Informationssicherheit

Die NIS2-Richtlinie: Der vollständige Leitfaden für 2026

Was NIS2 ist, für wen sie gilt, was sie verlangt und wo die Umsetzung heute steht.

Autor
Catherine Higginson
Datum
13.7.2026
Aktualisiert am
13.7.2026
Die NIS2-Richtlinie: Der vollständige Leitfaden für 2026

Das Wichtigste in Kürze

  • NIS2 ist die erweiterte Cybersicherheitsrichtlinie der EU, die die ursprüngliche NIS-Richtlinie ersetzt und schätzungsweise 160.000 Organisationen erfasst.
  • Sie teilt Organisationen in „wesentliche" und „wichtige" Einrichtungen in 18 Sektoren ein, überwiegend mittlere und größere Unternehmen.
  • Die Kernpflichten sind zehn grundlegende Risikomanagementmaßnahmen und eine strenge Vorfallmeldung: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen eines Monats.
  • Die Geschäftsleitung haftet persönlich für die Einhaltung, und die Bußgelder erreichen bei wesentlichen Einrichtungen 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
  • Die Umsetzungsfrist war der 17. Oktober 2024; bis Mitte 2026 haben die meisten Mitgliedstaaten, darunter Deutschland, NIS2 in nationales Recht umgesetzt, einige stehen noch aus.

Die NIS2-Richtlinie ist die bislang größte Ausweitung des EU-Cybersicherheitsrechts, und wenn Ihr Unternehmen in Europa tätig ist oder dorthin verkauft, gilt sie mit hoher Wahrscheinlichkeit auch für Sie. Sie ersetzt die NIS-Richtlinie von 2016 durch strengere Anforderungen, einen deutlich größeren Anwendungsbereich und Bußgelder, die bis in die Führungsebene reichen. Dieser Leitfaden erklärt, was die NIS2-Richtlinie ist, welche Organisationen sie erfasst, welche Pflichten sie auferlegt und was der aktuelle Umsetzungsstand für Ihre Fristen bedeutet.

Er ist der zentrale Bezugspunkt für unsere NIS2-Inhalte. Sobald Sie hier die Grundzüge verstanden haben, gehen die verlinkten Beiträge in die Tiefe, von sektorspezifischen Pflichten bis zur Notfallplanung.

Was ist die NIS2-Richtlinie?

NIS2 ist die EU-Richtlinie 2022/2555, ein Gesetz, das einen gemeinsamen, angehobenen Mindeststandard für das Cybersicherheits-Risikomanagement und die Meldung von Sicherheitsvorfällen in wesentlichen und wichtigen Sektoren festlegt. Sie ist im Januar 2023 in Kraft getreten und hat die ursprüngliche NIS-Richtlinie von 2016 ersetzt, die als zu eng und zu uneinheitlich angewandt galt.

Die wichtigste Änderung ist die Reichweite. Wo die erste Richtlinie einige Tausend Betreiber erfasste, bezieht NIS2 weit mehr Organisationen ein, nach einigen Schätzungen rund 160.000 in der EU, und vereinheitlicht die Pflichten, sodass ein Unternehmen weitgehend überall dieselben Erwartungen erfüllt. Den vollständigen Text finden Sie über die amtliche EU-Rechtsdatenbank, und die EU-Cybersicherheitsagentur veröffentlicht laufend Umsetzungshinweise.

Für wen gilt NIS2?

NIS2 gilt für mittlere und größere Organisationen in einem der erfassten Sektoren, unterteilt in zwei Stufen: wesentliche und wichtige Einrichtungen. Als Faustregel bedeutet das Organisationen mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Umsatz in einem gelisteten Sektor, wobei einige Organisationen wegen ihrer Kritikalität unabhängig von der Größe erfasst sind. Welche Pflichten an Ihre Stufe geknüpft sind, erläutert unsere Aufschlüsselung der NIS2-Anforderungen im Detail. Der Anwendungsbereich ist auch die Stelle, an der die meisten Irrtümer entstehen, von „wir sind zu klein" bis „das ist Sache der IT", die wir in den gefährlichsten NIS2-Irrtümern ausräumen.

Beide Stufen unterliegen denselben Kernpflichten, aber unterschiedlicher Aufsicht und unterschiedlichen Bußgeldobergrenzen. Die Tabelle fasst die Unterschiede zusammen.

