.svg)
NIS2-Missverständnisse sind nicht nur ein Wissensproblem. Sie sind ein Risikoproblem. Wenn ein Unternehmen auf Basis falscher Annahmen handelt, sei es darüber, was NIS2 verlangt, für wen sie gilt oder wann die Durchsetzung beginnt, sind die Konsequenzen konkret: erhebliche Bußgelder, persönliche Haftung für Führungskräfte und ein Sicherheitsniveau, das schwächer ist, als das Management ahnt.
NIS2, die aktualisierte Netz- und Informationssicherheitsrichtlinie der EU, hatte eine Umsetzungsfrist bis Oktober 2024. Dennoch operieren viele europäische Unternehmen, insbesondere KMU und mittelgroße Organisationen, auf Basis von Annahmen über die Richtlinie, die von veraltet bis schlicht falsch reichen. Dieser Artikel korrigiert die sieben häufigsten Irrtümer mit den Fakten und dem Kontext, den Sie benötigen, um zu verstehen, was Compliance tatsächlich bedeutet.
NIS2 gilt nur für Großunternehmen und kritische Infrastruktur
Dies ist der weitverbreitetste NIS2-Mythos, und er hat tausende Unternehmen unvorbereitet zurückgelassen.
Die ursprüngliche NIS-Richtlinie konzentrierte sich in erster Linie auf Betreiber wesentlicher Dienste in klassischen kritischen Sektoren: Energie, Wasser, Verkehr, Banken und Gesundheitswesen. In der Praxis handelte es sich um eine Regulierung für große, strategisch bedeutsame Einrichtungen. NIS2 ist eine grundlegende Erweiterung dieses Anwendungsbereichs.
Laut der Europäischen Kommission fallen nun mehr als 160.000 Einrichtungen in der EU in den Geltungsbereich von NIS2. Die Richtlinie erfasst 18 Sektoren, aufgeteilt in Anhang I (wesentliche Einrichtungen) und Anhang II (wichtige Einrichtungen). Zu den wesentlichen Sektoren zählen Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Wichtige Sektoren umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittelproduktion, Herstellung kritischer Produkte wie Medizinprodukte und Elektronik, digitale Anbieter sowie Forschungseinrichtungen. Diese Liste beschreibt einen sehr großen Teil der europäischen Unternehmenslandschaft.
Der Größenschwellenwert ist ebenfalls klar definiert und niedriger als viele annehmen. Wie im offiziellen Richtlinientext festgelegt, gilt NIS2 für Einrichtungen mit mindestens 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Millionen Euro, die in einem der erfassten Sektoren tätig sind. Diese Beschreibung trifft auf einen erheblichen Teil europäischer KMU zu, die ihre Compliance-Reise noch nicht begonnen haben. Falls Sie unsicher sind, ob Ihr Unternehmen betroffen ist, führt der Kertos NIS2-Checker Sie in wenigen Minuten durch die Prüfung.
ISO-27001-Zertifizierung bedeutet NIS2-Compliance
Eine ISO-27001-Zertifizierung ist zweifellos wertvoll. Sie belegt, dass eine Organisation ein strukturiertes Informationssicherheits-Managementsystem aufgebaut und einer unabhängigen Prüfung unterzogen hat. Wenn Ihr Unternehmen diese Zertifizierung besitzt, haben Sie bereits eine solide Grundlage für NIS2. Sich allein auf Basis von ISO 27001 als NIS2-konform zu bezeichnen, ist jedoch einer der folgenreichsten NIS2-Compliance-Fehler, den ein Unternehmen begehen kann.
Beide Rahmenwerke überschneiden sich sinnvoll, adressieren jedoch unterschiedliche Pflichten. Die Betrachtung von NIS2 durch die Linse von ISO 27001 offenbart drei wesentliche Lücken.
