NIS2-Anforderungen

Die NIS2-Richtlinie legt die zentralen Cybersecurity-Anforderungen fest, die mittlere und große Unternehmen in kritischen und wichtigen Sektoren in der gesamten Europäischen Union erfüllen müssen. Sie hat das ursprüngliche NIS-Regelwerk durch einen breiteren Anwendungsbereich, strengere Aufsicht, verschärfte Governance-Pflichten und explizitere Vorgaben für Cybersecurity-Risikomanagement und Incident Reporting ersetzt. Für Unternehmen, die verstehen wollen, was Compliance in der Praxis tatsächlich bedeutet, sind die wichtigsten Teile des Gesetzes die Governance-Regelungen in Artikel 20, die Cybersecurity-Risikomanagement-Maßnahmen in Artikel 21 und die Meldepflichten in Artikel 23.

Wenn du eine praktische Antwort auf Fragen zu den NIS2-Anforderungen suchst, ist das die einfachste Art, es zu betrachten. NIS2 verlangt von betroffenen Einrichtungen, dass sie feststellen, ob sie unter die Richtlinie fallen, Verantwortlichkeiten auf Führungsebene zuweisen, verhältnismäßige technische, operative und organisatorische Sicherheitsmaßnahmen implementieren, diese Maßnahmen dokumentieren, das Management schulen, sich auf Betriebsunterbrechungen vorbereiten, wichtige Lieferanten absichern und erhebliche Sicherheitsvorfälle innerhalb enger Fristen an die zuständige Behörde melden. Diese Anforderungen sind bewusst breit gefasst, weil die Richtlinie erwartet, dass Unternehmen ihre Kontrollen an ihr eigenes Risikoprofil, ihre Branche und ihre betriebliche Realität anpassen.

Was sind die NIS2-Anforderungen?

Auf einer übergeordneten Ebene lassen sich die NIS2-Anforderungen in vier zusammenhängende Bereiche gliedern. Der erste ist der Anwendungsbereich, also ob dein Unternehmen eine wesentliche Einrichtung oder eine wichtige Einrichtung im Sinne der Richtlinie ist. Der zweite ist Governance, also die Verantwortung der Leitungsorgane, Cybersecurity-Maßnahmen zu genehmigen und zu überwachen. Der dritte ist Risikomanagement, also die Mindestanforderungen an Sicherheitsmaßnahmen, die gemäß Artikel 21 umgesetzt werden müssen. Der vierte ist Incident Reporting, also die Pflicht, erhebliche Sicherheitsvorfälle schnell und strukturiert zu melden.

Diese Struktur ist wichtig, weil viele Artikel nur eine Ebene des Themas erklären. In der Realität kann ein Unternehmen die NIS2-Anforderungen nur erfüllen, wenn diese vier Ebenen miteinander verknüpft sind. Der Anwendungsbereich bestimmt, ob du betroffen bist. Governance bestimmt, wer verantwortlich ist. Risikomanagement bestimmt, was du umsetzen musst. Reporting bestimmt, was du tun musst, wenn etwas schiefgeht. Das Gesetz ist so geschrieben, dass Cybersecurity zur Führungsaufgabe wird, statt ein enges IT-Thema zu bleiben. Die Europäische Kommission selbst betont, dass NIS2 Cybersecurity in den Vorstand bringt, indem es das Top-Management für die Nichteinhaltung von Risikomanagement-Maßnahmen haftbar macht.

Wer muss NIS2 einhalten?

NIS2 gilt für einen deutlich breiteren Kreis von Sektoren als das ursprüngliche NIS-Regelwerk. Die Kommission erklärt, dass die neuen Regeln zusätzlich zu den bereits von NIS1 erfassten Sektoren auch für Anbieter öffentlicher elektronischer Kommunikation, weitere digitale Dienste wie Social-Media-Plattformen, Abfall- und Abwasserwirtschaft, kritische Produktherstellung, Post- und Kurierdienste, öffentliche Verwaltung und den Raumfahrtsektor gelten.

