Wer ist von NIS2 betroffen?

NIS2 erfasst Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in 18 Sektoren — darunter Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Management, öffentliche Verwaltung, Weltraum, Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Lieferanten dieser Unternehmen sind indirekt erfasst, weil ihre Auftraggeber die Lieferkette absichern müssen.

Die EU-Richtlinie NIS2 (2022/2555) ist am 16. Januar 2023 in Kraft getreten und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 ohne Übergangsfrist. In Österreich wurde das NISG 2026 mit Zweidrittelmehrheit im Nationalrat am 12. Dezember 2025 beschlossen.

Welche Maßnahmen verlangt NIS2?

NIS2 verpflichtet zu einem Mindestkatalog an organisatorischen und technischen Maßnahmen — darunter Risikomanagement, Incident-Response, Business-Continuity, Lieferketten-Sicherheit, Sicherheit beim Erwerb und der Entwicklung von Systemen, Bewertung der Wirksamkeit, Cyberhygiene und Schulungen, Kryptographie, Zugriffskontrolle, Asset-Management, Multi-Faktor-Authentifizierung sowie sichere Kommunikation.

Was sind die Meldepflichten bei einem NIS2-Vorfall?

Betroffene Einrichtungen müssen einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden als Frühwarnung an die zuständige Behörde melden (in Deutschland BSI, in Österreich die Anlaufstelle NISG). Ein detaillierter Bericht muss innerhalb von 72 Stunden folgen, ein Abschlussbericht innerhalb eines Monats.

Welche Strafen drohen bei Verstößen?

Bei wesentlichen Einrichtungen sind Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich, bei wichtigen Einrichtungen bis 7 Mio. € oder 1,4 %. Zusätzlich haftet die Geschäftsführung persönlich, wenn sie ihre Aufsichts- und Genehmigungspflichten zu Risikomanagement-Maßnahmen verletzt.

GlossarDefinition

Was ist die NIS2-Richtlinie?

Zuletzt aktualisiert: 20. Mai 2026

Kurz erklärt: Die NIS2-Richtlinie ist eine EU-Vorgabe zur Cybersicherheit für mittelständische und große Unternehmen in 18 Sektoren. Sie verpflichtet zu Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, BSI-Registrierung (DE) bzw. Meldung an die Anlaufstelle NISG (AT) sowie persönlicher Haftung der Geschäftsführung. Verstöße können mit Bußgeldern bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Die NIS2-Richtlinie (Network and Information Security Directive 2, formell EU 2022/2555) ist eine EU-Vorgabe zur Cybersicherheit, die mittelständische und große Unternehmen in 18 als kritisch oder wichtig eingestuften Sektoren erfasst. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und verschärft die Anforderungen an Risikomanagement, Meldepflichten und Geschäftsführungs-Verantwortung erheblich.

Foundational Facts

EU-Rechtsakt: Richtlinie (EU) 2022/2555, in Kraft seit 16. Januar 2023
Umsetzung Deutschland: NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Kraft seit 6. Dezember 2025 ohne Übergangsfrist
Umsetzung Österreich: NISG 2026, beschlossen im Nationalrat am 12. Dezember 2025
Betroffene Unternehmen: ca. 29.500 in Deutschland, mehrere tausend in Österreich
Anwendungsschwelle: in der Regel ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz

Die 18 betroffenen Sektoren

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Beide unterliegen den Sicherheitsanforderungen, wichtige Einrichtungen werden jedoch reaktiv (nur nach Vorfall oder Hinweis) beaufsichtigt.

Wesentliche Sektoren (Annex I): Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Weltraum.

Wichtige Sektoren (Annex II): Post- und Kurierdienste, Abfallwirtschaft, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, verarbeitendes Gewerbe (Medizinprodukte, Computer, Elektronik, Maschinenbau, Kraftfahrzeuge), digitale Anbieter, Forschung.

