NIS2

Auch bekannt als: NIS2, NIS-2-Richtlinie, NIS2UmsuCG

NIS2 ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie verpflichtet Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 Sektoren zu Cybersicherheits-Maßnahmen - in Deutschland verbindlich seit Januar 2026, mit persönlicher Haftung der Geschäftsleitung.

Wer fällt unter NIS2?

Direkt betroffen sind Unternehmen, die mindestens 50 Mitarbeiter beschäftigen oder mindestens 10 Millionen Euro Jahresumsatz erzielen und in einem der 18 regulierten Sektoren tätig sind - von Energie, Transport und Gesundheit über das verarbeitende Gewerbe bis zu digitalen Diensten. Deutschland hat die Richtlinie über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Auch kleinere Betriebe geraten indirekt in die Pflicht: Regulierte Kunden müssen die Sicherheit ihrer Lieferkette nachweisen und reichen die Anforderungen an Zulieferer weiter.

Welche Pflichten bringt NIS2 mit sich?

Die Kernpflichten: systematisches Risikomanagement, technische Schutzmaßnahmen (Backups, Mehrfaktor-Authentifizierung, Verschlüsselung, Netzwerksicherheit), vorbereitete Meldeprozesse für Sicherheitsvorfälle (Frühwarnung ans BSI binnen 24 Stunden, ausführliche Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats), Business-Continuity-Pläne, Lieferkettensicherheit, regelmäßige Schulungen - ausdrücklich auch für die Geschäftsleitung - und die Registrierung beim BSI.

Was passiert bei Verstößen?

Wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Neu ist die persönliche Haftung: Geschäftsführer können die Verantwortung nicht an die IT-Abteilung delegieren. Ob Ihr Unternehmen betroffen ist und wie Sie pragmatisch starten, klärt der Leitfaden NIS2 für KMU.

Fragen zu NIS2 in Ihrem Unternehmen?

Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.

Zuletzt aktualisiert: 4. Juli 2026