Als Grundregel gilt, dass mittlere und große Einrichtungen in erfassten Sektoren betroffen sind, wobei die Richtlinie bestimmte Einrichtungen unabhängig von ihrer Größe erfasst, darunter einige DNS-Provider, Top-Level-Domain-Registries, Vertrauensdiensteanbieter und bestimmte Einrichtungen der öffentlichen Verwaltung.

Die Richtlinie unterteilt betroffene Einrichtungen in zwei regulatorische Kategorien: wesentliche Einrichtungen und wichtige Einrichtungen. Diese Unterscheidung ist für die Aufsicht relevant, aber beide Kategorien unterliegen denselben grundlegenden Cybersecurity-Risikomanagement- und Meldepflichten. Wesentliche Einrichtungen werden in der Regel proaktiver beaufsichtigt, während wichtige Einrichtungen oft reaktiver überwacht werden, insbesondere nach Vorfällen oder bei Anzeichen von Non-Compliance.

Der entscheidende Punkt ist: Als „wichtig" eingestuft zu werden bedeutet nicht, dass die Anforderungen gering sind. Die Pflichten sind nach wie vor erheblich, und die Aufsichtsbehörden haben Durchsetzungsbefugnisse.

Wann ist NIS2 in Kraft getreten?

NIS2 ist im Januar 2023 in Kraft getreten, und die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Die Kommission stellt außerdem fest, dass NIS2 ab dem 18. Oktober 2024 NIS1 aufgehoben hat.

Es gibt eine weitere wichtige Entwicklung, die viele andere Artikel noch übersehen. Am 17. Oktober 2024 hat die Kommission die Durchführungsverordnung (EU) 2024/2690 verabschiedet, die technische und methodische Anforderungen für bestimmte digitale und IKT-bezogene Einrichtungen festlegt, darunter Cloud-Anbieter, Rechenzentrumsdienstleister, Managed Service Provider, Managed Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, Social-Networking-Plattformen und Vertrauensdiensteanbieter. Die technische Implementierungsanleitung der ENISA von 2025 wurde speziell veröffentlicht, um diesen Einrichtungen bei der Operationalisierung dieser Verordnung zu helfen.

Artikel 20: Management-Verantwortlichkeit als zentrale NIS2-Anforderung

Eine der folgenreichsten NIS2-Anforderungen ist die Verantwortlichkeit der Führungsebene. Artikel 20 verlangt von den Leitungsorganen wesentlicher und wichtiger Einrichtungen, die Cybersecurity-Risikomanagement-Maßnahmen zu genehmigen, die zur Einhaltung von Artikel 21 ergriffen werden, deren Umsetzung zu überwachen und für Verstöße haftbar gemacht werden zu können. Artikel 20 verlangt außerdem, dass die Mitgliedstaaten sicherstellen, dass Leitungsorgane Schulungen absolvieren und dass Mitarbeiter regelmäßig geschult werden, damit sie ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken zu identifizieren und Cybersecurity-Risikomanagement-Praktiken zu bewerten.

Hier unterschätzen viele Unternehmen die Richtlinie. NIS2 behandelt Cybersecurity nicht als technisches Silo, das ohne Aufsicht delegiert werden kann. Die Richtlinie erwartet, dass Vorstände und Geschäftsführung in Genehmigung, Überwachung und Kompetenzaufbau eingebunden sind. Praktisch bedeutet das, dass dein Unternehmen nachweisen können sollte, wo das Management das Cybersecurity-Programm formal genehmigt hat, wie es Berichte über Umsetzung und Vorfälle erhält, welche Eskalationsschwellen existieren und wie Schulungen auf Führungsebene dokumentiert werden. Ohne diese Governance-Nachweise werden viele Unternehmen Schwierigkeiten haben, Compliance nachzuweisen, selbst wenn sie ordentliche technische Kontrollen haben.

