NIS-2: Welchen Nutzen bringt es Unternehmen?

Inhaltsverzeichnis: 

1. NIS-2: Worum geht es?
2. Welche Unternehmen und Organisationen sind von NIS-2 betroffen?
3. Welche Anforderungen stellt NIS-2 an betroffene Unternehmen? 
4. Welche Sanktionen drohen bei Nichtbeachtung von NIS-2? 
5. Welchen Nutzen können Unternehmen aus NIS-2 ziehen?
6. Wie sollten von NIS-2 betroffene Unternehmen nun vorgehen?
7. NIS-2: Ist mein Unternehmen betroffen?

1. NIS-2: Worum geht es?

NIS-2 soll die Sicherheit kritischer Infrastrukturen und digitaler Dienste innerhalb der Europäischen Union erhöhen und beinhaltet einige wichtige Verpflichtungen für wesentliche Wirtschaftszweige.
Die Richtlinie zielt weiterhin darauf ab, die Verantwortlichkeit und Haftung für die Sicherheit von Netz- und Informationssystemen zu stärken. Sie soll darüber hinaus sicherstellen, dass Unternehmen – und ihre Führungskräfte – angemessene Maßnahmen zum Schutz dieser Systeme implementieren.

Zum einen beinhaltet die Richtlinie die Verpflichtung zur fristgerechten Meldung schwerwiegender Sicherheitsvorfälle an nationale Behörden. Zum anderen sind die Planung und Umsetzung angemessener Sicherheitsmaßnahmen verpflichtend.
Außerdem soll durch die NIS-2-Richtlinie gewährleistet werden, dass effektive Mechanismen für die Zusammenarbeit eingerichtet werden, die eine Erhöhung der Informationssicherheit ermöglichen. 

2. Welche Unternehmen und Organisationen sind von NIS-2 betroffen?

Während die ursprüngliche NIS-Richtlinie sich primär an die Betreiber kritischer Infrastrukturen richtete, sind mit NIS-2 viel mehr Unternehmen in der EU betroffen. Die Richtlinie zielt auf mittlere und große Unternehmen aus 18 unterschiedlichen Sektoren ab. In Deutschland sind somit besonders viele Unternehmen aus dem Mittelstand betroffen (etwa 29.000-30.000 Unternehmen). 

Wichtig: Unternehmen müssen ihre Betroffenheit selbst prüfen und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. 

Die genaue Zuordnung hängt von verschiedenen Faktoren ab, darunter die folgenden:

• Branche: Bestimmte Branchen wie Energie, Transport, Gesundheitswesen oder Finanzdienstleistungen gelten aufgrund ihrer kritischen Infrastruktur als besonders schützenswert.
• Unternehmensgröße: Unternehmen ab einer bestimmten Anzahl an Mitarbeitenden oder einem bestimmten Umsatz fallen in der Regel unter die NIS-2-Richtlinie.
• Art der Dienstleistungen: Unternehmen, die digitale Dienste anbieten oder von digitalen Diensten abhängig sind, sind ebenfalls betroffen.

Darüber hinaus wird zwischen wesentlichen ("essential") Einrichtungen mit hoher Kritikalität und wichtigen ("important") Einrichtungen unterschieden. In der nachfolgenden Übersicht werden die Unterschiede zwischen den Einrichtungsarten aufgezeigt.

3. Welche Anforderungen stellt NIS-2 an betroffene Unternehmen?

Von der NIS-2-Richtlinie betroffene Unternehmen müssen einige Maßnahmen hinsichtlich der Informationssicherheit umsetzen. Hier ist vor allem das Einrichten von Risiko- und Notfallmanagement ein fundamentaler Bestandteil. Außerdem sollen Unternehmen angemessene Sicherheitstechnologien einsetzen. 

Die zeitnahe Meldepflicht von schwerwiegenden Sicherheitsvorfällen an nationale Behörden ist außerdem ein zentrales Element der Richtlinie. Die NIS-2-Richtlinie differenziert zwischen wesentlichen und wichtigen Einrichtungen. Die Anforderungen sollen dazu dienen, die Sicherheit kritischer Infrastrukturen und digitaler Dienste zu sichern. 

• Proaktives Risikomanagement und Sicherheitsvorkehrungen: Es werden Maßnahmen zur Minimierung der Auswirkungen von Sicherheitsvorfällen gefordert, z. B. durch Cyber-Risikomanagement, Business Continuity Management, Verschlüsselung und Zugriffskontrollen. 
• Meldung von schwerwiegenden Sicherheitsvorfällen: Schwerwiegende Sicherheitsvorfälle müssen zeitnah und umfassend den nationalen Behörden gemeldet werden – schwere Vorfälle (z. B. Datenverlust) müssen innerhalb von 24 Stunden beim BSI gemeldet werden, innerhalb von 72 Stunden muss eine vertiefte Meldung erfolgen, und zum Schluss wird ein Abschlussbericht gefordert. Angemessene Maßnahmen müssen ergriffen werden, um zu reagieren. 
• Kontinuierliche Überprüfung und Aktualisierung: Eine kontinuierliche Überprüfung der Maßnahmen muss erfolgen, um eventuell notwendige Aktualisierungen vorzunehmen. Das Sicherheitsniveau sollte stets auf dem neusten Stand der Technik sein. 
• Zusammenarbeit mit Behörden: Durch eine effektive Zusammenarbeit und einen produktiven Austausch zwischen den Mitgliedsstaaten soll die Cybersicherheit erhöht werden, z. B. durch Kooperations-Gruppen mit Vertretern der nationalen Behörden für Cybersicherheit der Mitgliedstaaten. 
• Verpflichtung auf Prüfung von Lieferketten- und Drittparteiensicherheit: Unternehmen sind durch NIS-2 für die Sicherheit über die gesamte Lieferkette verantwortlich – sie müssen somit auch prüfen, ob Zulieferer bestimmte Mindeststandards erfüllen und eine entsprechende Dokumentation erstellen. Strukturierte Prozesse, Nachweisführung, Dokumentation und Lieferkettenmanagement sind unumgänglich geworden. 

