NIS-2: Cybersicherheit wird 2026 zur Pflicht
08. November 2023, aktualisiert am 01. August 2025
Verfasst von Julia Schreiber
Bild: © Microsoft Bing Image Creator
Aus 2024 wurde 2025 – und nun 2026: Die Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht verzögert sich weiter. Nach den Bundestagswahlen im Februar 2025 und der Bildung einer neuen Koalition liegt inzwischen ein aktualisierter Gesetzentwurf vor. Die Verabschiedung ist für Anfang 2026 vorgesehen.
Dann müssen sich betroffene Unternehmen auf strengere Anforderungen zur Cybersicherheit einstellen. Ziel der europäischen NIS-2-Richtlinie ist es, ein hohes gemeinsames Sicherheitsniveau innerhalb der EU zu schaffen und Unternehmen besser vor Cyberangriffen zu schützen. Neben konkreten technischen Maßnahmen sind erweiterte Meldepflichten vorgesehen.
Was ist NIS-2?
NIS steht für „Network and Information Systems“ und umfasst Regelungen zur Verbesserung der Cybersicherheit in der EU. Die erste NIS-Richtlinie trat 2016 in Kraft. NIS-2 ist deren Weiterentwicklung und erweitert den Anwendungsbereich erheblich.
Im Gegensatz zur DSGVO handelt es sich bei NIS-2 um eine Richtlinie, die von den EU-Mitgliedsstaaten in nationales Recht überführt werden muss. In Deutschland soll dies mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ voraussichtlich 2026 geschehen.
Relevanz von NIS-2 für deutsche Unternehmen
NIS-2 betrifft drei Gruppen von Unternehmen: besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen (KRITIS). Die Einstufung hängt von Branche, Größe und Umsatz des Unternehmens ab. Eine erste Einschätzung bietet zum Beispiel die NIS-2-Betroffenheitsprüfung des BSI. Wichtig: Unternehmen müssen sich selbst identifizieren und beim BSI registrieren.
In Deutschland werden über 30.000 Unternehmen unter die NIS-2-Regelung fallen. Als zentrale Akteure der digitalen Infrastruktur sollen diese Unternehmen Maßnahmen ergreifen, um Cyberangriffen zu verhindern und wirtschaftliche Schäden zu minimieren.
Technische Maßnahmen für mehr Cybersicherheit
Die NIS-2-Richtlinie nennt mehrere technischen Anforderungen an IT-Sicherheit. Zu dem geforderten Stand der Technik in §30 gehören unter anderem:
- Regelmäßige Software- und Hardware-Updates und Sicherheitsüberprüfungen (inklusive Penetrationstests).
- Schulungen und Sensibilisierungsmaßnahmen im Bereich der Cybersicherheit (Security Awareness Trainings), um den „menschlichen Risikofaktor“ zu minimieren.
- Konzepte für die Zugriffskontrolle, insbesondere für Administratorrechte.
- Lösungen zur Multi-Faktor-Authentifizierung, damit nur autorisierte Personen auf bestimmte Informationen zugreifen können.
- Verschlüsselung, d.h. die gesicherte Sprach-, Video- und Textkommunikation, um sensible Informationen vor unbefugtem Zugriff zu schützen.
- Konzepte zum Aufrechterhalten des Betriebs, angefangen mit einer Risikoanalyse, Pläne für die Bewältigung von Sicherheitsvorfällen sowie einem Backup- und Wiederherstellungsmanagement nach einem Notfall.
Fazit: NIS-2 setzt Mindeststandards für IT-Sicherheit
Die EU-Richtlinie NIS-2 wird die IT-Landschaft in Unternehmen nachhaltig verändern. Neben technischen Anforderungen kommen neue Meldepflichten hinzu. Behörden wie das BSI erhalten erweiterte Kontrollbefugnisse, etwa für Vor-Ort-Prüfungen und Sicherheitsscans.
Bei Verstößen gegen NIS-2 drohen Sanktionen, die von Warnungen bis hin zu empfindlichen Geldbußen reichen (bis zu 10 Mio. Euro bzw. zwei Prozent des Umsatzes, je nachdem, was die größere Zahl ist).
Geschäftsleitungen und IT-Verantwortliche sollten sich deshalb mit den Anforderungen vertraut machen und geeignete Maßnahmen ergreifen. Auch wer nicht unter NIS-2 fällt, dem empfehlen wir, die eigene IT-Infrastruktur gezielt auf etwaige Defizite prüfen. Viele der geforderten Maßnahmen gelten ohnehin als Standard in der IT-Sicherheit.
Wir beraten Sie gerne und unterstützen bei der Umsetzung.
