Welche Hauptanforderungen umfasst NIS-2?

Die Hauptanforderungen umfassen: Risikomanagementmaßnahmen: Unternehmen müssen geeignete und verhältnismäßige technische und organisatorische Maßnahmen zur Risikominderung ergreifen. Meldepflicht bei Vorfällen: Unternehmen sind verpflichtet, Cyberattacken und ernsthafte Cybersicherheitsvorfälle zu melden. Sicherheitsanforderungen für Lieferketten: Unternehmen müssen die Cybersicherheit in ihrer Lieferkette sicherstellen. Dies geht Hand in Hand mit dem Lieferkettengesetz . Supervision und Sanktionen: Die Regelung führt strengere Aufsichtsmaßnahmen und höhere Strafen für Nichteinhaltung ein. Cyber Security wird dabei ausdrücklich zur Managementaufgabe.

NIS-2

Q: Was ist NIS-2?

NIS-2 ist die Abkürzung für „Network and Information Security Directive 2“, also für die zweite Richtlinie der EU über die Sicherheit von Netz- und Informationssystemen . Sie baut auf der ersten NIS-Richtlinie von 2016 auf und erweitert deren Anforderungen an Cybersicherheit und Meldepflichten. Außerdem legt sie neu fest, welche Unternehmen als besonders wichtige oder wichtige Einrichtungen gelten und die Mindestanforderungen erfüllen müssen. Ziel ist es, ein hohes gemeinsames Cybersicherheitsniveau und mehr Cyber-Resilienz in der EU zu schaffen. Die Richtlinie verpflichtet die EU-Mitgliedstaaten, entsprechende nationale Gesetze zu erlassen. In Deutschland geschieht dies durch das NIS-2-Umsetzungsgesetz , das der Deutsche Bundestag am 13. November 2025 beschlossen hat; der Bundesrat hat am 21. November 2025 zugestimmt.

Q: Welchen Zweck und Bedeutung hat NIS-2?

Ziel der NIS-2-Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau und mehr Cyber-Resilienz in der EU zu schaffen. Die Richtlinie verpflichtet die EU-Mitgliedstaaten, entsprechende nationale Gesetze zu erlassen.

Q: Welche Sanktionen drohen bei Nichteinhaltung von NIS-2?

Bei Verstößen gegen NIS-2 drohen finanzielle Sanktionen , deren genaue Höhe im jeweiligen nationalen Umsetzungsgesetz festgelegt ist. Für besonders wichtige Einrichtungen sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes vorgesehen (je nachdem, welcher Betrag höher ist). Zusätzlich können Aufsichtsbehörden Anordnungen treffen (z. B. Nachrüstungen verlangen) und in der Praxis entstehen bei Sicherheitsvorfällen oft hohe indirekte Kosten durch Ausfallzeiten, Reputationsschäden und Wiederherstellungsaufwand.

Was ist NIS-2? Definition und Bedeutung

NIS-2 ist die Abkürzung für „Network and Information Security Directive 2“, also für die zweite Richtlinie der EU über die Sicherheit von Netz- und Informationssystemen. Sie baut auf der ersten NIS-Richtlinie von 2016 auf und erweitert deren Anforderungen an Cybersicherheit und Meldepflichten. Außerdem legt sie neu fest, welche Unternehmen als besonders wichtige oder wichtige Einrichtungen gelten und die Mindestanforderungen erfüllen müssen. Ziel ist es, ein hohes gemeinsames Cybersicherheitsniveau und mehr Cyber-Resilienz in der EU zu schaffen.

Die Richtlinie verpflichtet die EU-Mitgliedstaaten, entsprechende nationale Gesetze zu erlassen. In Deutschland geschieht dies durch das NIS-2-Umsetzungsgesetz, das der Deutsche Bundestag am 13. November 2025 beschlossen hat; der Bundesrat hat am 21. November 2025 zugestimmt. Am 5. Dezember 2025 wurde das Gesetz final im Bundesgesetzblatt veröffentlicht. Damit ist NIS-2 in Deutschland ab 6. Dezember 2025 in Kraft.

Anwendungsbereich der NIS-2-Richtlinie

Die vorherige NIS-Richtlinie hat sich nur auf Betreiber kritischer Anlagen (KRITIS) fokussiert. Mit der aktualisierten NIS-2-Richtlinie werden nun zusätzlich noch mehr Unternehmen und Organisationen als besonders wichtige und wichtige Einrichtungen eingestuft.

