← Zurück zum Blog
Recherche 18 Min. Lesezeit

NIS2-Compliance: Der vollständige Leitfaden für europäische Unternehmen

Das deutsche NIS2-Umsetzungsgesetz ist am 5. Dezember 2025 in Kraft getreten. Die BSI-Registrierungsfristen laufen im März 2026 ab. Dieser Leitfaden deckt alles ab, was CISOs, IT-Direktoren und Compliance-Beauftragte wissen müssen: Wer muss konform sein, welche Pflichten bestehen, welche Strafen drohen und wie man eine praktische Compliance-Roadmap aufbaut.

160K+
Betroffene EU-Unternehmen
10 Mio. €
Max. Bußgeld
18
Abgedeckte Sektoren
24h
Incident-Meldung

Was ist die NIS2-Richtlinie?

ℹ️ Kontext

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie von 2016, die weithin als unzureichend in Umfang und Durchsetzung galt. Sie erweitert die Abdeckung dramatisch von ~10.000 Unternehmen unter NIS1 auf geschätzte 160.000+ Unternehmen in der gesamten EU.

NIS2 wurde entwickelt, um drei grundlegende Schwächen anzugehen: inkonsistente Umsetzung in den Mitgliedstaaten, begrenzter Anwendungsbereich mit nur wenigen Sektoren und schwache Durchsetzung mit zu niedrigen Strafen, um Veränderungen herbeizuführen.

In Deutschland ist das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) am 5. Dezember 2025 in Kraft getreten. Das BSI ist die designierte Aufsichtsbehörde, und die Registrierungsfristen beginnen am 6. März 2026.


Wer muss NIS2 einhalten?

NIS2 wechselte von einem benennungsbasierten Ansatz zu einem Größenschwellenmechanismus. Organisationen fallen automatisch in den Anwendungsbereich, wenn sie Sektor- und Größenkriterien erfüllen.

Anhang I — Sektoren hoher Kritikalität (11 Sektoren)

SektorBeispiele
EnergieStrom, Öl, Gas, Wasserstoff, Fernwärme
VerkehrLuft-, Schienen-, Wasser-, Straßenverkehr
BankwesenKreditinstitute
FinanzmarktinfrastrukturHandelsplätze, zentrale Gegenparteien
GesundheitswesenKrankenhäuser, Labore, Pharma, Medizinprodukte
TrinkwasserVersorgung und Verteilung
AbwasserSammlung, Entsorgung, Aufbereitung
Digitale InfrastrukturIXPs, DNS, TLD-Register, Cloud, Rechenzentren, CDNs
IKT-Service-Management (B2B)MSPs, MSSPs
Öffentliche VerwaltungZentrale Regierungseinheiten
WeltraumBetreiber bodengebundener Infrastruktur

Anhang II — Weitere kritische Sektoren (7 Sektoren)

SektorBeispiele
Post- und KurierdienstePostdienstleister
AbfallwirtschaftSammlung, Transport, Behandlung
Chemische HerstellungProduktion, Vertrieb
LebensmittelproduktionVerarbeitung, Vertrieb (großflächig)
FertigungMedizinprodukte, Elektronik, Maschinen, Fahrzeuge
Digitale AnbieterMarktplätze, Suchmaschinen, soziale Netzwerke
ForschungForschungsorganisationen mit signifikanter Auswirkung

Größenschwellen

⚠️ Größenunabhängige Abdeckung

Bestimmte Einrichtungen fallen unabhängig von der Größe in den Anwendungsbereich: qualifizierte Vertrauensdiensteanbieter, TLD-Register, DNS-Anbieter, Telekommunikationsanbieter, öffentliche Verwaltung und alleinige Anbieter wesentlicher Dienste.


Wesentliche vs. wichtige Einrichtungen

AspektWesentliche EinrichtungenWichtige Einrichtungen
AufsichtProaktiv (ex-ante)Reaktiv (ex-post)
Max. Bußgeld10 Mio. € oder 2 % des weltweiten Umsatzes7 Mio. € oder 1,4 % des weltweiten Umsatzes
AuditsRegelmäßig, verpflichtendBei Nachweis der Nichteinhaltung
SicherheitsanforderungenIdentischIdentisch

Wichtige Erkenntnis

Die Sicherheitspflichten sind identisch für beide Stufen. Der Unterschied liegt nur in der Aufsichtsintensität und den Bußgeldobergrenzen.


