NIS2-Richtlinie: Welche Unternehmen betroffen sind und was jetzt zu tun ist

HomeSecurityNIS2NIS2-Richtlinie: Welche Unternehmen betroffen sind und was jetzt zu tun ist
NIS2 Security
März 14, 2026
Written by Lukman Hassi
No Comments

 

NIS2-Richtlinie: Welche Unternehmen betroffen sind und was jetzt zu tun ist

Cyberangriffe gehören inzwischen zum Alltag von Unternehmen. Genau deshalb hat die EU die NIS2-Richtlinie beschlossen. Sie erweitert die bisherige NIS-Richtlinie deutlich und verpflichtet tausende weitere Unternehmen zu höheren Sicherheitsstandards.

Viele Unternehmen wissen noch gar nicht, dass sie unter NIS2 fallen könnten. Gleichzeitig laufen bereits die Vorbereitungen für die Umsetzung in nationales Recht, in Deutschland über das NIS2-Umsetzungsgesetz.

In diesem Beitrag erklären wir einfach und praxisnah:

  • welche Unternehmen betroffen sind

  • welche Pflichten jetzt auf Unternehmen zukommen

  • wie sich Organisationen auf NIS2 vorbereiten können

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist ein EU-Gesetz zur Stärkung der Cybersicherheit in wichtigen Wirtschaftssektoren. Ziel ist es, kritische Systeme besser gegen Cyberangriffe zu schützen und ein einheitliches Sicherheitsniveau in der gesamten Europäischen Union zu schaffen.

Während sich die alte Richtlinie vor allem auf Betreiber kritischer Infrastruktur konzentrierte, betrifft NIS2 deutlich mehr Unternehmen – insbesondere aus der digitalen Wirtschaft.

Die Richtlinie verpflichtet Organisationen unter anderem dazu:

  • Cyberrisiken systematisch zu managen

  • Sicherheitsvorfälle zu melden

  • IT-Sicherheitsmaßnahmen zu dokumentieren

  • Lieferkettenrisiken zu berücksichtigen

Welche Unternehmen sind von NIS2 betroffen?

Die NIS2-Richtlinie unterscheidet zwei Gruppen von Organisationen: wesentliche Einrichtungen und wichtige Einrichtungen. Welche Kategorie zutrifft, hängt vor allem von der Branche und der Unternehmensgröße ab.

Das folgende Schema zeigt die grundlegende Einteilung.

Wesentliche Einrichtungen (Essential Entities)

Unternehmen gelten als wesentliche Einrichtungen, wenn sie typischerweise:

  • mehr als 250 Mitarbeitende beschäftigen

  • über 50 Mio. € Umsatz oder

  • mehr als 43 Mio. € Bilanzsumme haben

Zu diesen besonders kritischen Sektoren gehören beispielsweise:

  • Energieversorgung

  • Verkehr und Transport

  • Banken und Finanzmärkte

  • Gesundheitswesen

  • Trinkwasser- und Abwasserversorgung

  • Digitale Infrastruktur

  • IKT-Service-Management

  • Öffentliche Verwaltung

  • Raumfahrt / Weltrauminfrastruktur

Diese Organisationen stehen unter besonders strenger Aufsicht der Behörden.

Wichtige Einrichtungen (Important Entities)

Auch viele mittelständische Unternehmen fallen unter NIS2. In der Regel betrifft dies Organisationen mit:

  • 50 bis 249 Mitarbeitenden

  • 10–50 Mio. € Umsatz

  • 10–43 Mio. € Bilanzsumme

Dazu zählen unter anderem Unternehmen aus folgenden Bereichen:

  • Post- und Kurierdienste

  • Abfallentsorgung

  • Chemieindustrie

  • Lebensmittelproduktion

  • Fertigung und Produktion

  • Digitale Dienste

  • Forschungseinrichtungen

Gerade für mittelständische Unternehmen kommt diese Einstufung oft überraschend. Viele Organisationen stellen erst jetzt fest, dass sie unter die neuen Sicherheitsanforderungen fallen.

Welche Pflichten Unternehmen erfüllen müssen

Unternehmen, die unter NIS2 fallen, müssen verschiedene Sicherheitsmaßnahmen umsetzen.

1. IT-Risikomanagement

Organisationen müssen ein strukturiertes Sicherheitskonzept einführen. Dazu gehören unter anderem:

  • Risikoanalysen

  • Sicherheitsrichtlinien

  • Netzwerküberwachung

  • Zugriffskontrollen

  • Verschlüsselung

2. Meldepflicht bei Sicherheitsvorfällen

Cybervorfälle müssen künftig deutlich schneller gemeldet werden.

Die Richtlinie sieht vor:

  • erste Meldung innerhalb von 24 Stunden

  • detaillierter Bericht innerhalb von 72 Stunden

3. Sicherheit der Lieferkette

Unternehmen müssen auch die Sicherheit ihrer Dienstleister berücksichtigen. Das betrifft beispielsweise:

  • Cloud-Provider

  • IT-Dienstleister

  • Softwareanbieter

4. Verantwortung der Geschäftsführung

Ein wichtiger Punkt der NIS2-Richtlinie:
Die Unternehmensleitung trägt Verantwortung für die Umsetzung der Cybersecurity-Maßnahmen.

Das bedeutet, dass IT-Sicherheit nicht mehr nur ein technisches Thema ist, sondern auch Teil der Unternehmensführung wird.

Welche Strafen drohen bei NIS2-Verstößen?

Wenn Unternehmen die Vorgaben nicht umsetzen, können erhebliche Bußgelder verhängt werden.

Bei besonders kritischen Einrichtungen können diese betragen:

  • bis zu 10 Millionen Euro oder

  • 2 % des weltweiten Jahresumsatzes

Je nachdem, welcher Betrag höher ist.

Neben finanziellen Strafen drohen auch Reputationsschäden und zusätzliche Auflagen durch Behörden.

Wie Unternehmen sich jetzt vorbereiten sollten

Für viele Unternehmen stellt sich aktuell eine zentrale Frage:
Sind wir überhaupt von NIS2 betroffen?

Der erste Schritt ist deshalb meist eine strukturierte Prüfung der eigenen Situation.

Dabei wird zum Beispiel analysiert:

  • Unternehmensgröße und Branche

  • vorhandene IT-Sicherheitsmaßnahmen

  • Risiko- und Incident-Management

  • Sicherheitsanforderungen in der Lieferkette

Ein solcher Check zeigt schnell, wo noch Handlungsbedarf besteht.

Unterstützung bei der NIS2-Prüfung

Die Anforderungen der NIS2-Richtlinie sind komplex und betreffen viele Unternehmensbereiche – von IT über Compliance bis zur Geschäftsführung.

Wenn Sie unsicher sind, ob Ihr Unternehmen betroffen ist oder welche Maßnahmen notwendig sind, kann eine professionelle Prüfung helfen.

Wir unterstützen Unternehmen dabei:

  • zu prüfen, ob NIS2 auf sie zutrifft

  • bestehende Sicherheitsmaßnahmen zu bewerten

  • konkrete Schritte für die Umsetzung zu definieren

Kontaktieren Sie uns gerne für eine erste Einschätzung oder einen NIS2-Compliance-Check.

Not available to show!

Not available to show!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert