Am 6. Dezember 2025 trat das Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft.  

Die NIS2-Richtlinie (Network and Information Security Directive) ist eine EU-wei­te Gesetzgebung, die dar­auf abzielt, ein hohes gemein­sa­mes Sicherheitsniveau für Netz- und Informationssysteme in der gesam­ten Union sicher­zu­stel­len. Sie löst die 2016 ein­ge­führ­te NIS1-Richtlinie ab und ver­schärft Sicherheitsanforderungen für kri­ti­sche und wich­ti­ge Einrichtungen deut­lich. Damit wuchs die Anzahl der Unternehmen, die unter die Regelungen fal­len, deut­lich von ca. 2.000 auf etwa 29.500 KRITIS-Betreiber an. 

Warum wur­de NIS2 ein­ge­führt? 

NIS2 wur­de ein­ge­führt, um ein hohes, ein­heit­li­ches und moder­nes Cybersicherheitsniveau in der gesam­ten EU zu schaf­fen – ange­sichts wach­sen­der Bedrohungen, digi­ta­ler Abhängigkeiten und bis­he­ri­ger Schwächen der alten Regelung. 

Bin ich von der NIS2 Richtlinie betrof­fen? 

Unternehmen müs­sen selb­stän­dig prü­fen, ob sie damit künf­tig zu den durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauf­sich­tig­ten Einrichtungen gehö­ren.  

Wahrscheinlich betrof­fen sind Sie, wenn Ihr Unternehmen min­des­tens eines fol­gen­den Kriterien erfüllt: 

• Betreiben einer kri­ti­schen Anlage wie z.B. einer Gesundheitseinrichtung. Dazu gehö­ren Krankenhäuser und ande­re voll­sta­tio­nä­re Leistungserbringer, aber auch gro­ße Praxen und MVZs 

• Anbieter öffent­lich zugäng­li­cher Telekommunikationsdienste, dazu gehö­ren öffent­lich zugäng­li­che Einrichtungen, in denen sich jeder anonym ein­wäh­len kann 

• Alle Unternehmen mit mehr als 250 Beschäftigten oder 50 Mio. Euro Umsatz 

Die Betroffenheitsprüfung kön­nen Sie online unter fol­gen­dem Link (https://betroffenheitspruefung-nis‑2.bsi.de/) durch­füh­ren.  

Was muss ich tun, um die NIS2 Richtlinie umzu­set­zen?  

1. Registrierungspflicht erfül­len: alle betrof­fe­nen Einrichtungen müs­sen sich beim BSI regis­trie­ren 

2. Risikomanagement für Cybersicherheit ein­füh­ren: Es muss sicher­ge­stellt sein, dass jedes betrof­fe­ne Unternehmen ein doku­men­tier­tes Sicherheitskonzept hat. Dazu gehö­ren: 

• Risikoanalyse und Risikobehandlung 

• Sicherheitsrichtlinien 

• Zugriffskontrollen 

• Backup- und Wiederherstellungsprozesse 

• Lieferketten-Risikoanalyse 

• Notfallmanagement und Business Continuity 

• Patch- und Schwachstellenmanagement 

3. Incident-Response-System: Schaffen Sie ein Incident-Response-System, um Sicherheitsvorfälle effek­tiv zu erken­nen und  zu bewäl­ti­gen. Sicherheitsvorfälle müs­sen frist­ge­recht gemel­det wer­den. Dazu gehö­ren eine Erstmeldung inner­halb von 24 Stunden, ein Detailbericht inner­halb von 72 Stunden sowie ein Abschlussbericht inner­halb eines Monats 

4. Schulungen und Awareness: NIS2 ver­langt ver­pflich­ten­de Schulungen für alle Mitarbeitenden – und spe­zi­ell für die Geschäftsführung. Cybersicherheit ist laut Gesetzgeber Chefsache und nicht dele­gier­bar. 

5. Lieferketten absi­chern: jedes Unternehmen muss sicher­stel­len, , dass auch Dienstleister und Lieferanten aus­rei­chen­de Sicherheitsstandards erfül­len. 