Wesentliche Einrichtungen Wichtige Einrichtungen
BeispielsektorenEnergie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, öffentliche Verwaltung, WeltraumPost- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung
AufsichtProaktiv (Behörden können vor jedem Vorfall prüfen)Reaktiv (Prüfung vor allem nach einem Vorfall oder bei Hinweisen auf Verstöße)
Höchstbußgeld10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, was höher ist7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist

Betreiber kritischer Infrastrukturen (oft dieselben Organisationen, die unter die nationalen KRITIS-Regeln fallen) unterliegen den intensivsten Pflichten. Wenn das auf Sie zutrifft, deckt der NIS2-Implementierungsleitfaden für KRITIS die Einzelheiten ab.

Was NIS2 verlangt: Risikomanagement und Vorfallmeldung

Zwei Pflichten stehen im Zentrum von NIS2: ein Satz grundlegender Risikomanagementmaßnahmen und eine schnelle Vorfallmeldung. Artikel 21 listet zehn Mindestmaßnahmen auf, die jede erfasste Einrichtung umsetzen muss:

  • Risikoanalyse und Informationssicherheitsleitlinien
  • Bewältigung von Sicherheitsvorfällen
  • Betriebskontinuität, Backup-Management und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen
  • Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
  • Grundlegende Cyberhygiene und Schulungen
  • Kryptografie und Verschlüsselung
  • Zugangskontrolle, Asset-Management und Personalsicherheit
  • Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Die zweite Pflicht ist die Meldegeschwindigkeit. Bei einem erheblichen Sicherheitsvorfall setzt NIS2 eine strenge Frist, und deren Versäumnis ist selbst ein Verstoß. Betriebskontinuität zieht sich als Thema durch diese Maßnahmen, was unser Leitfaden zur NIS2-Notfallplanung vertieft.

Frist Was Sie einreichen
Binnen 24 StundenFrühwarnung, die den Vorfall an Ihre nationale Behörde meldet
Binnen 72 StundenVorfallmeldung mit erster Bewertung, Schweregrad und Kompromittierungsindikatoren
Binnen 1 MonatAbschlussbericht zu Ursache, Behebung und Auswirkungen

Verantwortung der Geschäftsleitung und Bußgelder

NIS2 legt die Verantwortung auf das Leitungsorgan, nicht nur auf das Sicherheitsteam. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen, und sie kann für Versäumnisse persönlich haften. Diese bewusste Verschiebung soll Sicherheit auf die Führungsagenda heben, weshalb es unsere NIS2-Checkliste für Geschäftsführer gibt.

Die Bußgelder unterstreichen das. Wesentliche Einrichtungen drohen Geldbußen bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes, je nachdem, was höher ist; wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Behörden können außerdem Zertifizierungen aussetzen und bei wesentlichen Einrichtungen Personen vorübergehend von Leitungsaufgaben ausschließen.

NIS2-Fristen und Umsetzungsstand 2026

NIS2 ist eine Richtlinie und wirkt daher über das nationale Recht jedes Mitgliedstaats, nicht unmittelbar. Die Umsetzungsfrist war der 17. Oktober 2024. In der Praxis haben die meisten Mitgliedstaaten sie verpasst, und das Bild ist weiterhin uneinheitlich.

Bis Mitte 2026 hat die große Mehrheit der 27 Mitgliedstaaten NIS2 in nationales Recht umgesetzt, darunter Deutschland. Einige, unter anderem Frankreich, Irland, Luxemburg, die Niederlande und Spanien, waren noch dabei, ihre Gesetze abzuschließen, und die Europäische Kommission hat mehrere von ihnen wegen der Verzögerung vor den Gerichtshof gebracht. Die praktische Konsequenz: Die Pflichten gelten in weiten Teilen der EU bereits, und die Richtung ist eindeutig, weshalb das Warten auf die nationale Frist keine Strategie ist. Die NIS2-Seiten der Europäischen Kommission verfolgen den Stand Land für Land.

Wie Sie sich auf NIS2 vorbereiten

Der schnellste Weg zur NIS2-Bereitschaft führt über ein Informationssicherheits-Managementsystem, das Sie vielleicht bereits haben oder planen. Die zehn Maßnahmen von NIS2 decken sich weitgehend mit ISO 27001, wenn Sie also zertifiziert sind oder darauf hinarbeiten, sind Sie schon fast am Ziel; unser Leitfaden zu den Überschneidungen von NIS2 und ISO 27001 zeigt genau, wie beide zusammenpassen.

