NIS2 ist die überarbeitete EU-Richtlinie für Netzwerk- und Informationssicherheit.

Sie verpflichtet Unternehmen in kritischen Sektoren, ihre IT-Systeme gegen Cyberangriffe abzusichern, Sicherheitsvorfälle innerhalb von 24 Stunden zu melden und sich regelmäßigen Kontrollen zu unterziehen.

Im Vergleich zur ersten NIS-Richtlinie von 2016 erweitert NIS2 den Anwendungsbereich von etwa 25.000 auf rund 160.000 betroffene Unternehmen in der EU. Neu ist auch die persönliche Haftung der Geschäftsführung: Wer Cybersicherheit ignoriert, riskiert nicht nur Bußgelder bis zu 10 Millionen Euro, sondern haftet als Geschäftsführer persönlich.

NIS2 verfolgt ein klares Ziel: Europa widerstandsfähiger gegen Cyberangriffe machen.

Die Richtlinie schließt drei wesentliche Lücken der Vorgängerversion. Erstens schafft sie einheitliche Mindeststandards, damit Unternehmen in allen EU-Ländern vergleichbare Sicherheitsmaßnahmen umsetzen.

Zweitens bezieht sie deutlich mehr Branchen ein, darunter Lebensmittelversorgung, Abfallwirtschaft und öffentliche Verwaltung.

Drittens sorgen spürbare Strafen und persönliche Haftung dafür, dass Cybersicherheit zur Chefsache wird. Das Ergebnis soll ein robustes Sicherheitsnetz sein, das kritische Infrastrukturen schützt und das Vertrauen in digitale Dienste stärkt.

Im Gegensatz zur DSGVO handelt es sich bei NIS2 nicht um eine Verordnung, sondern um eine Direktive.

Als Verordnung gilt die DSGVO unmittelbar in allen Mitgliedsstaaten der EU. NIS2 als Direktive tut dies nicht. Sie muss erst in nationale Gesetze überführt werden, damit die in den Mitgliedsstaaten ansässigen Unternehmen hiervon betroffen sind. Die DSGVO und NIS2 schützen unterschiedliche Rechtsgüter. Die DSGVO fokussiert auf den Schutz

personenbezogener Daten natürlicher Personen. NIS2 hingegen sichert Netzwerke und Informationssysteme kritischer Infrastrukturen ab.

Ein Ransomware-Angriff auf ein Krankenhaus löst potenziell beide Regelwerke aus: NIS2 wegen der Störung kritischer Dienste, DSGVO wegen der betroffenen Patientendaten. Die Meldepflichten unterscheiden sich erheblich: NIS2 verlangt eine Erstmeldung binnen 24 Stunden, die DSGVO gibt 72 Stunden für Datenschutzverletzungen vor.

Hier eine Tabelle, die DGVO und NIS2 vergleicht:

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS), NIS2 eine gesetzliche Anforderung. Der entscheidende Unterschied: ISO 27001 ist freiwillig und führt zu einer Zertifizierung, NIS2 ist Pflicht mit behördlicher Überwachung und Sanktionen.

Praktisch gesehen deckt ISO 27001 etwa 70-80% der NIS2-Anforderungen ab. Unternehmen mit bestehender ISO-Zertifizierung haben einen erheblichen Vorsprung, müssen aber Lücken schließen: die strengen Meldefristen, die explizite Geschäftsführerhaftung und die Registrierungspflichten kennt ISO 27001 nicht.

Hier eine Tabelle, die ISO27001 und NIS2 vergleicht:

ISO 42001 ist der neue Standard für KI-Managementsysteme und adressiert die spezifischen Risiken künstlicher Intelligenz: Bias, Transparenz, menschliche Kontrolle. NIS2 betrachtet KI-Systeme nur als Teil der allgemeinen IT-Infrastruktur, die zu schützen ist. Die Schnittmenge ist gering.