Artikel 21: Die 10 Mindestmaßnahmen für Cybersecurity-Risikomanagement

Artikel 21 ist das Herzstück der NIS2-Anforderungen. Er verpflichtet wesentliche und wichtige Einrichtungen, angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die sie für ihren Betrieb oder ihre Dienstleistungserbringung nutzen, und um die Auswirkungen von Sicherheitsvorfällen auf Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren. Die Richtlinie legt dann eine Mindestliste von Maßnahmen fest, die adressiert werden müssen.

‍

‍

Die erste Anforderung ist eine Richtlinie zur Risikoanalyse und Informationssystemsicherheit. Das bedeutet, dass das Unternehmen verstehen muss, welche Systeme, Assets, Geschäftsprozesse, Abhängigkeiten und Bedrohungsszenarien am wichtigsten sind, und dieses Verständnis dann in einen dokumentierten Kontrollansatz übersetzen muss. Ein ausgereiftes Programm umfasst normalerweise Asset-Inventare, Datenfluss-Transparenz, Risikokriterien, Behandlungsentscheidungen und Überprüfungszyklen, die an Veränderungen im Umfeld gekoppelt sind.

Die zweite Anforderung ist Incident Handling. NIS2 erwartet von Einrichtungen, dass sie Vorfälle erkennen, darauf reagieren, sie managen, dokumentieren und daraus lernen. Dies erfordert typischerweise definierte Schweregrade, Eskalationswege, technische Playbooks, interne Kommunikationsverfahren und Post-Incident-Review-Prozesse, die Korrekturmaßnahmen und Abschlussnachweise produzieren.

Die dritte Anforderung ist Business Continuity, einschließlich Backup-Management, Disaster Recovery und Krisenmanagement. Das bedeutet, dass Compliance über Sicherheitsprävention hinausgeht. Regulierungsbehörden erwarten Resilienz, also dass dein Unternehmen kritische Operationen während einer Störung aufrechterhalten oder wiederherstellen kann. Backup-Abdeckung, Recovery-Ziele, Wiederherstellungstests, Krisenrollen und Entscheidungsprotokolle werden zu zentralen Nachweispunkten.

Die vierte Anforderung ist Supply Chain Security, einschließlich sicherheitsrelevanter Aspekte bezüglich der Beziehungen zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern. Artikel 21 stellt außerdem fest, dass Unternehmen Schwachstellen berücksichtigen müssen, die spezifisch für direkte Lieferanten und Dienstleister sind, sowie die Gesamtqualität ihrer Produkte und Cybersecurity-Praktiken, einschließlich sicherer Entwicklungsverfahren, wo relevant. Dies ist einer der operativ anspruchsvollsten Teile von NIS2, weil es fortlaufendes Third-Party-Risk-Management erfordert statt einmaliger Beschaffungsprüfungen.

Die fünfte Anforderung ist Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Vulnerability Handling und Vulnerability Disclosure. Dies rückt NIS2 fest in den Bereich sicherer Lifecycle-Praktiken. Unternehmen sollten Patch-Governance, sichere Konfigurations-Baselines, Change Control, Vulnerability Triage, Behebungszeitpläne und einen Prozess für den Empfang und die Bearbeitung von Schwachstellenmeldungen nachweisen können.

Die sechste Anforderung sind Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersecurity-Risikomanagement-Maßnahmen. Das bedeutet, dass die Kontrollen selbst evaluiert werden müssen, nicht nur dokumentiert. Interne Prüfung, Kontrolltests, Monitoring, Metriken und Management-Review werden alle relevant. Eine dokumentierte Policy-Bibliothek ohne Testdisziplin wird selten ausreichen.

