NIS2 ist dieses Jahr in Kraft getreten – EU-Mitgliedsstaaten haben nun bis Oktober 2024, um die Richtlinie in nationales Recht umzusetzen. Doch was bedeutet das für Unternehmen und wer genau ist von der Richtlinie überhaupt betroffen?
Autor des Artikels: Thomas Müller-Martin, Lead Architect Global Partners bei Omada
Die NIS2-Richtlinie dient dem Schutz kritischer Infrastrukturen (KRITIS) in Europa und reguliert im Speziellen die Anforderungen an die IT-Sicherheit. Als Teil der EU-Strategie zur Gestaltung der digitalen Zukunft Europas im Bereich der IT-Sicherheit ist NIS2 eine direkte Erweiterung der NIS-Richtlinie von 2016, die das erste Gesetz zur IT-Sicherheit auf EU-Ebene darstellte.
Notwendig wurde diese für Brüssel, weil die weltweit dynamische Bedrohungslandschaft sich stark auf die Sicherheit von Unternehmen und damit auf die Versorgungssicherheit ganzer Länder auswirkt. Um die gesamte Lieferkette zu schützen und damit die Versorgungssicherheit zu gewährleisten, ist es durch die enge wirtschaftliche Zusammenarbeit in der EU unabdingbar, auch bezüglich der IT-Sicherheit einen gemeinsamen Rahmen zu schaffen und voneinander zu profitieren. Die erste NIS-Richtlinie wurde in den einzelnen EU-Mitgliedstaaten recht unterschiedlich umgesetzt. Nun will die EU einen einheitlicheren Ansatz für den Schutz wichtiger Sektoren schaffen, da ein großer Cyber-Angriff enorme Auswirkungen auf die Wirtschaft jedes einzelnen Mitgliedstaats, aber auch auf die gesamte Union haben könnte. Dass in Europa alle im selben Boot sitzen, wird schnell deutlich, wenn man sich die Energieversorgung ansieht: Fällt beispielsweise das nationale Energieversorgungsunternehmen eines Landes für kurze oder längere Zeit aus, werden die Strompreise ansteigen. Da Strom an einer europäischen Börse gehandelt wird, werden die Preise dann in ganz Europa erhöht.
Nationale Umsetzung
Alle Mitgliedstaaten sind verpflichtet, innerhalb der Frist eine nationale IT-Sicherheitsstrategie und ein nationales Gesetz auf die Beine zu stellen. Das Gesetz soll Anforderungen an das Risikomanagement und die Berichterstattung jener Unternehmen enthalten, die unter die NIS2-Richtlinie fallen. Außerdem soll auf nationaler Ebene eine zentrale Kontaktstelle dafür eingerichtet werden. In Deutschland wird NIS2 voraussichtlich im IT-Sicherheitsgesetz 3.0 umgesetzt.
Betroffene Institutionen
Neben den Sektoren, die in der ersten NIS-Richtlinie enthalten waren, werden mit NIS2 auch Telekommunikations- und Datenanbieter, Fracht- und Schifffahrtsunternehmen, Social-Media-Plattformen, Anbieter von Rechenzentren und Organisationen, die in der Lebensmittel-, Abfall- oder Abwasserwirtschaft tätig sind, in die Pflicht genommen.
Die von den Vorschriften betroffenen Unternehmen werden grundsätzlich in zwei Kategorien unterteilt: Essential Entities (essenzielle Einrichtungen) und Important Entities (wichtige Einrichtungen). Zu Essential Entities zählt beispielsweise der Energie- und Transportsektor sowie das Bankwesen, außerdem die Gesundheits- und Trinkwasserversorgung. Unter Important Entities sind unter anderem Postdienste, die Abfallbewirtschaftung sowie die Herstellung von Chemikalien gelistet.
Ausnahmen bestehen für Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von weniger als 50 Millionen Euro. Da aber auch kleineren Unternehmen eine Verantwortung für die Lieferkette zukommt, kann man davon ausgehen, dass Zulieferer trotzdem – sofern sie für die in der Richtlinie erfassen Sektoren relevant sind – NIS2 einhalten müssen. Desweiteren werden öffentliche Verwaltungen von der Richtlinie erfasst, obwohl derzeit noch nicht klar ist, ob auch Kommunen betroffen sind.
Wie sich Unternehmen vorbereiten können
NIS2 stellt Unternehmen vor zahlreiche Herausforderungen. Um den Anforderungen gerecht zu werden, ist es wichtig, dass man sich rechtzeitig mit den Änderungen befasst und Zuständigkeiten festlegt. Führungskräfte müssen sich das nötige Fachwissen aneignen und Verantwortung übernehmen. Zu den wichtigsten Aspekten gehören: ein wirksames Risikomanagement einschließlich Risikoanalyse und durchdachter Reaktion auf Vorfälle, sowie die Meldung und transparente Behandlung von Cyber-Vorfällen. Für die Einhaltung der Vorgaben durch die Firma ist letztlich das Management verantwortlich – bei groben Verfehlungen können auch einzelne Personen zur Rechenschaft gezogen werden.