6. Interne Verantwortlichkeiten fest­le­gen: dazu gehö­ren die Benennung eines Informationssicherheitsbeauftragten eben­so wie der Aufbau eines Informationssicherheits-Managementsystems (ISMS). Klare Rollen und Prozesse sind dabei von gro­ßer Wichtigkeit. 

7. Technik auf den neus­ten Stand brin­gen: die IT tech­nisch so aus­rüs­ten, dass sie die hohen Sicherheitsstandards erfüllt. 

8. Regelmäßige Überprüfung und Auditfähigkeit: jedes betrof­fe­ne Unternehmen muss jeder­zeit audi­tier­bar sein. Das BSI erhält deut­lich mehr Aufsichtsbefugnisse.  

9. Haftungsrisiken ken­nen: mit der NIS2 Richtlinie wird gere­gelt, dass Cybersicherheit nicht dele­gier­bar ist. Bei Pflichtverletzungen dro­hen daher per­sön­li­che Haftung, Bußgelder und Regressforderungen. 

Was sind Sicherheitsvorfälle nach NIS2? 

Ein Sicherheitsvorfall („Incident“) ist laut NIS2 jedes Ereignis, das: 

• die Cybersicherheit beein­träch­tigt, 

• zu einer Störung der Dienste führt, oder 

• die Erbringung dei­ner wesentlichen/wichtigen Dienstleistungen gefähr­det. 

Dazu gehö­ren ins­be­son­de­re Cyberangriffe, Technische Störungen wie der Ausfall kri­ti­scher Systeme oder feh­ler­haf­te Updates, mensch­li­che Fehler wie falsch gesetz­te Berechtigungen, unbe­ab­sich­tig­tes Löschen wich­ti­ger Daten oder Fehlkonfigurationen und Lieferkettenvorfälle wie Sicherheitsprobleme bei Dienstleistern oder kom­pro­mit­tier­te Software-Updates. 

Wenn ein Vorfall „erheb­lich“ wird, ist er mel­de­pflich­tig. Dies ist laut NIS2-Umsetzungsverordnung u.a. dann der Fall, wenn  

• Gefahr für Leben oder Gesundheit besteht, z.B. durch den Ausfall von KIS-Systemen im Krankenhaus 

• Ein finan­zi­el­ler Schaden über 100.000€ ent­steht 

• Kritische Systeme oder Daten kom­pro­mit­tiert sind 

Dies Erstmeldung muss inner­halb von 24 Stunden erfol­gen. 

Welche Befugnisse hat das BSI bei der Überwachung der NIS2 Richtlinie in den betrof­fe­nen Unternehmen? 

Die NIS2Richtlinie ver­pflich­tet die EUStaaten, eine star­ke natio­na­le Aufsicht ein­zu­rich­ten. In Deutschland über­nimmt die­se Rolle das BSI. Die wich­tigs­ten Befugnisse sind: 

1. Registrierung und Meldepflicht über­wa­chen 

2. Nachweise und Dokumente: das BSI darf jeder­zeit die ISMS-Dokumentation, Risikoanalysen, Sicherheitskonzepte, Nachweise über tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen und Lieferketten-Risikoanalysen ver­lan­gen. Die Unternehmen soll­ten die­se Unterlagen daher stets ver­füg­bar haben. 

3. Audits und Prüfungen: Das BSI kann Vor-Ort-Kontrollen durch­füh­ren, tech­ni­sche Prüfungen anord­nen, Penetrationstests durch zer­ti­fi­zier­te Stellen ver­lan­gen und Sicherheitsüberprüfungen von Systemen und Netzwerken durch­füh­ren. Dabei schreibt die NIS2-Richtlinie aus­drück­lich eine „stren­ge Aufsicht“ vor. 

4. Anordnungen: Sollten bei einer Prüfung Mängel fest­ge­stellt wer­den, kann das BSI Maßnahmen anord­nen. Diese sind ver­pflich­tend umzu­set­zen und kön­nen von der Verbesserung des ISMS, über die Einrichtung von Sicherheitsmaßnahmen, den Austausch unsi­che­rer Systeme über ver­pflich­ten­de Schulungen für Führungskräfte bis hin zu Sofortmaßnahmen bei aku­ten Bedrohungen rei­chen. 