Zentrale NIS2-Anforderungen (Artikel 21)

10 verpflichtende Anforderungen

Incident-Meldezeitplan

FristAnforderungZweck
24 StundenFrühwarnung an CSIRTSignal, dass ein signifikanter Vorfall aufgetreten ist
72 StundenIncident-Benachrichtigung mit BewertungSchweregrad, Auswirkung, Kompromittierungsindikatoren
1 MonatAbschlussberichtUrsachenanalyse, Auswirkung, Abhilfemaßnahmen

⚠️ Persönliche Haftung auf Vorstandsebene

Artikel 20 verlangt, dass Leitungsorgane Cybersicherheitsmaßnahmen genehmigen, Schulungen absolvieren und persönliche Verantwortung tragen. Nach dem deutschen NIS2UmsuCG drohen Führungskräften persönliche Bußgelder und potenzielle vorübergehende Suspendierungen von Managementfunktionen. Diese Haftung kann nicht vollständig delegiert werden.


NIS2-Strafen und Durchsetzung

10 Mio. €
Wesentliche Einrichtung
2%
des weltweiten Umsatzes
7 Mio. €
Wichtige Einrichtung
1,4%
des weltweiten Umsatzes

Neben Bußgeldern können Behörden verbindliche Anweisungen erteilen, die Einstellung von Aktivitäten anordnen, öffentliche Bekanntmachung der Nichteinhaltung verlangen, Zertifizierungen aussetzen und – bei wesentlichen Einrichtungen – verantwortliche Personen vorübergehend von Managementfunktionen ausschließen.

⚠️ DSGVO-Niveau-Strafen für Cybersicherheit

Für ein Unternehmen mit 1 Mrd. € Umsatz beträgt das maximale Bußgeld für wesentliche Einrichtungen 20 Mio. €. D&O-Versicherungspolicen sollten auf Deckungslücken überprüft werden – persönliche Haftung lässt sich nicht vollständig wegversichern.


NIS2-Zeitplan: Kritische Termine

DatumMeilenstein
27. Dez. 2022NIS2 im Amtsblatt der EU veröffentlicht
16. Jan. 2023NIS2 tritt in Kraft
17. Okt. 2024Umsetzungsfrist für alle Mitgliedstaaten
5. Dez. 2025Deutschland: NIS2UmsuCG tritt in Kraft
6. März 2026Deutschland: BSI-Registrierungsfrist
17. Okt. 2027Europäische Kommission überprüft NIS2-Funktionsweise

BSI-Frist naht

Die Registrierung im März 2026 liegt nur noch wenige Wochen entfernt. Identifizieren Sie Compliance-Lücken, bevor Sie sich registrieren.

Kostenloser NIS2-Scan →

NIS2-Compliance Schritt für Schritt

10-Schritte-Compliance-Roadmap

ℹ️ ISO 27001 ≠ NIS2-Compliance

ISO 27001 bietet eine starke Grundlage, aber NIS2 fügt spezifische Anforderungen hinzu: verpflichtende Incident-Meldefristen (24h/72h/1 Monat), persönliche Haftung für Management und detaillierte Lieferkettensicherheitspflichten. Zertifizierung allein garantiert keine Compliance.


Wie KENSAI NIS2-Compliance automatisiert

Automatisierte Attack-Surface-Erkennung

KENSAI scannt kontinuierlich Ihre externe Angriffsfläche – Domains, Subdomains, IPs, Cloud-Services, exponierte APIs – und ordnet Assets Ihrem NIS2-Scope zu. Echtzeit-Inventar dessen, was Sie schützen müssen.

CVE-basiertes Schwachstellen-Mapping

Mit 332.000+ CVEs identifiziert KENSAI bekannte Schwachstellen und korreliert sie mit NIS2-Anforderungen. Jeder Befund wird nach CVSS-Score, NIS2-Relevanz und Behebungsdringlichkeit basierend auf Threat Intelligence priorisiert.