Außerdem können Unternehmen, die der Richtlinie nicht nachkommen, mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes belegt werden. In Anbetracht dessen scheint es wichtig, darauf hinzuweisen, dass es keine spezielle NIS2-Prüfliste geben wird, an die sich die Unternehmen halten müssen. Jede Institution ist selbst dafür verantwortlich, geeignete Maßnahmen zu sondieren, um Datensicherungsbestimmungen einzuhalten. Sicherheitslösungen können dabei zwar helfen, die Einrichtung der notwendigen Berichterstattung bleibt jedoch Angelegenheit des Unternehmens.
Statt einer Checkliste mit Mindestanforderungen beinhaltet NIS2 die Beschreibung eines angemessenen Schutzniveaus, dessen Umsetzung individuell beschritten wird. Man kann wohl davon ausgehen, dass Unternehmen auf jeden Fall verschiedene Firewall- und Intrusion-Prevention-Technologien in ihrem Netzwerk benötigen. Außerdem gehören Endpunktsicherheit und die Implementierung von Multi-Faktor-Authentifizierung, Datenverschlüsselung und Zugangsbeschränkung zum erwartbaren Standardrepertoire.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Access Management
Auch das Thema Access Management spielt in der NIS2-Richtlinie eine wichtige Rolle. Die erste Erwähnung im Amtsblatt findet man bei den Maßnahmen zum Risikomanagement. Hier wird ganz konkret die Erstellung von Konzepten für die Zugriffskontrolle und das Management von Anlagen verlangt. Zudem wird im Rahmen der Vorschrift zur allgemeinen Cyber-Hygiene die Einschränkung von Zugriffskonten auf Administrator-Ebene verlangt. Außerdem ist sowohl für Essential als auch Important Entities die Implementierung eines Identity and Accessmanagement-Systems vorgesehen.
Wie Konzepte und Software-Lösungen für das Access Management im Detail aussehen, kann jede Institution selbst entscheiden. Je nach Branche und Größe der Organisation sind verschiedene Ansätze sinnvoll und erforderlich. Aber genau darum geht es bei NIS2: Einen Rahmen, ein Sicherheitsniveau zu definieren, jedoch nicht die Umsetzung zu diktieren.
Frist für die Umsetzung
Die NIS2-Richtlinie wurde Ende des letzten Jahres verabschiedet. Nun haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Dennoch sollten sich Unternehmen besser heute als morgen mit dem Thema auseinandersetzen: Bereits 18 Monate nach der Verabschiedung müssen die von der Richtlinie betroffenen Institutionen in der Lage sein, diese einzuhalten. Scheinbar eine lange Zeit. Aber moderne Sicherheitsstrategien haben immer auch eine organisatorische Komponente. Sie sind nicht bloß zu installieren, sondern müssen sich in die bestehende Sicherheitsarchitektur des Unternehmens einfügen.
Fazit
Die Umsetzung der NIS2-Richtlinie scheint auf den ersten Blick kompliziert. Viele Unternehmen haben aber bereits zielführende Maßnahmen umgesetzt, wenn sie schon die ursprünglichen NIS-Anforderungen erfüllen mussten. Andere müssen sich wiederum auf völlig neue Herausforderungen einstellen. Damit die neuen Aufgaben einen nicht überwältigen, ist es ratsam, sich so früh wie möglich mit den neuen Anforderungen auseinanderzusetzen und Experten zu konsultieren.
