ARCA-Consult GmbH
Wir sichern Unternehmenswerte
ARCA-Consult GmbH

NIS-2 im Unternehmenskontext - ein Überblick

NIS steht für Netzwerk und Informationssysteme und ist eine EU-weit geltende Richtlinie.
Die NIS‑2‑Richtlinie (EU) 2022/2555 setzt EU‑weit verbindliche Mindestanforderungen an Cybersicherheit. Sie erweitert den Geltungsbereich deutlich und verschärft die Anforderungen an Risikomanagement, Meldepflichten und Aufsicht. In Deutschland gelten die Vorgaben seit 06.12.2025 über das NIS‑2‑Umsetzungsgesetz und die Novelle des BSI‑Gesetzes (BSIG‑neu).

Risiko vs Resilienz


Fakten für Unternehmen

NIS-2 ist seit dem 06.12.2025 in Kraft

Diese europäische Richtlinie sollte ursprünglich bis Oktober 2024 von allen Mitgliedstaaten der EU in nationales Recht überführt werden. Deutschland hat diese Frist jedoch nicht eingehalten, wodurch ein Vertragsverletzungsverfahren der EU-Kommission eingeleitet wurde. Eine nationale Umsetzung der NIS-2 Richtline wurde nun am 05.12.2025 im Bundestag verabschiedet und trat am 06.12.2025 mit dessen Veröffentlichung im Bundesgesetzblatt in Kraft. 
          
Bundesgesetzblatt Teil I - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung - Bundesgesetzblatt

 

Roadmap

...

16.01.2023

Die Richtlinie tritt innerhalb der EU in Kraft. Sie gilt als Mindeststandard.
...

17.10.2024

Frist für die EU-Mitgliedstaaten, die Richtlinie in nationales Recht umzusetzen. Deutschland hat diese Frist jedoch nicht eingehalten.
...

06.12.2025

NIS-2 tritt in Kraft.
Am 05.12.2025 beschloss der Bundestag mit dem NIS‑2‑Umsetzungsgesetz und die Novelle des BSI‑Gesetzes die NIS-2 Richtlinie für Deutschland.
...

17.10.2027

Erste Überprüfungen / Reviews der Richtlinie durch die EU-Kommission (Kommissionsbericht), danach alle 36 Monate.



 

Wesentliche Bestandteile von NIS-2

Nationale
Cyber-Sicherheitsstragie

Rolle der nationalen CSIRT´s und Behörden bei Cybersicherheitsvorfällen

Europäische Schwachstellendatenbank (EUVD)

Koordinierte Meldung von Vorfällen (CVD)

Verpflichtung der Leitung

Risikomanagement

Sanktionen und Bußgelder

 


Wer ist von NIS-2 betroffen?

Die Richtlinie gilt für Unternehmen und Institutionen, die ihre Dienstleistungen in der EU erbringen oder dort ausüben. 
Der Focus liegt weiterhin auf kritischen Infrastrukturen wie Energie, Verkehr und Gesundheitswesen.
Neu betroffen sind jedoch auch zahlreiche Unternehmen im klein- und mittelständischen Bereich, die bisher nicht unter die Regelungen fielen. 

Gruppe

Definition / Klasse

Besonderheiten
Besonders wichtige Einrichtungen
  • Sektoren aus Anlage 1 (kritische Sektoren)
  • ≥ 250 Mitarbeitende oder Umsatz > 50 Mio. €
    UND Bilanz > 43 Mio. €
  • Automatisch: KRITIS-Betreiber
  • Größenunabhängig: qTSP, TLD, DNS, TK-Anbieter
Wichtige Einrichtungen
  • Sektoren aus Anlage 2 (wichtige Sektoren)
  • ≥ 50 Mitarbeitende oder 
    Umsatz/Bilanz > 10 Mio. €
  • Vertrauensdienste und TK-Anbieter können
    hierunter fallen
KRITIS-Betreiber
  • Betreiber kritischer Anlagen nach BSI-KritisV
  • Schwellenwert: i. d. R. ≥ 500.000 versorgte Personen
  • Automatisch „besonders wichtig“
Bundeseinrichtungen
  • Öffentliche Stellen des Bundes, bestimmte Körperschaften und IT-Dienstleister des Bundes
  • Eigene Pflichten nach § 29 BSIG

 

Betroffenheitsanalyse

Diese muss von Ihnen selbst ermittelt werden.
Von behördlicher Seite wird Ihnen nicht mitgeteilt, ob für Sie die NIS-2-Vorgaben gelten.
BSI Betroffenheitsprüfung