Ein Unternehmen, das KI-basierte Dienste in einem NIS2-relevanten Sektor betreibt, benötigt beide: ISO 42001 für das verantwortungsvolle KI-Management, NIS2 für die Cybersicherheit der zugrundeliegenden Systeme. Mit dem EU AI Act kommt eine weitere Regulierungsebene hinzu, die ISO 42001 als Implementierungsrahmen nutzen kann.

Hier eine Tabelle, die ISO42001 und NIS2 vergleicht:

DSGVO schützt Daten, NIS2 schützt Systeme, ISO 27001 systematisiert Sicherheit, ISO 42001 steuert KI-Risiken. Für Unternehmen in kritischen Sektoren bedeutet das: NIS2-Compliance ist Pflicht, ISO 27001 liefert 70-80% der Grundlage, DSGVO läuft parallel bei Personendatenbezug, und ISO 42001 wird relevant, sobald KI-Systeme im Einsatz sind.

Die guteNachricht: Kertos automatisiert alle vier Frameworks in einer Plattform. Die Überschneidungenwerden automatisch erkannt, Doppelarbeit entfällt.

Die EU-Richtlinie trat am 16. Januar2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 innationales Recht umsetzen. Deutschland hat diese Frist verpasst. Das NIS2-Umsetzungsgesetz wurde im Dezember 2025 verabschiedet und ist unmittelbar in Kraft.

Eine Übergangsfrist ist nicht vorgesehen. Für betroffene Unternehmen bedeutet das: Wer jetzt mit der Vorbereitung beginnt, hat noch Zeit für eine strukturierte Umsetzung. Wer wartet, riskiert Hektik und Compliance-Lücken.

Sie wissen nicht, ob Ihr Unternehmen betroffen ist? Der kostenlose NIS2-Check von Kertos zeigt in wenigen Minuten,welche Anforderungen auf Sie zukommen.

Die Umsetzungsfrist endete am 17. Oktober 2024. Vollständig in nationales Recht überführt haben NIS2 bisher: Belgien, Italien, Kroatien, Litauen, Lettland, Ungarn, Griechenland, Rumänien, Slowakei, Finnland, Dänemark, Zypern, Malta, Slowenien, Estland und Tschechien. Deutschland, Frankreich und die Niederlande befinden sich noch im Gesetzgebungsprozess.

Für deutsche Unternehmen gilt: Die Kernanforderungen aus der Richtlinie sind klar definiert. Wer jetzt mit der Vorbereitung beginnt, vermeidet Zeitdruck bei Inkrafttreten des deutschen Umsetzungsgesetzes.

Nein. NIS2 ist eine gesetzliche Verpflichtung, keine freiwillige Zertifizierung wie ISO 27001. Der Unterschied ist entscheidend: Bei ISO 27001 entscheidet das Unternehmen selbst, ob es sich zertifizieren lässt.

Bei NIS2 entscheidet der Gesetzgeber, dass bestimmte Unternehmen die Anforderungen erfüllen müssen. Die Einhaltung wird von nationalen Behörden wie dem BSI kontrolliert. Bei Verstößen drohen empfindliche Bußgelder und persönliche Haftung der Geschäftsführung.

Eine ISO 27001-Zertifizierung deckt allerdings etwa 70-80% der NIS2-Anforderungen ab und erleichtert die Compliance erheblich.

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen in insgesamt 18 Sektoren.

Wesentliche Einrichtungen (Annex I): Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT-Dienstleistungsmanagement, Öffentliche Verwaltung und Weltraum.

Wichtige Einrichtungen (Annex II): Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste und Forschung.

Die Größenschwelle liegt grundsätzlich bei 50 oder mehr Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro bei gleichzeitig über 10 Millionen Euro Bilanzsumme. In Deutschland sind rund 29.850 Unternehmen betroffen.

Sie wollen wissen, ob Ihr Unternehmen unter NIS2 fällt? Der kostenlose NIS2-Check von Kertos gibt Ihnen in wenigen Minuten Klarheit

Ja, seit Dezember 2025. Nach erheblichen Verzögerungen hat Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet, das die EU-Richtlinie in nationales Recht überführt.