Thomas Müller-Martin Lead Architect Global Partners bei Omada
:quality(80)/p7i.vogel.de/wcms/9f/a5/9fa5f63cd7cdf542d9c67662169ffe01/0129491872v2.jpeg "Niedersachsens Kultusministerin Julia Willie Hamburg unterstreicht die Notwendigkeit, junge Menschen auf eine zunehmend KI-geprägte Lebens- und Arbeitswelt vorzubereiten. (Bild: © brauers.com)")
:quality(80)/p7i.vogel.de/wcms/b5/cf/b5cfde8cee850c81d4da97daab36ddbc/0129486040v2.jpeg "Der Monitor Lehrkräftebildung zeigt: Es fehlt in den meisten Hochschulen an verbindlichen Vorgaben für Medienkompetenzen. (Bild: © nibelheim - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f1/aa/f1aaaf0627ae76f94f52dc3ce738ee8c/0129481685v1.jpeg "Künstliche Intelligenz wird im OZG-Dienst „Aufenthalt Digital“ getestet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d5/b1/d5b1475f88870d67e1b4c6a4ad41863c/0129446723v2.jpeg "Die Bundesnetzagentur mit Sitz in Bonn wird zur zentralen KI-Anlaufstelle. (Bild: © hkama – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/3b/643ba4bce4d73d2d49470501d57abbab/0129447180v2.jpeg "EU-Kommissionspräsidentin Ursula von der Leyen hat mit einem indirekten Seitenhieb auf die deutsche Fax-Kultur für Lacher im Europäischen Parlament gesorgt. (Bild: European Union 2024 - Source : EP)")
:quality(80)/p7i.vogel.de/wcms/11/c6/11c60970d235c9623b77457adfab3cef/0129237134v2.jpeg "Beim Thema Sicherheit müssen sämtliche Komponenten wie Zahnräder ineinandergreifen und perfekt aufeinander abgestimmt sein. Ein Leitfaden des BSI soll jegliche Unsicherheiten im Umgang mit Cloud-Lösungen ausräumen. (Bild: © Science RF - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/45/b245cb127b40b6e9bc607b4c7201fc5f/0129360369v2.jpeg "Ina Scharrenbach, Ministerin für Heimat, Kommunales, Bau und Digitalisierung in NRW; Volker Mießeler, Bürgermeister der Kreisstadt Bergheim, und Dr. Dirk Weckendrup, Vizepräsident der IT.NRW, unterzeichneten die Vereinbarung zum Test von NRW.Genius in Bergheim (Februar 2026). (Bild: Kreisstadt Bergheim)")
:quality(80)/p7i.vogel.de/wcms/17/a1/17a1daf2e888112a2e495a219a554d40/0129076244v2.jpeg "Einblick in die Entwicklung innovativer KI-Lösungen bei einer Laborführung in der Westfälischen Hochschule. (Bild: © URBAN.KI )")
:quality(80)/p7i.vogel.de/wcms/a8/c9/a8c959f32cc4ebba6cf1531d77785a4b/0129094039v2.jpeg "Start-ups als Impulsgeber treffen oft auf geringe Fehlertoleranz und hohe Risikoaversion. (Bild: © ANMZAKARIA – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/a5/d8a5bf20a592a4bc81021ab1e6c09249/0129446871v1.jpeg "Das N3GZ ist das Nachwuchsnetzwerk des NEGZ • Kompetenznetzwerk Digitale Verwaltung. (Bild: N3GZ – Pia Keeling)")
:quality(80)/p7i.vogel.de/wcms/b5/d0/b5d00e674ba7060eda48561ffe04fd97/0129360212v2.jpeg "Rico Barth, Geschäftsführer KIX Service Software und Vorstandsmitglied der Open Source Business Alliance. (Bild: KIX Service Software)")
:quality(80)/p7i.vogel.de/wcms/2d/90/2d9051b0605ac1d4cfa6766b1d8be714/0128547787v2.jpeg "Franziska Magai, Head of Event Operations, und Anna-Maria Biechele, Event-Manager, von der Vogel IT-Akademie moderieren (erneut) die Online-Konferenz. (Bild: © Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/60/d5/60d512f641b780e22bf926fa7b7e9662/0129092381v2.jpeg "Bereits im vergangenen Jahr waren bekannte Speaker vertreten. CPT bietet neben dem Bühnenprogramm auch eine Plattform für Austausch und Networking. (Bild: © FTAPI)")
:quality(80)/p7i.vogel.de/wcms/47/cf/47cf85cb05c20ffc5f8bdb06e18f96f1/0128870274v1.jpeg "(Bild: Auvaria)")
:quality(80)/p7i.vogel.de/wcms/a4/ed/a4edd26c3f9be221cda55c459182f3e2/0129236742v2.jpeg "(Bild: Moritz Leick, Stadt Essen)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/62/8c/628cba8e3f912/logo-governikus-600px.png "logo-governikus-600px (www.governikus.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/ab/66ab44afc2a68/secunet-logo-rgb-schwarzrot-100mm.jpeg "secunet-logo-rgb-schwarzrot-100mm (secunet Security Networks AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/92/6492d97a1172a/mgmlogo.png "mgmlogo (mgm)")
:quality(80)/p7i.vogel.de/wcms/92/71/92718134ba56ad5f9626f215013799c0/0125943371v2.jpeg "Unternehmen und Verbände beziehen Stellung: Der neue Regierungsentwurf erweitert den Kreis der betroffenen Unternehmen deutlich und sorgt nun für teils kritische Reaktionen aus Wirtschaft und Branche. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/b3/43b33e50faf1938562316b4f4bebf829/0129178528v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")