Von dort besteht die Arbeit darin, Anwendungsbereich und Stufe zu bestätigen, die Lücken gegenüber den zehn Maßnahmen zu schließen, den 24/72-Stunden-Meldeprozess aufzusetzen und die Geschäftsleitung zu schulen und einzubinden. Kertos automatisiert die Nachweis- und Kontrollarbeit dahinter und bildet ein Kontroll-Set über NIS2, ISO 27001 und Ihre weiteren Rahmenwerke ab, sodass NIS2 zur Erweiterung Ihres Programms wird statt zu einem separaten Projekt. Die Einzelheiten finden Sie auf der NIS2-Lösungsseite oder auf der Compliance-Plattform.

Häufige Fragen

Wer muss NIS2 einhalten?

Mittlere und größere Organisationen (in der Regel ab 50 Beschäftigten oder über 10 Millionen Euro Umsatz) in einem der erfassten Sektoren, eingestuft als wesentliche oder wichtige Einrichtungen. Einige Organisationen sind wegen ihrer Kritikalität unabhängig von der Größe erfasst.

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Beide unterliegen denselben Kernpflichten, aber wesentliche Einrichtungen werden proaktiv beaufsichtigt und drohen höhere Bußgelder (bis zu 10 Mio. Euro oder 2 % des Umsatzes), während wichtige Einrichtungen reaktiv beaufsichtigt werden und niedrigere Obergrenzen haben (bis zu 7 Mio. Euro oder 1,4 %).

Welche Meldefristen gelten bei NIS2?

Eine Frühwarnung binnen 24 Stunden, eine Vorfallmeldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats nach dem erheblichen Vorfall.

Gilt NIS2 schon?

Die Umsetzungsfrist war der 17. Oktober 2024. Bis Mitte 2026 haben die meisten Mitgliedstaaten, darunter Deutschland, sie in nationales Recht umgesetzt, sodass die Pflichten in weiten Teilen der EU gelten, während einige Länder noch abschließen.

Wie verhält sich NIS2 zu ISO 27001?

Die Risikomanagementmaßnahmen von NIS2 überschneiden sich stark mit ISO 27001, sodass ein ISO-27001-ISMS einen großen Teil dessen abdeckt, was NIS2 verlangt. Die Zuordnung zeigt unser Leitfaden zu den Überschneidungen von NIS2 und ISO 27001.

Sehen Sie, wie Kertos Sie auf Basis der Rahmenwerke, die Sie bereits betreiben, NIS2-bereit macht: Demo buchen.

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Die NIS2-Richtlinie: Der vollständige Leitfaden für 2026
Bereit, deine Compliance auf Autopilot zu setzen?
Dr Kilian Schmidt

Dr Kilian Schmidt

CEO & Co-Founder, Kertos GmbH

Dr. Kilian Schmidt entwickelte schon früh ein starkes Interesse an rechtlichen Prozessen. Nach seinem Studium der Rechtswissenschaften begann er seine Karriere als Senior Legal Counsel und Datenschutzbeauftragter bei der Home24 Gruppe. Nach einer Tätigkeit bei Freshfields Bruckhaus Deringer wechselte er zu TIER Mobility, wo er als General Counsel maßgeblich am Ausbau der Rechts- und Public Policy-Abteilung beteiligt war - und das Unternehmen von einer auf 65 Städte und von 50 auf 800 Mitarbeiter vergrößerte. Motiviert durch die begrenzten technologischen Fortschritte im Rechtsbereich und inspiriert durch seine beratende Tätigkeit bei Gorillas Technologies, war er Co-Founder von Kertos, um die nächste Generation der europäischen Datenschutztechnologie zu entwickeln.

Über Kertos

Kertos ist das moderne Rückgrat der Datenschutz- und Compliance-Aktivitäten von skalierenden Unternehmen. Wir befähigen unsere Kunden, integrale Datenschutz- und Informationssicherheitsprozesse nach DSGVO, ISO 27001, TISAX®, SOC2 und vielen weiteren Standards durch Automatisierung schnell und günstig zu implementieren.

Bereit für Entlastung in Sachen Compliance?

CTA Image

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check