Erstens die Meldefristen bei Sicherheitsvorfällen. NIS2 verpflichtet wesentliche Einrichtungen, innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls eine Frühwarnung an die zuständige nationale Behörde zu übermitteln, gefolgt von einer vollständigeren Meldung innerhalb von 72 Stunden und einem abschließenden Bericht innerhalb eines Monats. ISO 27001 kennt keine vergleichbaren verbindlichen regulatorischen Fristen. Der Standard verlangt ein gutes Incident-Management, setzt jedoch keine gesetzliche Uhr in Gang, an deren Versäumnis Sanktionen geknüpft sind.
Zweitens die Lieferkettensicherheit. NIS2 verpflichtet Organisationen, die Sicherheitsschwachstellen ihrer direkten Lieferanten und gegebenenfalls Unterauftragnehmer zu bewerten und aktiv zu steuern. Das geht weit über eine standardisierte Lieferantenbefragung hinaus und erfordert ein formales, dokumentiertes Programm zur Lieferkettensicherheit. ISO 27001 adressiert Drittanbieterrisiken, aber NIS2 legt eine andere Strenge und Tiefe an, die mehrere Ebenen der Lieferkette einschließt.
Drittens, und vielleicht am konkretesten, die Managerhaftung. NIS2 legt leitenden Führungskräften und Leitungsorganen ausdrücklich persönliche Verantwortung für die Aufsicht über die Cybersicherheit auf. ISO 27001 fordert das Engagement des Managements, setzt aber keine Einzelpersonen dem Risiko persönlicher Bußgelder oder eines vorübergehenden Verbots, Führungspositionen zu bekleiden, aus. Das ist eine NIS2-spezifische Pflicht, die keine Zertifizierung für sich allein erfüllen kann.
NIS2 ist ein Problem der IT-Abteilung
Diese Annahme ist verständlich. Cybersicherheit war traditionell eine technische Angelegenheit, verwaltet von IT-Teams und in reiferen Organisationen von einer dedizierten Sicherheitsfunktion. NIS2 ändert dieses Modell ausdrücklich und mit rechtlichem Gewicht.
Artikel 20 der NIS2-Richtlinie verpflichtet die Leitungsorgane wesentlicher und wichtiger Einrichtungen, Maßnahmen zum Cybersicherheitsrisikomanagement zu genehmigen, deren Umsetzung zu überwachen und Cybersicherheitsschulungen zu absolvieren. Kann bei einem erheblichen Vorfall grobe Fahrlässigkeit des Managements nachgewiesen werden, können einzelne Mitglieder des Leitungsorgans persönlich haftbar gemacht werden. Bei wesentlichen Einrichtungen mit wiederholten Verstößen gehören vorübergehende Tätigkeitsverbote zu den verfügbaren Sanktionen der nationalen Behörden.
Das ist kein theoretisches Risiko. Die NIS2-Pflichten, die unmittelbar auf Geschäftsführer entfallen, sind eindeutig formuliert und stehen zunehmend im Fokus erster Durchsetzungsmaßnahmen. In Deutschland können einzelne Manager nach dem nationalen NIS2-Umsetzungsgesetz mit persönlichen Bußgeldern von bis zu 500.000 Euro für Governance-Versäumnisse belegt werden. Diese Zahl taucht in keinem IT-Budget auf. Sie gehört auf die Agenda jedes betroffenen Vorstands und jeder Geschäftsführung.
Die praktische Konsequenz ist, dass NIS2-Compliance eine funktionsübergreifende Verantwortung erfordert. Sicherheitsteams übernehmen die technische Umsetzung. Rechts- und Compliance-Teams interpretieren die Pflichten. Das Management genehmigt das Programm, überwacht die Durchführung und trägt die Verantwortung für das Ergebnis. Unternehmen, die NIS2 als Ticket im IT-Backlog behandeln, verteilen sowohl Verantwortung als auch Risiko falsch.
Die Frist ist abgelaufen, also gibt es keine Dringlichkeit mehr
Die Umsetzungsfrist im Oktober 2024 verstrich, und für viele Unternehmen passierte danach unmittelbar nichts Dramatisches. Keine Bußgelder. Keine Prüfer. Es liegt nahe, daraus zu schließen, dass die Dringlichkeit übertrieben war oder dass das Zeitfenster zum Handeln bereits geschlossen ist.