Die siebte Anforderung sind grundlegende Cyber-Hygiene-Praktiken und Cybersecurity-Schulungen. Die Durchführungsmaterialien zu Artikel 21 betonen das Bewusstsein für Risiken, die Bedeutung von Cybersecurity und die Anwendung von Cyber-Hygiene-Praktiken durch Mitarbeiter, Leitungsorgane, Lieferanten und Dienstleister, wo relevant. Schulungen unter NIS2 sind rollenbasiert, wiederkehrend und sollen messbare operative Leistung unterstützen.

Die achte Anforderung sind Richtlinien und Verfahren bezüglich der Verwendung von Kryptographie und, wo angemessen, Verschlüsselung. Dies umfasst die Governance darüber, wo Verschlüsselung erforderlich ist, wie Schlüssel verwaltet werden, welche Datenzustände geschützt sind und wie Ausnahmen genehmigt und überprüft werden.

Die neunte Anforderung ist Personalsicherheit, Zugriffskontrollrichtlinien und Asset Management. Dieser Bereich berührt Einstellung, Rollenwechsel, Offboarding, Privilegienverwaltung, Funktionstrennung, Geräte-Ownership, Acceptable Use und das Lifecycle-Management von Informations-Assets.

Die zehnte Anforderung ist die Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung, wo angemessen. Dies zeigt deutlich, dass NIS2 konkrete technische Kontrollen erwartet, auch wenn die Richtlinie auf hoher Ebene risikobasiert und technologieneutral bleibt.

Artikel 23: NIS2 Incident Reporting Fristen

Artikel 23 ist einer der meistgesuchten Teile der Richtlinie, weil die Meldefristen streng und hochgradig operativ sind. NIS2 verlangt von Einrichtungen, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Der typische Zeitrahmen besteht aus einer Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung eines erheblichen Vorfalls, einer Vorfallsmeldung innerhalb von 72 Stunden und einem Abschlussbericht spätestens einen Monat nach der Vorfallsmeldung. Die Erstmeldung und die Folgemeldungen müssen genügend Informationen enthalten, damit die zuständige Behörde oder das CSIRT Schweregrad, Auswirkungen, verfügbare Indicators of Compromise und etwaige grenzüberschreitende Implikationen verstehen kann.

Aus Implementierungsperspektive bedeutet die Meldepflicht, dass Unternehmen mehr als einen Incident Response Plan brauchen. Sie brauchen ein Entscheidungsmodell, das definiert, was als erheblicher Vorfall gilt, wer über die Meldepflicht entscheidet, wie Rechts- und Kommunikationsteams eingebunden werden, welche Fakten in den ersten Stunden gesammelt werden müssen und wie interne Freigaben unter Druck funktionieren. Das ist ein wesentlicher Grund, warum reife Unternehmen ihre NIS2-Readiness auf Szenarien und Tabletop-Übungen aufbauen statt nur auf Policy-Schreiben.

Welche Nachweise brauchst du, um NIS2-Compliance zu belegen?

NIS2 schafft kein einheitliches EU-Zertifikat für allgemeine Compliance, und die Beweislast liegt bei der Einrichtung, nachzuweisen, dass sie angemessene Maßnahmen umgesetzt hat. In der Praxis bedeutet das, dass Nachweise genauso wichtig sind wie Kontrollen. Die Implementierungsanleitung der ENISA von 2025 ist hier besonders nützlich, weil sie Anforderungen mit Beispielen für Nachweise und praktischen Umsetzungserwartungen für relevante digitale Sektoren verknüpft.

Ein gut vorbereitetes Unternehmen sollte daher eine belastbare Nachweisbasis über Governance, Risiko, Betrieb, Resilienz, Lieferanten und Incident Management pflegen. Das umfasst normalerweise Risikobewertungen, Security Policies, Vorstandsgenehmigungen, Schulungsnachweise, Incident Logs, Lieferanten-Due-Diligence-Dokumentation, Business-Continuity-Testergebnisse, Vulnerability-Management-Outputs, Zugriffsüberprüfungen und Kontrollen zur Wirksamkeitsbewertung. Dieser Punkt ist besonders wichtig, weil viele die sehr praktische Frage beantworten wollen, wie sie Compliance bei Aufsicht, Audit oder Untersuchung nachweisen werden.