Zur Umsetzung verpflichtet sind in der Regel mittelgroße und große Unternehmen in insgesamt 18 Sektoren, die entweder mindestens 50 Mitarbeiter haben oder sowohl einen Jahresumsatz als auch eine Jahresbilanzsumme von mehr als 10 Millionen Euro erreichen. Zusätzlich werden bestimmte Einrichtungen unabhängig von ihrer Größe erfasst.

Zu den betroffenen Sektoren gehören unter anderem:

IT-Dienste und Telekommunikation
Gesundheitswesen
Bank- und Finanzwesen
Transport
Energie
Lebensmittel
Öffentliche Verwaltung

Was sind die wichtigsten NIS-2-Anforderungen?

NIS-2 definiert keine einzelnen Maßnahmen, sondern Pflichten zum Risikomanagement und zur Meldung von Sicherheitsvorfällen. Kernelemente der Richtlinie sind:

Risikomanagementmaßnahmen: Unternehmen müssen geeignete und verhältnismäßige technische und organisatorische Maßnahmen zur Risikominderung ergreifen.
Meldepflicht bei Vorfällen: Unternehmen sind verpflichtet, Cyberattacken und ernsthafte Cybersicherheitsvorfälle zu melden.
Sicherheitsanforderungen für Lieferketten: Unternehmen müssen die Cybersicherheit in ihrer Lieferkette sicherstellen. Dies geht Hand in Hand mit dem Lieferkettengesetz.
Supervision und Sanktionen: Die Regelung führt strengere Aufsichtsmaßnahmen und höhere Strafen für Nichteinhaltung ein. Cyber Security wird dabei ausdrücklich zur Managementaufgabe.

Ist Ihr Unternehmen bereits "NIS-2 ready"?

Lesen Sie in unserem Blog, wie die Umsetzung der NIS-2-Richtlinie zum neuen Gütesiegel für Cybersecurity und Wettbewerbsvorteil werden kann.

Jetzt lesen

Welche Sanktionen drohen bei Nichteinhaltung von NIS-2?

Bei Verstößen gegen NIS-2 drohen finanzielle Sanktionen, deren genaue Höhe im jeweiligen nationalen Umsetzungsgesetz festgelegt ist. Für besonders wichtige Einrichtungen sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes vorgesehen (je nachdem, welcher Betrag höher ist).

Zusätzlich können Aufsichtsbehörden Anordnungen treffen (z. B. Nachrüstungen verlangen) und in der Praxis entstehen bei Sicherheitsvorfällen oft hohe indirekte Kosten durch Ausfallzeiten, Reputationsschäden und Wiederherstellungsaufwand.

NIS-2-Compliance mit FTAPI

Die FTAPI Plattform kann betroffene Unternehmen dabei unterstützen, zentrale NIS-2-Anforderungen an sicheren Datenaustausch und Kommunikation umzusetzen.

Daten lassen sich mit FTAPI durchgängig verschlüsselt übertragen und speichern, optional auch Ende-zu-Ende-verschlüsselt. Uploads lassen sich vorab auf schädliche Inhalte prüfen und der Austausch mit Partnern erfolgt über geschützte Datenräume, Ad-hoc-Versand und sichere Input-Kanäle.

Rollen- und Rechtekonzepte, BSI-konforme Verschlüsselung, MFA sowie ein optionaler Notfallkommunikationskanal helfen, Cyber-Hygiene, Kryptografie-Vorgaben und Lieferkettensicherheit im Sinne von NIS-2 nachweisbar abzudecken.

Hinweis: Dieser Beitrag dient ausschließlich der allgemeinen Information zu NIS-2 und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu Ihren individuellen Pflichten wenden Sie sich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.

Mehr Informationen zu FTAPI und NIS-2.

Auf unserer Übersichtsseite erfahren Sie, wie sicherer Datenaustausch einfach und NIS-2-konform umgesetzt werden kann.

Mehr erfahren

Allgemein

Produkte

SecuFlows Advanced

FTAPI erweitert seine Plattform um S/MIME

Branchen

Anwendungsfälle

FTAPI Use Case Finder: Automatisierung leicht gemacht

NIS-2-Richtlinie: Mehr Sicherheit für den europäischen Cyberraum.

Ressourcen

FTAPI Secure Data Report 2025

Erfolgsgeschichte

Über FTAPI

Karriere

CPT2026: Cybersicherheit neu denken

FTAPI Diaries: Vier Menschen, ein großer Impact