Die NIS-2-Richtlinie ist eine der weitreichendsten Cybersicherheitsregelungen, die die EU je verabschiedet hat. Sie wurde in deutsches Recht umgesetzt und betrifft deutlich mehr Unternehmen als die Vorgängerversion. Wer jetzt noch nicht gehandelt hat, riskiert empfindliche Bußgelder – und im schlimmsten Fall persönliche Haftung der Geschäftsführung.

Was ist NIS-2?
NIS-2 steht für „Network and Information Security Directive 2″ – die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie löst die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 ab und verschärft die Anforderungen erheblich. Ziel ist ein einheitlich hohes Sicherheitsniveau für kritische und wichtige Einrichtungen in der EU.
Wer ist betroffen?
NIS-2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Grundsätzlich betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz in definierten Sektoren:
- Energie, Wasser, Transport und Verkehr
- Gesundheitswesen und Pharmaindustrie
- Digitale Infrastruktur und IT-Dienstleister
- Finanzwesen und Versicherungen
- Öffentliche Verwaltung
- Lebensmittelproduktion und -verarbeitung
- Post- und Kurierdienste
Wichtig: Auch Zulieferer und Dienstleister größerer betroffener Unternehmen können indirekt in die Pflicht genommen werden – über vertragliche Anforderungen in der Lieferkette.
Was wird konkret verlangt?
- Risikomanagement: Systematische Identifikation und Bewertung von IT-Risiken
- Technische Schutzmaßnahmen: Verschlüsselung, Zugriffskontrollen, Netzwerksicherheit
- Meldepflicht: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden
- Business Continuity: Notfallpläne und Wiederherstellungskonzepte
- Lieferkettensicherheit: Sicherheitsanforderungen an Lieferanten und Partner
- Schulungen: Regelmäßige Sensibilisierung von Mitarbeitenden und Führungskräften
- Geschäftsführerhaftung: Die Unternehmensleitung trägt persönlich Verantwortung
Welche Strafen drohen?
Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für wesentliche Einrichtungen sogar bis zu 10 % des Umsatzes. Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden.
In 5 Schritten zur NIS-2-Konformität
- Betroffenheit prüfen: Fällt Ihr Unternehmen unter NIS-2?
- Gap-Analyse: Wo stehen Sie heute – und wo müssen Sie hin?
- Maßnahmenplan: Priorisierte Umsetzung der fehlenden Anforderungen
- Dokumentation: Richtlinien, Prozesse und Nachweise erstellen
- Laufende Überprüfung: Regelmäßige Audits und Aktualisierungen
Häufige Fragen (FAQ)
Gilt NIS-2 auch für kleine Unternehmen unter 50 Mitarbeitenden?
Grundsätzlich nicht direkt – aber indirekt über Lieferkettenanforderungen. Wenn Ihr Auftraggeber NIS-2-pflichtig ist, kann er diese Anforderungen vertraglich an Sie weitergeben.
Wann muss ich einen Sicherheitsvorfall melden?
Innerhalb von 24 Stunden muss eine Erstmeldung an die zuständige Behörde (BSI) erfolgen. Eine vollständige Meldung folgt innerhalb von 72 Stunden.
Was ist der Unterschied zu ISO 27001?
NIS-2 ist eine gesetzliche Pflicht – ISO 27001 ist ein freiwilliger Standard. Eine ISO-27001-Zertifizierung kann jedoch als Nachweis für die NIS-2-Konformität dienen und den Aufwand erheblich reduzieren.
📋 Jetzt NIS-2-Readiness prüfen lassen
AM-Networks begleitet Sie von der ersten Analyse bis zur vollständigen Konformität.