Eine praktische Roadmap zur Erfüllung der NIS2-Anforderungen

Der effektivste Weg zur Compliance beginnt mit Anwendungsbereich und Klassifizierung. Dein Unternehmen sollte bestätigen, ob es in die Sektoren von Annex I oder Annex II fällt, ob Größenschwellen erreicht werden, ob sektorspezifische oder einrichtungsspezifische Ausnahmen gelten und ob nationales Recht zusätzliche Details vorschreibt. Danach sollte Governance schnell formalisiert werden, weil Vorstandsgenehmigung und -aufsicht keine Aktivitäten sind, die glaubwürdig in letzter Minute nachgeholt werden können.

Die nächste Phase ist eine Gap-Analyse gegen Artikel 20, 21 und 23, unterstützt wo relevant durch die Durchführungsverordnung 2024 und die ENISA-Anleitung 2025. Diese sollte Kontroll-Lücken, fehlende Nachweise, unklare Zuständigkeiten, unreife Lieferantenprozesse, unzureichende Tests und schwache Meldebereitschaft identifizieren. Sobald die Gap-Analyse abgeschlossen ist, sollten Unternehmen die Behebung basierend auf Service-Kritikalität, Konzentrationsrisiko und regulatorischer Exposition priorisieren und dann einen dokumentierten Implementierungsplan mit Meilensteinen, Verantwortlichen und Management-Reporting erstellen.

Die letzte Phase ist die Operationalisierung. Das bedeutet, den Incident-Prozess zu testen, Backups und Recovery zu validieren, Lieferanten-Risikoentscheidungen zu überprüfen, zu bestätigen, dass Vulnerability Handling in der Praxis funktioniert, und sicherzustellen, dass Meldepflichten innerhalb der gesetzlichen Fristen erfüllt werden können. Die Unternehmen, die unter NIS2 am besten abschneiden, sind in der Regel diejenigen, die Compliance als Betriebsmodell behandeln, gestützt durch Nachweise und Management-Aufsicht, anstatt als Papierkram-Projekt.

Häufige Fehler, die Unternehmen bei NIS2 machen

Ein häufiger Fehler ist anzunehmen, dass NIS2 hauptsächlich eine Dokumentationsübung ist. Die Richtlinie dreht sich um nachweisbare Resilienz und Risikomanagement, was bedeutet, dass Kontrollen, Nachweise, Tests und Verantwortlichkeit alle zusammen wichtig sind. Ein weiterer häufiger Fehler ist, Lieferantensicherheit als Beschaffungsfragebogen zu behandeln statt als lebendige Risikomanagement-Disziplin.

Ein dritter Fehler ist, Schulungen und Genehmigungsnachweise auf Führungsebene zu ignorieren, obwohl Artikel 20 sie zentral macht. Ein vierter Fehler ist, zu spät zu entdecken, dass Incident-Reporting-Entscheidungen nicht schnell getroffen werden können, weil Rechts-, Security- und Operations-Teams niemals Signifikanzschwellen oder Melde-Workflows im Voraus definiert haben.

NIS2-Anforderungen: Das Wichtigste zum Schluss

Die NIS2-Anforderungen sind breit, ernst und operativ anspruchsvoll, weil die Richtlinie darauf abzielt, das tatsächliche Niveau der Cybersecurity-Resilienz in ganz Europa anzuheben. Für die meisten Unternehmen besteht die zentrale Compliance-Herausforderung darin, den Gesetzestext in ein Betriebssystem für Governance, Risikomanagement, Resilienz, Lieferantenaufsicht und schnelle Meldungen zu verwandeln. Wenn du die Richtlinie durch Artikel 20, 21 und 23 verstehst und diese Pflichten dann durch nachweisgestützte Prozesse umsetzt, konzentrierst du dich auf die Teile von NIS2, die in der Praxis am wichtigsten sind.