Sektoren mit hoher Kritikalität

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
IKT-Dienste (B2B)
Öffentliche Verwaltung
Weltraum



Sonstige kritische Sektoren

Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel
mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb
von Lebensmitteln
Verarbeitendes Gewerbe / Herstellung
von Waren
Anbieter digitaler Dienste
Forschung

Sonderfälle - die Ausnahme von der Regel

Bestimmte Unternehmen und Institutionen fallen unabhängig von den üblichen Schwellenwerten unter den Anwendungsbereich der NIS 2 Richtlinie. Dies betrifft Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Ordnung, Sicherheit oder Gesundheit hätte oder die aufgrund ihrer Tätigkeit systemische Risiken oder grenzüberschreitende Auswirkungen verursachen könnten.

Was bedeutet das für mich als betroffenes Unternehmen?

 

Pflichten

Sie müssen einer Reihe an Pflichten nachkommen, um den Anforderungen bezüglich

  • Registrierungspflicht beim BSI
  • Cyberresilienz
  • Cyberhygiene
  • Risikomanagement
  • Business Continuity Management
  • Leitungsverantwortung
  • Lieferkettensicherheit
  • Secure Development & Betrieb
  • Koordiniertes Schwachstellen-Disclosure
  • Dokumentation & Nachweisführung
  • Berichtspflichten
im Unternehmen gerecht zu werden und damit im Krisenfall funktionsfähig zu bleiben.





Strafen

Ähnlich der DSGVO werden Bußgelder genannt, die bei Nichteinhaltung von Risikomanagementmaßnahmen im Bereich Cybersicherheit und Berichtspflichten je nach Art, Schwere und Dauer drohen.

  • Bei besonders wichtigen Einrichtungen:
    können bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes fällig werden.
  • Bei wichtigen Einrichtungen:
    können bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes fällig werden.
Zusätzlich können nicht-monetäre Sanktionen, wie Anordnungen, Audits oder Betriebsbeschränkungen, verhängt werden. Die Geschäftsleitung kann bei Verstößen persönlich haftbar gemacht werden – z. B. mit Managementverboten oder öffentlicher Sanktionierung.




Meldepflichten

Meldungen von erheblichen Sicherheitsvorfällen an die zentrale Behörde ist verpflichtend und wird bei Nichteinhaltung mit hohen Geldstrafen belegt.

  • Early Warning (max. 24 h):
    Erste Mitteilung an die zuständige Behörde oder CSIRT – z. B. bei Verdacht auf grenzüberschreitende oder kriminelle Ursachen.
  • Incident Notification (max. 72 h):
    Ausführliche Dokumentation inkl. Ersteinschätzung, Indikatoren und Updates.
  • Final Report (bis 1 Monat):
    Umfassender Abschlussbericht mit Ursachenanalyse, Maßnahmen und Lessons Learned.






Pflichten der Geschäftsleitung

  • Risikomanagement 
    Unternehmen müssen ein umfassendes Risikomanagement etablieren, das Bedrohungen für Netz- und Informationssysteme systematisch identifiziert, bewertet und behandelt. Dazu gehören Maßnahmen wie Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement und sichere Entwicklung. Die Geschäftsleitung ist verpflichtet, diese Maßnahmen zu genehmigen, deren Umsetzung zu überwachen und regelmäßig Berichte einzufordern.

  • Security Awareness 
    Mitglieder der Leitungsorgane müssen verpflichtend an Schulungen teilnehmen, um Risiken erkennen und bewerten zu können sowie wirksame Cybersicherheitspraktiken zu verstehen. Unternehmen müssen zudem regelmäßige Awareness-Programme für alle Mitarbeitenden durchführen, um menschliche Fehler und Social-Engineering-Angriffe zu minimieren. Diese Trainings sollen praxisnah sein und Themen wie Incident-Meldung, sichere Nutzung von IT-Systemen und aktuelle Bedrohungslagen abdecken.

Keine Pflicht aber Best Practice Ansatz

  • Zusammenarbeit mit Hochschulen und Forschungseinrichtungen 
    Kontinuierliche Weiterentwicklung der Cybersicherheitsstrategie durch Nutzung neuester Forschungsergebnisse. Angestrebt ist die Unterstützung und Förderung zwischen Forschung und Wirtschaft zur Weiterentwicklung von Abwehrmaßnahmen gegenüber Cyberbedrohungen.