Versand und geschützte Input-Kanäle; digitale Prozesse lassen sich zentral abbilden und automatisieren.

• Konsequente Cyber-Hygiene: Versandregeln sowie Rollen- und Rechtekonzepte reduzieren Datenabfluss und Schatten-IT. 

• Vorgaben zu Kryptografie und MFA erfüllt: BSI-konforme Verschlüsselung, 2-Faktor-Authentifizierung und SSO sind verfügbar.

• Gesicherte Notfallkommunikation: Bei Bedarf steht ein unabhängiger, verschlüsselter Kommunikationskanal bereit.

Fazit: NIS-2 als Rahmen für verbindliche Cybersicherheit

NIS-2 setzt einen klaren Rahmen dafür, wie Unternehmen und Behörden ihre Informationssicherheit organisieren sollen: mit definierten Zuständigkeiten, nachvollziehbaren Prozessen und überprüfbaren technischen Maßnahmen. Cybersicherheit wird damit von der freiwilligen Best Practice zur verbindlichen Managementaufgabe.

Organisationen, die ihre Betroffenheit klären, Risiken systematisch bewerten und zentrale Anforderungen wie Risikomanagement, sicheren Datenaustausch, Meldewege und Schulungen strukturiert umsetzen, erhöhen ihre Widerstandsfähigkeit gegenüber Angriffen und vermeiden unnötige Hektik bei Prüfungen oder Vorfällen.

So wird NIS-2 zum zentralen Orientierungspunkt: für ein belastbares Sicherheitsniveau, transparente Verantwortlichkeiten und tragfähige digitale Geschäftsbeziehungen.

Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information zu NIS-2 und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu Ihren individuellen Pflichten wenden Sie sich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.