Die NIS-2-Richtlinie wurde im November 2025 durch das NIS-2-Umsetzungsgesetz von der Bundesregierung in Deutschland verabschiedet. Somit ist das Gesetz nicht mehr in der Schwebe – und jegliche Rechte und Pflichten werden hierdurch verbindlich. Übergangsfristen gibt es nicht. 

4. Welche Sanktionen drohen bei Nichtbeachtung von NIS-2?

Sofern Unternehmen gegen die NIS-2-Anforderungen verstoßen und wichtige Maßnahmen nicht ergreifen, werden entsprechend Sanktionen von den Mitgliedsstaaten verhängt. Für "wesentliche" Einrichtungen sind dabei höhere Geldstrafen vorgesehen als für "wichtige Einrichtungen". 

Die Haftungsfrage wurde in der NIS-2-Richtlinie im Gegensatz zur originalen NIS-Richtlinie weiter verschärft. Mitgliedstaaten können angemessene Sanktionen gegen Unternehmen verhängen, die gegen die Bestimmungen verstoßen.

Die Besonderheit daran: Dies kann auch die Haftung der Leitungsebene oder der verantwortlichen Führungskräfte einschließen – dies ist nicht delegierbar. Bei schuldhafter Verletzung der Pflichten sind etwa Geldstrafen oder andere administrative Sanktionen gegen Unternehmen oder bestimmte Führungskräfte denkbar, um sicherzustellen, dass Verstöße gegen die Cybersicherheitsbestimmungen angemessen geahndet werden. Die Obergrenze der Haftung für “wesentliche Einrichtungen” beläuft sich auf bis zu 10 Mio Euro oder 2% des globalen jährlichen Umsatzes eines Unternehmens, je nachdem, was höher ist. Für “wichtige Einrichtungen” reicht der Rahmen bis zu 7 Mio Euro oder 1,4% des weltweiten Umsatzes.

In Deutschland ist das BSI mit der Aufsicht betraut und kann Prüfungen veranlassen oder Strafen aussprechen. 

Wichtig ist somit: Für NIS-2 führt kein Weg an der Geschäftsführung vorbei. IT-Security ist eine Aufgabe auf Board-Level. 

5. Welchen Nutzen können Unternehmen aus NIS-2 ziehen?

Die NIS-2-Richtlinie zwingt Unternehmen zwar zu umfangreichen Maßnahmen, doch genau dadurch steigt das tatsächliche Sicherheitsniveau. Verbindliche Anforderungen an Risikomanagement, Informationssicherheit und Business Continuity führen in der Praxis zu einer stabileren und widerstandsfähigeren IT-Landschaft, die Angriffe besser abfangen kann. 

Gerade in Zeiten zunehmender Cyberrisiken kann dies helfen, um Vertrauen bei Kunden und Partnern schaffen – und damit möglicherweise auch neue Geschäftschancen eröffnen.  

Kurz gesagt: NIS-2 bedeutet nicht nur Compliance, sondern auch Zukunftssicherheit. 

6. Wie sollten von NIS-2 betroffene Unternehmen nun vorgehen?

IT Security wird verpflichtend – und das auf Geschäftsführungsebene. Für viele Unternehmen sind die aus NIS-2 resultierenden Pflichten jedoch eine Herausforderung, und die Formulierungen im Gesetz können mitunter für Verwirrung sorgen. Um Klarheit darüber zu bekommen, an welchen Rahmenwerken sich betroffene Unternehmen orientieren können, ist eine umfassende Beratung von Sicherheitsexpert:innen hilfreich.  

Unser erfahrenes Consulting-Team der netgo und sila consulting steht Ihnen hierbei zur Seite. Der Vorteil unserer Expertise: Wir beraten Unternehmen seit vielen Jahren zum Thema Informationssicherheit und ISMS; jegliche Forderungen aus NIS-2 sind somit Kernelemente unserer Beratungsarbeit. 

7. NIS-2: Ist mein Unternehmen betroffen?

Sind Sie noch unsicher, ob Ihr Unternehmen von NIS-2 betroffen ist und inwiefern die gesetzlichen Anforderungen auf Sie zutreffen? Unser kostenloser NIS-2-Self-Check unterstützt Sie bei der Frage, in welche Kategorie Ihr Unternehmen fällt. Im Anschluss an den NIS-2-Self-Check empfehlen wir Ihnen eine Initialberatung zu NIS-2, um die weiteren Schritte festzulegen.