5. Sanktionen und Bußgelder: Wenn betrof­fe­ne Unternehmen sich nicht regis­trie­ren, Sicherheitsvorfälle nicht mel­den, Sicherheitsmaßnahmen nicht umset­zen oder Anordnungen nicht befol­gen, kann das BSI Bußgelder erhän­gen. Diese sind EU-weit har­mo­ni­siert und kön­nen sehr hoch aus­fal­len. Für beson­ders wich­ti­ge Einrichtungen kön­nen Bußgelder in Höhe von bis zu 10 Mio. Euro oder bis zu 2% des welt­wei­ten Jahresumsatzes ver­hängt wer­den, für wich­ti­ge Einrichtungen bis zu 7 Mio. Euro oder 1,4% des welt­wei­ten Jahresumsatzes. Es gilt jeweils der höhe­rer Betrag. 

6. Überwachung der Lieferkettensicherheit: das BSI darf prü­fen, ob Unternehmen ihre Dienstleister aus­rei­chend bewer­ten, Risiken in der Lieferkette doku­men­tie­ren und Verträge mit Sicherheitsanforderungen ver­se­hen. 

7. Kooperation mit EU-Behörden: das BSI arbei­tet mit Behörden in der EU zusam­men, um grenz­über­schrei­ten­de Vorfälle zu über­wa­chen und ui koor­di­nie­ren. 

Das BSI erhält durch die NIS2-Richtlinie deut­lich mehr Befugnisse und somit mehr „Macht“ als bis­her. Es kann nun aktiv agie­ren. 

Welche Pflichten habe ich per­sön­lich? 

Als Geschäftsführer oder Vorstand sind Sie ver­pflich­tet, die Regelungen der NIS2 Richtlinie umzu­set­zen. Wie bereits erwähnt sind die­se Pflichten nicht dele­gier­bar. Daher soll­ten Sie die fol­gen­den Punkte im Blick behal­ten: 

1. Registrierung: prü­fen (las­sen), ob Ihr Unternehmen unter die NIS2-Richtlinie fällt, die Kategorie bestim­men und Ihr Unternehmen regis­trie­ren (las­sen) 

2. Verantwortlichkeiten: Cybersicherheit zur Chefsache machen und Rollen und Verantwortlichkeiten benen­nen und doku­men­tie­ren, die Umsetzung der NIS2-Regelungen anwei­sen. 

3. Schulungen und Awareness: jähr­li­che Cybersicherheitsschulungen für alle Mitarbeitenden durch­füh­ren las­sen, spe­zi­el­le Schulungen für Führungskräfte anbie­ten und Sicherheitsrichtlinien kom­mu­ni­zie­ren, Darüber hin­aus soll­ten Phishing-Simulationen durch­ge­führt wer­den. 

4. Incident-Response-System: Vorgaben für den Ablauf bei Vorfällen machen und Pläne für die Prozesse erar­bei­ten (las­sen), eben­so für den Meldeprozess. Auch die Rollen und Zuständigkeiten soll­ten fest­ge­legt und doku­men­tiert sein. Darüber hin­aus emp­fiehlt es sich, Notfallübungen zu die­sem Thema durch­zu­füh­ren. 

5. Audits und Nachweisfähigkeit: Sie soll­ten eine Dokumentation vor­lie­gen haben, die dem BSI jeder­zeit über­ge­ben wer­den kann und die alle Regelungen umfasst. Die Maßnahmen sowie die Dokumentation soll­ten regel­mä­ßig auf Aktualität und Vollständigkeit geprüft und ggfs. ver­bes­sert wer­den. Die lässt sich erfah­rungs­ge­mäß gut durch doku­men­tier­te inter­ne Audits nach­wei­sen. Diese soll­te im Vorfeld gut geplant wer­den. 

6. Haftung: hier emp­fiehlt es sich die getrof­fe­nen Entscheidungen nach­weis­bar zu machen, in dem sie sorg­fäl­tig doku­men­tiert wer­den. Zudem soll­ten regel­mä­ßig Management-Reviews durch­ge­führt und die Umsetzung der Maßnahmen per­sön­lich über­wacht wer­den. Insbesondere gilt dies für Anordnungen des BSI. Des Weiteren ist es sinn­voll, die (per­so­nel­len) Ressourcen und ein Budget für Cybersicherheit fest­zu­le­gen.