NIS2-Compliance-Gap-Analyse

KI ordnet Ihre Sicherheitslage allen Artikel 21-Anforderungen zu: Compliance-Score, Gap-Bericht, priorisierte Behebung und Nachweisdokumentation geeignet für Regulierer und Prüfer.

Lieferketten-Risikosichtbarkeit

Scannen Sie die externe Infrastruktur von Lieferanten, um exponierte Dienste, Schwachstellen, Zertifikatsprobleme, DNS-Fehlkonfigurationen und Datenschutzverletzungen zu identifizieren – die Lieferketten-Transparenz, die NIS2 verlangt.

Preise für NIS2-Compliance

Starter: 990 €/Monat — Mittlere Unternehmen im NIS2-Anwendungsbereich. Professional: 1.490 €/Monat — Komplexe Infrastruktur und Lieferketten. Enterprise: 2.490 €/Monat — Vollumfängliche Compliance-Automatisierung mit dediziertem Support.


FAQ: NIS2-Compliance

Was ist die NIS2-Richtlinie?

Die aktualisierte Cybersicherheitsverordnung der EU (Richtlinie (EU) 2022/2555), die die ursprüngliche NIS-Richtlinie ersetzt. Sie etabliert verpflichtende Risikomanagementmaßnahmen, Incident-Meldung und Lieferkettensicherheitsanforderungen in 18 kritischen Sektoren.

Wer muss konform sein?

Organisationen in 18 designierten Sektoren, die mittlere Unternehmens-Schwellenwerte (50+ Mitarbeiter oder 10+ Mio. € Umsatz) oder große Unternehmens-Schwellenwerte (250+ Mitarbeiter oder 50+ Mio. € Umsatz) erreichen. Bestimmte Einrichtungen wie DNS-Anbieter und Telekommunikationsunternehmen sind unabhängig von der Größe betroffen.

Was sind die Strafen?

Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Plus verbindliche Anweisungen, öffentliche Bekanntmachung, Aussetzung von Zertifizierungen und persönliche Management-Haftung.

Was sind die Incident-Meldeanforderungen?

Drei Stufen: Frühwarnung innerhalb 24 Stunden, Incident-Benachrichtigung innerhalb 72 Stunden, Abschlussbericht innerhalb 1 Monat.

Wie betrifft NIS2 Vorstandsmitglieder?

Artikel 20 verlangt, dass Vorstände Cybersicherheitsmaßnahmen genehmigen, Schulungen absolvieren und persönliche Verantwortung tragen. Nach deutschem Recht drohen Führungskräften persönliche Bußgelder und potenzielle vorübergehende Suspendierung.

Gilt NIS2 für Kleinunternehmen?

Generell nein (unter 50 Mitarbeiter / 10 Mio. € Umsatz sind ausgenommen). Ausnahmen bestehen für Vertrauensdiensteanbieter, TLD-Register, DNS-Anbieter und Telekommunikationsunternehmen.

Wie verhält sich NIS2 zu ISO 27001?

Signifikante Überschneidung, aber NIS2 fügt verpflichtende Incident-Meldefristen, persönliche Management-Haftung und detaillierte Lieferketten-Anforderungen hinzu. ISO 27001-Zertifizierung allein garantiert keine NIS2-Compliance.

Wie interagiert NIS2 mit DSGVO und DORA?

NIS2 fokussiert auf Netzwerk-/Systemsicherheit; DSGVO auf Schutz personenbezogener Daten – beide können bei einem Cybervorfall gelten. DORA hat Vorrang für Finanzunternehmen nach dem lex specialis-Prinzip.


Dieser Leitfaden dient Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechts- und Cybersicherheitsexperten für Ihre spezifischen NIS2-Verpflichtungen.

Starten Sie Ihre NIS2-Compliance-Reise

Sehen Sie Ihre Compliance-Lücken in Minuten. KI-gestütztes Scanning mit integriertem NIS2-, DSGVO- und DORA-Mapping.

Kostenloser Scan →

Sicherheit ist keine Option.

🗡️ Das KENSAI-Team

🛡️ Schützen Sie Ihr Unternehmen

Kostenloser Sicherheitsscan Ihrer Website in 60 Sekunden

Kostenloser Sicherheitsscan →
📚 Weitere Artikel 🏠 Home