Die ursprüngliche EU-Frist vom 17. Oktober 2024 wurde verfehlt – Deutschland gehörte zu den Nachzüglern bei der Umsetzung. Das Gesetz erweitert das bisherige IT-Sicherheitsgesetz und das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) erheblich. Die Durchsetzung liegt beim BSI als zuständiger Aufsichtsbehörde.

NIS2 verändert die Anforderungen an Unternehmen grundlegend. Die Geschäftsführung trägt persönliche Haftung für Cybersicherheitsmängel – Paragraf 38 BSIG macht diese Verantwortung sogar unverzichtbar. Unternehmen müssen Risikomanagement in zehn definierten Sicherheitsbereichen nachweisen, darunter Incident-Handling, Business Continuity, Lieferkettensicherheit und Kryptografie.

Bei Sicherheitsvorfällen gilt eine dreistufige Meldepflicht: Frühwarnung innerhalb von 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach 30 Tagen. Die Bußgelder erreichen DSGVO-Niveau mit bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Neu ist auch die verpflichtende Schulung der Geschäftsleitung zu Cybersicherheitsrisiken und deren Überwachung.

Rund 29.850 Unternehmen in Deutschland fallen unter NIS2 – eine massive Ausweitung gegenüber den bisherigen KRITIS-Regelungen.

Die Schwellenwerte sind klar definiert: mindestens 50 Mitarbeiter oder Jahresumsatz über 10 Millionen Euro bei gleichzeitiger Bilanzsumme über 10 Millionen Euro. Beide finanziellen Kriterien müssen überschritten werden.

Betroffen sind 18 Sektoren, aufgeteilt in zwei Kategorien. Wesentliche Einrichtungen umfassen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit,

Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung und Weltraum. Wichtige Einrichtungen decken Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung ab.

Auch Unternehmen außerhalb der EU sind betroffen, wenn sie Dienstleistungen in Deutschland erbringen und die Kriterien erfüllen. Sie müssen einen Vertreter in einem EU-Mitgliedstaat benennen.

Unsicher, ob Ihr Unternehmen unter NIS2 fällt? Kertos bietet eine kostenlose NIS2-Gap-Analyse

Die NIS2-Vorbereitung beginnt mit einer klaren Bestandsaufnahme. Prüfen Sie zunächst, ob Ihr Unternehmen überhaupt in den Anwendungsbereich fällt – das betrifft Unternehmen mit mehr als 50 Mitarbeitenden oder über 10 Millionen Euro Jahresumsatz in den 18 definierten Sektoren.

Der praktische Weg zur Compliance umfasst fünf Kernschritte: Führen Sie eine Gap-Analyse gegen die zehn Sicherheitsdomänen aus Artikel 21 durch. Etablieren Sie ein Risikomanagement-Framework, das Bedrohungen systematisch erfasst und bewertet. Bauen Sie eine Incident-Response-Fähigkeit auf, die 24-Stunden-Meldungen ermöglicht – das ist operativ anspruchsvoll und braucht Zeit. Dokumentieren Sie Ihre Lieferketten-Sicherheit, denn NIS2 verlangt explizit die Bewertung von ICT-Dienstleistern.

Briefen Sie Ihre Geschäftsführung über die persönliche Haftung nach Artikel 20 – das ist keine IT-Aufgabe mehr, sondern Vorstandsthema. Rechnen Sie mit 6 bis 12 Monaten Implementierungszeit bei geringer Ausgangsmaturität. Mit bestehender ISO 27001-Zertifizierung verkürzt sich das auf 2 bis 4 Monate, da etwa 70% der Anforderungen überlappen.