Die zehn Pflicht-Maßnahmen (Art. 21 NIS2-RL)

NIS2 schreibt einen Mindestkatalog an Sicherheitsmaßnahmen vor. In Deutschland sind diese in § 30 BSIG konkretisiert, in Österreich im NISG 2026:

Risikomanagement — Konzepte für Risikoanalyse und Informationssicherheit
Incident-Handling — Bewältigung von Sicherheitsvorfällen
Business-Continuity — Aufrechterhaltung des Betriebs und Krisenmanagement
Lieferketten-Sicherheit — Bewertung und Steuerung von Risiken durch Dienstleister
Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
Cyberhygiene und Schulungen — grundlegende Awareness und Trainings
Kryptographie — Verschlüsselung und Schlüsselmanagement
Personalsicherheit, Zugriffskontrolle und Asset-Management
Multi-Faktor-Authentifizierung, sichere Kommunikation und Notfallkommunikation

Meldepflichten

Bei einem erheblichen Sicherheitsvorfall gilt ein gestaffelter Meldeprozess:

24 Stunden: Frühwarnung mit Hinweis, ob ein Verdacht auf böswillige Handlung besteht
72 Stunden: Vorfallmeldung mit erster Bewertung der Auswirkungen und (sofern möglich) Indikatoren für Kompromittierung
1 Monat: Abschlussbericht mit detaillierter Beschreibung, Ursache, Schadenausmaß und Gegenmaßnahmen

Meldungen erfolgen in Deutschland an das BSI, in Österreich an die Anlaufstelle NISG (nis.gv.at).

Haftung der Geschäftsführung

NIS2 macht Cybersicherheit zur Chef-Sache. Die Geschäftsleitung muss die Risikomanagement-Maßnahmen genehmigen, ihre Umsetzung überwachen und für die Folgen persönlich haften, wenn diese Pflicht verletzt wird. Geschäftsführungs-Mitglieder müssen außerdem an Schulungen teilnehmen, um Risiken einschätzen zu können.

Bedeutung für KMU

Auch wenn ein Unternehmen nicht direkt unter NIS2 fällt, kann es indirekt betroffen sein: Lieferanten von NIS2-pflichtigen Unternehmen werden im Rahmen der Lieferketten-Sicherheit (Maßnahme 4) auf ihre Cybersicherheit geprüft. Für viele KMU lohnt sich deshalb ein NIS2-Reifegrad-Check, um die eigene Position klarzustellen.

Weiterführende Links

Häufige Fragen

Wer ist von NIS2 betroffen?: NIS2 erfasst Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in 18 Sektoren — darunter Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Management, öffentliche Verwaltung, Weltraum, Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Lieferanten dieser Unternehmen sind indirekt erfasst, weil ihre Auftraggeber die Lieferkette absichern müssen.
Seit wann gilt NIS2?: Die EU-Richtlinie NIS2 (2022/2555) ist am 16. Januar 2023 in Kraft getreten und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 ohne Übergangsfrist. In Österreich wurde das NISG 2026 mit Zweidrittelmehrheit im Nationalrat am 12. Dezember 2025 beschlossen.
Welche Maßnahmen verlangt NIS2?: NIS2 verpflichtet zu einem Mindestkatalog an organisatorischen und technischen Maßnahmen — darunter Risikomanagement, Incident-Response, Business-Continuity, Lieferketten-Sicherheit, Sicherheit beim Erwerb und der Entwicklung von Systemen, Bewertung der Wirksamkeit, Cyberhygiene und Schulungen, Kryptographie, Zugriffskontrolle, Asset-Management, Multi-Faktor-Authentifizierung sowie sichere Kommunikation.
Was sind die Meldepflichten bei einem NIS2-Vorfall?: Betroffene Einrichtungen müssen einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden als Frühwarnung an die zuständige Behörde melden (in Deutschland BSI, in Österreich die Anlaufstelle NISG). Ein detaillierter Bericht muss innerhalb von 72 Stunden folgen, ein Abschlussbericht innerhalb eines Monats.
Welche Strafen drohen bei Verstößen?: Bei wesentlichen Einrichtungen sind Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich, bei wichtigen Einrichtungen bis 7 Mio. € oder 1,4 %. Zusätzlich haftet die Geschäftsführung persönlich, wenn sie ihre Aufsichts- und Genehmigungspflichten zu Risikomanagement-Maßnahmen verletzt.