Die neue NIS-2-Richtlinie verpflichtet deutlich mehr Unternehmen in Deutschland zu umfassenden Cybersicherheitsmaßnahmen.
Dazu gehören unter anderem ein strengeres Risikomanagement, klare Meldewege, Lieferkettenkontrollen sowie technische und organisatorische Schutzmaßnahmen.
NIS2 gilt für Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz, sofern sie in als kritisch oder wichtig eingestuften Sektoren tätig sind.
Die NIS-2-Richtlinie ist die neue EU-Vorgabe für ein einheitlich hohes Niveau der Cybersicherheit. Sie löst die bisherige NIS-Richtlinie ab und reagiert auf die stark gestiegene Bedrohung durch Cyberangriffe sowie Desinformation, Spionage und Sabotage auf Wirtschaft und Verwaltung im digitalen Raum.
Mit NIS-2 sollen kritische und wichtige Dienste in Europa besser geschützt und die Widerstandsfähigkeit von Unternehmen und Behörden deutlich erhöht werden.
Angesichts der zunehmenden digitalen Vernetzung wächst die Bedeutung robuster Cybersicherheitsstrukturen. NIS-2 schafft europaweit vergleichbare Standards und soll verhindern, dass Schwachstellen in einzelnen Ländern oder Unternehmen zu Risiken für ganze Versorgungsketten werden. Die Richtlinie stärkt damit nicht nur die IT-Sicherheit einzelner Betriebe, sondern trägt zur Stabilität und Resilienz der europäischen Wirtschaft insgesamt bei.
Die EU-Richtlinie trat am 16. Januar 2023 in Kraft. Deutschland hat die NIS-2-Richtlinie mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements am 6. Dezember 2025 verabschiedet. Unternehmen haben damit nur einen sehr begrenzten zeitlichen Spielraum und müssen bereits jetzt prüfen, ob sie betroffen sind und welche Maßnahmen sie konkret ergreifen müssen.
Eine der wichtigsten Änderungen: Der Geltungsbereich wird deutlich erweitert. Neben den bereits bekannten „kritischen Einrichtungen“ geraten nun auch viele als „für die Gesellschaft wichtig“ eingestufte Unternehmen in die Pflicht, selbst dann, wenn sie bislang keine besondere regulatorische Rolle hatten. Maßgeblich sind vor allem die Zugehörigkeit zu einem der 18 relevanten Sektoren – darunter Energie, Verkehr, Gesundheit, Finanzwesen, digitale Dienste, Abfallwirtschaft, Chemie und viele weitere – sowie bestimmte Größenkriterien wie mehr als 50 Beschäftigte oder über 10 Millionen Euro Jahresumsatz. Dadurch steigt die Zahl der betroffenen Organisationen in Deutschland auf etwa 30.000.
Ob Ihr Unternehmen von den Änderungen durch die NIS-2-Richtlinie betroffen ist, können Sie in wenigen Schritten mit der NIS-2-Betroffenheitsprüfung, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung stellt, prüfen.
Unternehmen, die unter die NIS-2-Regelungen fallen, müssen künftig umfassendere Anforderungen an ihr Risikomanagement erfüllen. Dazu gehören technische und organisatorische Maßnahmen wie Zugriffskontrollen, Netzwerksicherheit, Notfallpläne, regelmäßige Schulungen ihrer Beschäftigten sowie ein systematisches Management von Lieferkettenrisiken.
Ebenfalls vorgesehen sind verschärfte Meldepflichten: Sicherheitsvorfälle müssen schnell und strukturiert an die zuständigen Behörden, unter anderem dem Bundesamt für Sicherheit in der Informationstechnik (BSI), gemeldet werden, um bessere Reaktions- und Warnmechanismen zu ermöglichen.
Ein „schwerwiegender Sicherheitsvorfall“ liegt laut BSI dann vor, wenn ein IT-Vorfall den Betrieb einer Einrichtung ernsthaft stören oder hohe finanzielle Schäden verursachen kann. Er liegt auch vor, wenn er anderen Personen spürbare materielle oder immaterielle Nachteile zufügt beziehungsweise zufügen könnte.
Wird ein Unternehmen Opfer eines Cyberangriffs, muss es diesen dem BSI binnen 24 Stunden melden, nach 72 Stunden einen Zwischenstand liefern und innerhalb eines Monats einen Abschlussbericht vorlegen.
Das BSI-Portal für das Melden schwerwiegender Sicherheitsvorfälle wird am 6. Januar 2026 freigeschaltet. Sicherheitsvorfälle, die vor diesem Zeitraum eingetreten sind, melden Sie dem BSI über ein Online-Formular.
NIS-2 sieht deutlich strengere Aufsichts- und Sanktionsmöglichkeiten vor. Regulierungsbehörden erhalten mehr Befugnisse, die Umsetzung zu kontrollieren und durchzusetzen. Mit strengeren Aufsichtsrechten und spürbaren Sanktionen schafft der Gesetzgeber starke Anreize, Cybersicherheit dauerhaft im Management zu verankern. Ziel ist es, Cybersicherheit nicht als freiwillige, sondern als verbindliche Unternehmensaufgabe zu etablieren.
Die NIS-2-Regelungen gelten in Deutschland grundsätzlich ab Inkrafttreten des NIS-2-Umsetzungsgesetzes. Unternehmen müssen sich daher bereits jetzt auf die neuen Anforderungen einstellen. Konkrete Übergangsfristen und detaillierte Vorgaben zu einzelnen Maßnahmen werden zum Teil noch durch nachgelagerte Rechtsverordnungen präzisiert. Ab Januar 2026 müssen von der Richtlinie betroffene Unternehmen sich beim BSI registrieren und Sicherheitsvorfälle melden. Unternehmen sollten bereits jetzt prüfen, ob sie betroffen sind. So können sie frühzeitig mit der Planung notwendiger Maßnahmen beginnen.
Hier dreht sich alles ums Geld. Mit uns bleiben Sie auf dem Laufenden und erfahren alles über clevere Spartipps, lukrative Anlagemöglichkeiten, smarte Altersvorsorgen und News aus der Finanzwelt. Denn: Wissen zahlt sich aus!
Stand: 10. Dezember 2025, mit dpa
Hinweis: Das Artikelbild ist KI-generiert.