Beide Schlussfolgerungen sind falsch, und die zweite ist die gefährlichere.
Zur Umsetzungssituation: Nur vier EU-Mitgliedstaaten hielten die Frist vom Oktober 2024 ein. Die Europäische Kommission leitete daraufhin Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten ein. Deutschland, Heimat einer Vielzahl von NIS2-betroffenen Unternehmen, verabschiedete sein nationales Umsetzungsgesetz im November 2025. Wesentliche und wichtige Einrichtungen müssen sich bis April 2026 beim BSI registrieren. Die Durchsetzungsinfrastruktur ist nun in Betrieb und der Countdown läuft.
Das BSI hat bereits Dutzende formeller Bescheide ausgestellt an Einrichtungen, die es versäumt haben, sich zu registrieren oder einen Ansprechpartner zu benennen. Dabei standen Unternehmen aus dem Energiesektor und der digitalen Infrastruktur im Fokus. Substanzielle Bußgelder wurden noch nicht verhängt, aber der Eskalationspfad ist klar definiert, und die Behörden haben signalisiert, dass sie ihn beschreiten werden.
Das Zeitfenster zum Handeln ist nicht geschlossen. Wer jedoch auf einen zwingenden Grund gewartet hat, hat jetzt einen: eine feste Registrierungsfrist, eine aktive nationale Durchsetzungsbehörde und persönliche Haftung für die verantwortlichen Führungskräfte. Weiteres Abwarten verringert die Compliance-Lücke nicht. Es erhöht die persönliche Exposition aller, die dafür verantwortlich sind.
NIS2-Compliance ist ein einmaliges Projekt, und Lieferkettensicherheit ist Sache anderer
Diese beiden Annahmen treten häufig gemeinsam auf, und zusammen stellen sie ein grundlegendes Missverständnis dessen dar, was NIS2 tatsächlich fordert.
NIS2 ist keine Zertifizierung, die man einmalig erreicht und dann ablegt. Es handelt sich um eine dauerhafte Verpflichtung. Die Richtlinie verlangt, dass Maßnahmen zum Risikomanagement laufend aufrechterhalten, überprüft und aktualisiert werden. Meldepflichten bei Vorfällen sind jederzeit aktiv. Bewertungen zur Lieferkettensicherheit müssen den aktuellen Stand Ihrer Lieferantenbeziehungen widerspiegeln, nicht eine einmalige Momentaufnahme aus einem längst abgeschlossenen Projekt. Registrierungen bei nationalen Behörden müssen bei Änderungen aktuell gehalten werden.
Der kontinuierliche Charakter der NIS2-Compliance ist ein wesentlicher Grund dafür, dass Compliance-Automatisierung für vorausschauende Sicherheitsteams immer zentraler wird. Nachweise manuell zu pflegen, den Status von Controls zu verfolgen und Lieferantenbewertungen in einem lebendigen, sich verändernden Unternehmen zu managen, ist eine enorme operative Belastung, besonders für Teams, die ohnehin schon ausgelastet sind. Plattformen wie Kertos automatisieren die Nachweiserhebung, überwachen den Control-Status über integrierte Systeme kontinuierlich und machen Lücken in Echtzeit sichtbar. Compliance wird so von einem periodischen Sprint zu einer dauerhaften Funktion, die keine unverhältnismäßig große Teamkapazität bindet.
Zur Lieferkette: Artikel 21 von NIS2 verpflichtet Einrichtungen ausdrücklich, "die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstleistern" zu adressieren. Die ENISA-Leitlinien zur Lieferkettensicherheit unterstreichen, dass diese Verpflichtung aktiv und substanziell ist, nicht ein Häkchen auf einer Checkliste. Diese Verantwortung lässt sich nicht vertraglich auslagern. Wenn ein Sicherheitsvorfall bei einem Lieferanten auf Ihre Umgebung übergreift und keine angemessene Sorgfaltsprüfung durchgeführt wurde, mindert ein Vertragspassus Ihre regulatorische Exposition nicht. NIS2 macht Ihr Unternehmen verantwortlich, und das Management trägt diese Verantwortung.