FAQ-Bereich

Eine vollständige Liste der Top 50 FAQs zu NIS2 findest du hier: https://www.kertos.io/nis2-faq

Was sind die wichtigsten NIS2-Anforderungen?

Die wichtigsten NIS2-Anforderungen sind die Bestimmung des Anwendungsbereichs, Management-Verantwortlichkeit, Cybersecurity-Risikomanagement-Maßnahmen nach Artikel 21 und Incident-Reporting-Pflichten nach Artikel 23. Die Richtlinie erwartet außerdem, dass Unternehmen Nachweise führen, das Management schulen und verhältnismäßige Sicherheitsmaßnahmen über Systeme, Lieferanten und Business-Continuity-Fähigkeiten hinweg implementieren.

Was sind die 10 Maßnahmen in Artikel 21 von NIS2?

Artikel 21 umfasst Risikoanalyse, Incident Handling, Business Continuity, Supply Chain Security, sichere Beschaffung und Entwicklung, Wirksamkeitsbewertung, Cyber-Hygiene und Schulung, Kryptographie und Verschlüsselung, Personalsicherheit und Zugriffskontrolle sowie Multi-Faktor-Authentifizierung plus sichere Kommunikation, wo angemessen.

Was sind die NIS2-Meldefristen?

NIS2 verlangt grundsätzlich eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallsmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats für erhebliche Vorfälle. Nationale Umsetzungsvorschriften können den genauen Meldeprozess gestalten, aber die Richtlinie legt den zugrundeliegenden Zeitrahmen fest.

Wer fällt in den Anwendungsbereich von NIS2?

Unter NIS2 gilt die Grundregel, dass mittlere und große Einrichtungen, die in den in Annex I und Annex II aufgeführten Sektoren tätig sind, betroffen sind. Diese Sektoren umfassen Bereiche wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Finanzdienstleistungen, Fertigung und bestimmte digitale und Forschungsdienstleistungen. Einige Einrichtungen sind unabhängig von ihrer Größe erfasst, insbesondere wenn sie besonders kritische Dienste erbringen, wie Vertrauensdienste, DNS- und TLD-Dienste, öffentliche elektronische Kommunikationsdienste, bestimmte Einrichtungen der öffentlichen Verwaltung und Einrichtungen, die als kritisch oder als einziger Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat benannt sind. Mitgliedstaaten können auch kleinere Hochrisiko-Einrichtungen einbeziehen.

Erfasste Sektoren gehen mittlerweile weit über das ursprüngliche NIS-Regelwerk hinaus und umfassen Bereiche wie digitale Anbieter, öffentliche elektronische Kommunikation, Abfall- und Abwasserwirtschaft, kritische Fertigung, Postdienste, öffentliche Verwaltung und Raumfahrt.

Gibt es eine offizielle NIS2-Zertifizierung?

Es gibt keine allgemeine EU-ausgestellte NIS2-Zertifizierung, die Compliance so belegt, wie es einige Management-System-Standards tun. Von Unternehmen wird erwartet, dass sie Compliance durch implementierte Kontrollen, Governance, Dokumentation und Nachweise demonstrieren.

So starten Sie Ihre NIS2-Reise

Kertos bietet Compliance-Automatisierung, die speziell für europäische Anforderungen entwickelt wurde, einschließlich NIS2 für KRITIS-Betreiber. Unsere Plattform reduziert den Implementierungsaufwand um 80% im Vergleich zu manuellen Ansätzen, mit vorgefertigten Vorlagen für deutsche regulatorische Anforderungen und integrierter Beweissammlung für Audit-Bereitschaft.

Starten Sie mit Ihrem kostenlosen NIS2-Assessment und prüfen Sie, ob Ihr Unternehmen von der neuen EU-Richtlinie betroffen ist.

‍