Der Markt bietet drei Optionen mit sehr unterschiedlichem Preis-Leistungs-Verhältnis. Klassische Beratungshäuser wie die Big Four oder spezialisierte IT-Security-Berater verlangen typischerweise 150.000 bis 300.000 Euro für NIS2-Projekte. Der Ansatz ist personalintensiv, projektbasiert und endet oft mit einmaliger Compliance statt kontinuierlicher Konformität.

Compliance-Automatisierungsplattformen wie Kertos kombinieren Software mit Expertenbegleitung. Der Aufwand für Unternehmen reduziert sich auf 15 bis 20 Stunden Eigenleistung, und die Kosten sinken deutlich.

Der Vorteil: Automatisierte Evidenzsammlung, integriertes Risikomanagement und kontinuierliche Compliance statt jährlicher Audit-Hektik. Hybride Ansätze nutzen Plattformen als Basis und ergänzen punktuell Beratungsleistungen für komplexe Sonderfragen. Für deutsche Mittelständler, die NIS2 ohne sechsstellige Beraterbudgets bewältigen wollen, ist die Plattform-Route der pragmatischste Weg.

NIS2 schreibt keine spezifischen Technologien vor, sondern verlangt "angemessene und verhältnismäßige" Maßnahmen. Die zehn Sicherheitsdomänen aus Artikel 21 erfordern jedoch bestimmte technische Kategorien.

Für Incident Detection und Response brauchen Sie SIEM-Systeme oder Managed Detection Services, die Vorfälle innerhalb von 24 Stunden erkennbar und meldbar machen.

Im Bereich Backup und Business Continuity sind unveränderbare Backup-Lösungen mit geografischer Trennung und getesteten Wiederherstellungsprozessen erforderlich. Access Management verlangt Multi-Faktor-Authentifizierung und privilegiertes Zugriffsmanagement – NIS2 fordert MFA explizit für kritische Zugriffe.

Vulnerability Management umfasst kontinuierliches Scanning und Patch-Management zur Erfüllung der Anforderung "Schwachstellenmanagement".

Für Kryptografie sind Verschlüsselungslösungen für Daten in Transit und at Rest notwendig, wo angemessen.

Wichtiger als einzelne Tools ist die Integration: Compliance-Plattformen mit über 100 nativen Integrationen sammeln Nachweise automatisch aus bestehenden Systemen wie AWS, Azure, GitHub oder JIRA und reduzieren den manuellen Dokumentationsaufwand um bis zu 80%.

Die ursprüngliche NIS-Richtlinie von 2016 legte das Fundament für Cybersicherheit in der EU. NIS2 baut darauf auf, verschärft die Anforderungen erheblich und erweitert den

Anwendungsbereich. Wer bereits NIS1-konform ist, hat eine solide Basis – muss aber mit substanziellen Lücken rechnen.

Bereits durch NIS1 abgedeckte Bereiche:

Risikoanalyse und Sicherheitsmaßnahmen bildeten schon unter NIS1 den Kern der Compliance. Unternehmen mussten „angemessene und verhältnismäßige" technische und organisatorische Maßnahmen implementieren. Allerdings blieb NIS1 bei der Definition vage – NIS2 konkretisiert dies nun mit zehn explizit genannten Sicherheitsdomänen.

Vorfallmeldung war ebenfalls bereits Pflicht. NIS1 forderte Meldungen innerhalb von etwa 72 Stunden. NIS2 verschärft dies auf ein dreistufiges System: 24-Stunden-Frühwarnung, 72-Stunden-Detailmeldung und 30-Tage-Abschlussbericht.

Grundlegende Sektoren wie Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser und digitale Infrastruktur fallen unter beide Richtlinien. NIS2 erweitert jedoch von 7 auf 18 Sektoren.

Vergleichstabelle:NIS1 vs. NIS2 Abdeckung

Die entscheidenden Lücken

Wer NIS1 erfüllt, deckt etwa 30–40% der NIS2-Anforderungen ab. Die kritischsten neuen Pflichten:

Persönliche Geschäftsführerhaftung ist komplett neu. Artikel 20 macht Führungskräfte direkt verantwortlich für Genehmigung und Überwachung der Sicherheitsmaßnahmen. In Deutschland kann diese Haftung laut §38 BSIG nicht einmal durch Gesellschafterbeschluss ausgeschlossen werden.

