Skip to main content Skip to page footer
PlattesGroup PlattesGroup PlattesGroup Logo - Dachmarke2

NIS2

Erstveröffentlichung: 15. Mai 2026

NIS2 ist die zweite europäische Richtlinie zur Netz- und Informationssicherheit. Sie soll die Cybersicherheit in der Europäischen Union deutlich erhöhen und einheitlichere Sicherheitsstandards für Unternehmen und öffentliche Stellen schaffen.

Die Richtlinie reagiert auf die zunehmende Abhängigkeit von digitalen Systemen. Produktionsanlagen, Energieversorgung, Gesundheitswesen, Transport, Finanzdienstleistungen, digitale Infrastruktur und viele weitere Bereiche sind heute eng miteinander vernetzt. Ein Cyberangriff auf ein einzelnes Unternehmen kann dadurch ganze Lieferketten, Märkte und öffentliche Leistungen beeinträchtigen.

Wen betrifft NIS2?

NIS2 betrifft Unternehmen und Einrichtungen in 18 kritischen Sektoren. Die Europäische Kommission beschreibt NIS2 als einheitlichen Rechtsrahmen zur Cybersicherheit in diesen Sektoren. Dazu gehören unter anderem Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitende Industrie, digitale Dienste und Forschung.

Die Richtlinie unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Diese Einordnung hängt in der Regel von Branche, Unternehmensgröße, Bedeutung der Dienstleistung und nationalem Umsetzungsrecht ab.

Welche Pflichten bringt NIS2?

NIS2 verpflichtet betroffene Unternehmen zu angemessenen technischen, operativen und organisatorischen Maßnahmen. Im Mittelpunkt steht ein umfassendes Cybersicherheits-Risikomanagement.

Zu den zentralen Anforderungen gehören:

Risikomanagement für Netz- und Informationssysteme

Unternehmen müssen Risiken erkennen, bewerten, steuern und dokumentieren.

Sicherheitskonzepte und interne Richtlinien

Es braucht klare Vorgaben für Informationssicherheit, Zugriffskontrolle, Systemschutz und Verantwortlichkeiten.

Vorfallmanagement

Sicherheitsvorfälle müssen erkannt, bewertet, bearbeitet und dokumentiert werden.

Geschäftskontinuität und Krisenmanagement

Unternehmen müssen auf Ausfälle vorbereitet sein und Wiederherstellungsprozesse einrichten.

Sicherheit der Lieferkette

Auch Dienstleister, Lieferanten und digitale Partner müssen in die Risikobetrachtung einbezogen werden.

Schulungen und Cyberhygiene

Mitarbeitende und Führungskräfte müssen für Cybersicherheit sensibilisiert werden.

Artikel 21 der NIS2-Richtlinie nennt unter anderem Risikoanalysen, Informationssystem-Sicherheit, Vorfallbearbeitung, Geschäftskontinuität, Sicherheit der Lieferkette, sichere Entwicklung und Wartung von Netz- und Informationssystemen sowie Cyberhygiene und Schulungen als relevante Maßnahmen.

Meldepflichten bei Sicherheitsvorfällen

Ein wesentliches Element von NIS2 sind strengere Meldepflichten. Betroffene Einrichtungen müssen erhebliche Sicherheitsvorfälle nach einem gestuften Verfahren melden. Dazu gehören eine frühe Warnung, eine ausführlichere Meldung und ein abschließender Bericht. Artikel 23 der NIS2-Richtlinie regelt die Meldepflichten für besonders wichtige und wichtige Einrichtungen.

Für Unternehmen bedeutet dies: Es reicht nicht aus, technische Schutzmaßnahmen einzuführen. Auch Prozesse, Zuständigkeiten, Dokumentation und Kommunikationswege müssen vorbereitet sein. Wer erst im Ernstfall klärt, wer intern entscheidet und welche Behörde informiert werden muss, verliert wertvolle Zeit.

Verantwortung der Geschäftsleitung

NIS2 macht Cybersicherheit stärker zur Führungsaufgabe. Die Geschäftsleitung kann sich nicht allein auf die technische Abteilung verlassen. Sie muss sicherstellen, dass Risiken bekannt sind, geeignete Maßnahmen beschlossen werden und die Organisation über ausreichende Ressourcen verfügt.

Für Unternehmer, Geschäftsführer und Verwaltungsräte bedeutet dies eine deutlich höhere Verantwortung. Cybersicherheit wird Teil der Unternehmenssteuerung, der Compliance und des Risikomanagements.

Sanktionen bei Verstößen

NIS2 sieht spürbare Sanktionen vor. Für besonders wichtige Einrichtungen können bei bestimmten Verstößen Geldbußen von bis zu 10.000.000 Euro oder 2 Prozent des weltweiten Jahresumsatzes vorgesehen sein. Für wichtige Einrichtungen können Geldbußen von bis zu 7.000.000 Euro oder 1,4 Prozent des weltweiten Jahresumsatzes vorgesehen sein. Maßgeblich ist jeweils die nationale Umsetzung und die konkrete behördliche Entscheidung.

NIS2 in Deutschland

Deutschland hat die NIS2-Richtlinie mit dem NIS2-Umsetzungsgesetz in nationales Recht überführt. Das Bundesamt für Sicherheit in der Informationstechnik meldete, dass das Gesetz am 5. Dezember 2025 verkündet wurde und am 6. Dezember 2025 in Kraft trat.