Häufig gestellte Fragen zu NIS2-Missverständnissen
Gilt NIS2 für unser Unternehmen, wenn wir weniger als 50 Mitarbeitende haben?
In der Regel nein. NIS2 gilt für Einrichtungen, die nach der EU-Empfehlung 2003/361/EG als mittlere oder große Unternehmen eingestuft werden, also mindestens 50 Beschäftigte oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Millionen Euro aufweisen, und die in einem der 18 erfassten Sektoren tätig sind. Kleinere Unternehmen können jedoch indirekt betroffen sein: NIS2-pflichtige Einrichtungen müssen die Sicherheit ihrer Lieferkette bewerten, was Erwartungen auch an kleinere Lieferanten erzeugt. Den Kertos NIS2-Checker können Sie nutzen, um Ihren Status schnell zu prüfen.
Erfüllt eine ISO-27001-Zertifizierung die NIS2-Anforderungen?
Teilweise. ISO 27001 schafft eine starke Grundlage für NIS2, insbesondere in den Bereichen Risikomanagement und Sicherheitskontrollen. NIS2 ergänzt dies jedoch um verpflichtende Meldefristen bei Vorfällen (24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht), mehrstufige Lieferkettensicherheitspflichten und die persönliche Haftung des Managements, die ISO 27001 nicht adressiert. ISO-27001-zertifizierte Unternehmen sollten eine Gap-Analyse durchführen, um festzustellen, welche zusätzlichen Maßnahmen NIS2 erfordert.
Welche Bußgelder drohen bei NIS2-Nicht-Compliance?
Wesentliche Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen gilt eine Obergrenze von 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Mitgliedstaaten können höhere nationale Schwellenwerte festlegen: Deutschland hat für wesentliche Einrichtungen eine Obergrenze von 20 Millionen Euro gesetzt, mit persönlichen Bußgeldern von bis zu 500.000 Euro für einzelne Manager bei nachgewiesenen Governance-Versäumnissen.
Was verlangt NIS2 bei der Meldung von Sicherheitsvorfällen?
Wesentliche Einrichtungen müssen innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls eine Frühwarnung an die zuständige nationale Behörde übermitteln. Eine vollständigere Meldung folgt innerhalb von 72 Stunden, ein Abschlussbericht innerhalb eines Monats. Für wichtige Einrichtungen gilt die 72-Stunden-Frist für die erste Meldung. Es handelt sich um verbindliche regulatorische Pflichten mit Durchsetzungskonsequenzen, keine internen Zielvorgaben.
Wie unterstützt Kertos die NIS2-Compliance?
Kertos ist eine europäische Compliance-Automatisierungsplattform, die Unternehmen dabei hilft, kontinuierliche NIS2-Compliance zu erreichen und aufrechtzuerhalten. Die Plattform automatisiert die Nachweiserhebung, ordnet Ihre Sicherheitskontrollen den NIS2-Anforderungen zu, verfolgt den Status Ihres Compliance-Programms in Echtzeit und unterstützt das Management der Lieferkettensicherheit. Für Unternehmen, die parallel ISO 27001 oder andere Frameworks anstreben, verwaltet Kertos mehrere Frameworks gleichzeitig und reduziert so Doppelarbeit und operativen Aufwand. Buchen Sie eine Demo, um die Plattform in der Praxis zu erleben.
NIS2-Missverständnisse sind keine kleine Unannehmlichkeit. Sie sind der Grund, warum Unternehmen unvorbereitet in Durchsetzungsgespräche geraten, mit Lücken, die Monate früher hätten geschlossen werden können. Die Richtlinie ist weitreichend, die Pflichten sind rechtlich verbindlich, und die persönlichen Konsequenzen für das Management sind so konkret, dass sie sich nicht stillschweigend delegieren lassen. NIS2 ist aber auch erreichbar. Unternehmen, die sie klar und ohne den Filter von Wunschdenken angehen, stellen regelmäßig fest, dass der Weg zur Compliance weit handhabbarer ist, als die Mythen vermuten ließen. Die Fakten klar zu kennen, ist der einzige sinnvolle Ausgangspunkt.