24-Stunden-Meldepflicht erfordert operative Fähigkeiten, die die meisten Unternehmen noch nicht haben: 24/7-Monitoring, schnelle Klassifizierungsprozesse und vorab autorisierte Meldeverantwortliche.

Supply Chain Security muss systematisch dokumentiert werden – Lieferantenbewertungen, vertragliche Sicherheitsanforderungen und kontinuierliches Monitoring.

NIS1-Compliance ist ein Startpunkt, keine Ziellinie. Eine formale Gap-Analyse gegen die zehn NIS2-Sicherheitsdomänen zeigt, wo Handlungsbedarf besteht.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet als zuständige Behörde offizielle Informationen und Veranstaltungen an. Branchenverbände wie Bitkom und IHKs führen regelmäßig NIS2-Schu

Kertos veranstaltet regelmäßig deutschsprachige Webinare speziell für den Mittelstand – Themen wie „NIS2 für Mittelstand" oder „Persönliche Haftung der Geschäftsführung" stehen dabei im Fokus. Wichtig zu wissen: Artikel 20 der NIS2-Richtlinie verlangt ausdrücklich, dass Geschäftsführer an Cybersicherheitsschulungen teilnehmen. Diese Pflicht lässt sich nicht delegieren.

Die EU-Frist für die nationale Umsetzung war der 17. Oktober 2024. Deutschland hat diese Frist verpasst – das NIS2-Umsetzungsgesetz wird voraussichtlich Anfang 2026 in Kraft treten. Sobald das Gesetz gilt, gibt es keine Übergangsfrist. Compliance wird ab Tag eins erwartet. Betroffene Unternehmen müssen sich zudem innerhalb von 1-5 Monaten nach Inkrafttreten bei der zuständigen Behörde registrieren. Wer jetzt mit der Vorbereitung beginnt, hat noch ausreichend Zeit. Für Unternehmen ohne etabliertes Sicherheitsprogramm sollten 6-12 Monate eingeplant werden

Die Bußgelder orientieren sich am DSGVO-Modell. Wesentliche Einrichtungen (Essential Entities) riskieren bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen (Important Entities) können mit bis zu 7 Millionen EUR oder 1,4% des Umsatzes belangt werden.

Das eigentlich Neue an NIS2: die persönliche Haftung der Geschäftsführung. Section 38 des deutschen BSIG macht Geschäftsführer persönlich haftbar für Schäden aus Pflichtverletzungen. Diese Haftung kann nicht durch Verzichtserklärungen oder Vergleiche ausgeschlossen werden – auch nicht durch das Unternehmen selbst. Zusätzlich können Aufsichtsbehörden bei wesentlichen Einrichtungen ein vorübergehendes Berufsverbot für Führungskräfte aussprechen.

Ein NIS2-konformer Notfallplan basiert auf Artikel 21(2)(c) der Richtlinie und umfasst drei Kernbereiche: Backup-Management, Disaster Recovery und Krisenmanagement.

Der praktische Aufbau beginnt mit einer Business Impact Analyse (BIA).

Identifizieren Sie zunächst Ihre kritischen Geschäftsfunktionen und definieren Sie für jede ein Recovery Time Objective (RTO) – also wie schnell die Funktion wiederhergestellt sein muss – sowie ein Recovery Point Objective (RPO) – wie viel Datenverlust maximal

akzeptabel ist. Ein Kundenportal benötigt vielleicht 4 Stunden RTO, während interne Reporting-Systeme 72 Stunden tolerieren können.

Dokumentieren Sie anschließend konkrete Wiederherstellungsprozeduren.