Damit erweitert sich der Kreis der regulierten Unternehmen deutlich. Viele Unternehmen, die bislang nicht als klassische kritische Infrastruktur galten, können nun unter die neuen Cybersicherheitsanforderungen fallen.

NIS2 in Spanien

In Spanien wurde am 14. Januar 2025 der Entwurf eines Gesetzes zur Koordinierung und Governance der Cybersicherheit vom Ministerrat gebilligt. Dieser Entwurf dient der Umsetzung der NIS2-Anforderungen in das spanische Rechtssystem. Das spanische Innenministerium beschreibt darin unter anderem die Rolle eines Verantwortlichen für Informationssicherheit, der als Kontakt und Koordinationsstelle innerhalb betroffener Einrichtungen fungieren soll.

Für Unternehmen mit Spanien-Bezug ist wichtig, die nationale Umsetzung sorgfältig zu verfolgen. Gerade international tätige Unternehmen können gleichzeitig in mehreren Mitgliedstaaten der Europäischen Union betroffen sein.

Warum ist NIS2 für Unternehmer und vermögende Privatpersonen relevant?

NIS2 ist nicht nur ein Thema für große Technologiekonzerne. Auch mittelständische Unternehmen, Unternehmensgruppen, Family Offices, Immobiliengesellschaften, Dienstleister und Zulieferer können betroffen sein, wenn sie in relevanten Sektoren tätig sind oder Teil kritischer Lieferketten sind.

Für vermögende Privatpersonen und Unternehmerfamilien ist NIS2 besonders relevant, wenn Unternehmensbeteiligungen, digitale Geschäftsmodelle oder sensible Vermögensstrukturen betroffen sind. Ein Cyberangriff kann nicht nur operative Schäden verursachen, sondern auch Haftungsfragen, Reputationsrisiken und Wertverluste auslösen.

Praktische Einordnung

NIS2 verschiebt Cybersicherheit von einer technischen Spezialfrage zu einer strategischen Unternehmenspflicht. Entscheidend ist nicht nur, ob ein Unternehmen Firewalls oder Sicherheitssoftware nutzt. Entscheidend ist, ob Risiken systematisch gesteuert, Zuständigkeiten dokumentiert, Lieferketten geprüft, Vorfälle gemeldet und Geschäftsprozesse im Krisenfall aufrechterhalten werden können.

Unternehmen sollten daher frühzeitig prüfen, ob sie unter NIS2 fallen, welche nationalen Pflichten gelten und ob bestehende Sicherheitsmaßnahmen ausreichend dokumentiert sind.

Häufige Fragen zu NIS2

Was bedeutet NIS2?

NIS2 steht für die zweite europäische Richtlinie zur Netz- und Informationssicherheit. Sie soll das Cybersicherheitsniveau in der Europäischen Union erhöhen.

Welche Unternehmen sind von NIS2 betroffen?

Betroffen sein können Unternehmen aus 18 kritischen Sektoren, unter anderem Energie, Verkehr, Gesundheit, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung, Lebensmittel, Chemie, verarbeitende Industrie und digitale Dienste.

Ist NIS2 direkt anwendbar?

Nein. NIS2 ist eine Richtlinie und muss in nationales Recht umgesetzt werden. Deshalb können sich Details je nach Mitgliedstaat unterscheiden.

Was ist der Unterschied zwischen DORA und NIS2?

DORA ist eine unmittelbar geltende Verordnung für den Finanzsektor. NIS2 ist eine Richtlinie für viele kritische Sektoren und wird durch nationale Gesetze umgesetzt. Die DORA-Verordnung ist stärker auf digitale operationelle Resilienz im Finanzmarkt ausgerichtet, während NIS2 ein breiteres Cybersicherheitsniveau in Wirtschaft und öffentlicher Verwaltung schaffen soll.

Warum sollten Unternehmen jetzt handeln?

Betroffene Unternehmen müssen Cybersicherheit organisatorisch, technisch und rechtlich nachweisen können. Wer Risiken, Lieferketten, Meldewege und Verantwortlichkeiten nicht rechtzeitig klärt, kann im Ernstfall regulatorische, finanzielle und reputationsbezogene Risiken eingehen.

(Stand: Mai 2026/ng)

zurück

Beratungsanfrage

Weiterführende Informationen zum Thema

Enzyklopädie-Übersicht

Alle Menschen sind klug.
Die einen vorher, die anderen nachher.

Die Kollegen freuen sich auf Ihre Beratungsanfrage.

Logo Private Clients - PlattesGroup
Logo Wohn- und Ferienimmobilien - PlattesGroup
Logo European Accounting - PlattesGroup
Erben & Schenken Logo

Unsere Kompetenzzentren

Logo Willi pedia - PlattesGroup
Logo Neu Denken - PlattesGroup

Wissen | Networking

PlattesGroup Logo

Beratungsanfrage

Vielen Dank für Ihr Interesse an unseren Dienstleistungen.
Ein Experte aus dem zuständigen Kompetenzzentrum wird Ihre Anfrage bearbeiten und sich bei Ihnen melden.

Bitte beachten Sie unsere Honorare
Datenschutzhinweise ansehen
* Pflichtfelder

Beratungsanfrage

Bitte beachten Sie unsere Honorare
* Pflichtfelder