Für jedes kritische System brauchen Sie schrittweise Anleitungen, die auch jemand Unbekanntes ausführen kann. Dazu gehören Entscheidungskriterien für die Aktivierung, erforderliche Zugangsdaten, Verifizierungsschritte und geschätzte Zeitangaben pro Schritt.

Das Krisenmanagement-Team muss vorab definiert sein:

Executive Sponsor mit Entscheidungsbefugnis, technischer Leiter, Kommunikationsverantwortlicher und Rechts-/Compliance-Ansprechpartner. Wichtig: Das Team braucht vorgenehmigte Entscheidungskompetenzen – während einer Krise auf Freigaben zu warten kostet kritische Zeit.

Testen Sie regelmäßig Tabletop-Übungen halbjährlich, funktionale Tests der Backup-Wiederherstellung quartalsweise für kritische Systeme. Ein Notfallplan, der nie getestet wurde, ist eine Annahme – keine Fähigkeit.

‍

NIS2 schreibt keinen bestimmten Anbieter vor. Die Richtlinie verlangt, dass Sie Ihre Lieferanten bewerten und Sicherheitsanforderungen vertraglich festhalten (Artikel 21(2)(d)).

Ein Cloud-Dienstleister unterstützt Ihre NIS2-Compliance, wenn er folgende Nachweise liefert:

ISO 27001-Zertifizierung als Basis, SOC 2 Type II-Reports für operative Sicherheit, Datenhaltung innerhalb der EU (wichtig für DSGVO-Konformität und viele nationale NIS2-Umsetzungen) sowie dokumentierte Incident-Response-Prozesse mit definierten Meldefristen.

Die großen Hyperscaler (AWS, Azure, Google Cloud) bieten EU-Regionen und umfangreiche Compliance-Dokumentation. Allerdings liegt die Verantwortung für die korrekte Konfiguration bei Ihnen – das Shared-Responsibility-Modell bedeutet, dass der Anbieter die Infrastruktur sichert, Sie aber Ihre Anwendungen und Daten.

Europäische Alternativen wie IONOS, OVHcloud oder Hetzner positionieren sich gezielt für Unternehmen mit strengen Datenlokalisierungsanforderungen. Prüfen Sie bei jedem Anbieter: Gibt es ein Data Processing Agreement nach DSGVO-Standards? Sind Subunternehmer dokumentiert? Welche Zertifizierungen liegen aktuell vor?

Entscheidend für NIS2: Dokumentieren Sie Ihre Lieferantenbewertung, integrieren Sie Sicherheitsklauseln in Verträge und überwachen Sie die Anbieter kontinuierlich. Ihr reguliertes Unternehmen bleibt verantwortlich – auch wenn der Cloud-Dienst versagt.

Offizielle Quellen liefern die verbindliche Grundlage. Die ENISA (EU-Agentur für Cybersicherheit) veröffentlicht Technical Implementation Guidance mit konkreten Anforderungen pro Artikel.

Das BSI stellt für Deutschland spezifische Umsetzungshilfen bereit, sobald die nationale Gesetzgebung finalisiert ist. Die EU-Kommission hat mit der Implementing Regulation (EU) 2024/2690 technische Mindestanforderungen definiert.

Praktische Umsetzungshilfen finden Sie bei Kertos. Unter kertos.io/nis2 bieten wir einen kostenlosen NIS2-Check, der in wenigen Minuten Ihre Betroffenheit und Ihren aktuellen Stand analysiert. Kertos NIS2-Modul enthält vorgefertigte Dokumentation, automatisierte ICT-Lieferantenerfassung und Templates für die 24-Stunden-Meldepflicht.

Der Kertos NIS2 FAQ beantwortet die häufige Fragen, von Grundlagen über Haftungsfragen bis zu konkreten Implementierungsschritten. Für Unternehmen, die schnell Klarheit brauchen: Unsere Experten führen in 6 Wochen zur NIS2-Konformität, bei einem Zeitaufwand von nur 15-20 Stunden auf Ihrer Seite.