Glossar · EU-Cybersicherheit NIS2 (Network and Information Security Directive 2)
EU-Cybersicherheitsrichtlinie für wesentliche und wichtige Einrichtungen in über 18 Sektoren, mit nationaler Umsetzungsfrist Oktober 2024.
## Was NIS2 tatsächlich bewirkt
NIS2 (Richtlinie (EU) 2022/2555) ist die europäische Cybersicherheitsrichtlinie, die die ursprüngliche NIS-Richtlinie von 2016 ersetzte. Sie erweitert den Umfang der Cybersicherheitspflichten erheblich und harmonisiert Anforderungen in den EU-Mitgliedstaaten.
Die Richtlinie trat im Januar 2023 in Kraft mit nationaler Umsetzungsfrist 17. Oktober 2024. Die Umsetzung in den Mitgliedstaaten verlief uneinheitlich — einige rechtzeitig, andere mit erheblichen Verzögerungen.
## Wer NIS2 betrifft
NIS2 erweiterte den Anwendungsbereich gegenüber dem Vorgänger drastisch. Sie gilt für:
**Wesentliche Einrichtungen** (Sektoren mit hoher Kritikalität):
- Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Banken und Finanzmarktinfrastrukturen
- Gesundheit (Gesundheitswesen, Pharma)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Cloud-Anbieter, Rechenzentren, DNS, Content Delivery)
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltung
- Weltraum
**Wichtige Einrichtungen** (andere kritische Sektoren):
- Post- und Kurierdienste
- Abfallwirtschaft
- Herstellung bestimmter kritischer Produkte (Chemie, Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Größenschwellen gelten: Mittlere (50+ Beschäftigte, 10 Mio. Euro+ Umsatz) und große Einrichtungen sind typischerweise im Anwendungsbereich; Klein-/Kleinstunternehmen generell ausgenommen.
## Kernanforderungen
Organisationen unter NIS2 müssen umsetzen:
**1. Risikomanagementmaßnahmen** — mindestens 10 spezifische Kategorien:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
- Verfahren zum Vorfall-Management
- Geschäftskontinuität (Backups, Disaster Recovery, Krisenmanagement)
- Lieferkettensicherheit
- Sicherheit von Netz-/Informationssystemen bei Beschaffung, Entwicklung, Wartung
- Richtlinien zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
- Cyber-Hygiene und Schulung
- Kryptografie-Richtlinien (einschließlich Verschlüsselung)
- HR-Sicherheit, Zugriffskontrollen, Asset Management
- Multi-Faktor-Authentifizierung, sichere Kommunikation
**2. Vorfallmeldung** — bedeutende Vorfälle müssen gemeldet werden:
- **Frühwarnung** innerhalb von 24 Stunden
- **Vorfallmeldung** innerhalb von 72 Stunden
- **Abschlussbericht** innerhalb eines Monats
**3. Lieferkettensicherheit** — Einrichtungen müssen Cybersicherheitsrisiken ihrer Lieferanten und Diensteanbieter bewerten und steuern.
**4. Verantwortlichkeit der Geschäftsleitung** — die Geschäftsleitung ist persönlich für die Einhaltung verantwortlich, einschließlich Genehmigung von Maßnahmen und Aufsicht über die Umsetzung.
## Bußgeldstruktur
NIS2 führt erhebliche Strafen ein:
- **Wesentliche Einrichtungen**: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
- **Wichtige Einrichtungen**: bis zu 7 Millionen Euro oder 1,4% des Umsatzes
Mitgliedstaaten können zusätzliche Strafen gegen die Geschäftsleitung bei Nichteinhaltung verhängen.
## Was das für die Tool-Auswahl bedeutet
Die Lieferkettensicherheitsanforderungen von NIS2 betreffen speziell die Auswahl von Technologielieferanten. Organisationen unter NIS2 müssen die Cybersicherheitsposition ihrer Lieferanten bewerten und diese Bewertung dokumentieren.
Für europäische Organisationen schafft dies Druck:
**1. Lieferanten mit starken Cybersicherheitszertifizierungen wählen.** ISO 27001, SOC 2, BSI C5 oder gleichwertig. Die meisten großen EU-Cloud-Anbieter (Hetzner, Scaleway, OVHcloud, Infomaniak) verfügen über diese Zertifizierungen.
**2. EU-ansässige Anbieter bevorzugen.** Meldepflichten und Vorfallreaktionskoordination unter NIS2 funktionieren besser, wenn Lieferanten EU-Regulierungsrahmen unterliegen. US-Anbieter können compliant sein, erfordern aber zusätzliche vertragliche Mechanismen.
**3. Die Lieferantenbewertung dokumentieren.** NIS2 verlangt den Nachweis, dass Cybersicherheitsüberlegungen in Beschaffungsentscheidungen einflossen, nicht nur, dass dies geschah.
**4. Für Anbieter digitaler Infrastruktur selbst:** Wenn Ihr Unternehmen ein Cloud-Anbieter, ein Rechenzentrum, ein DNS-Anbieter oder ein Content-Delivery-Network ist, sind Sie als wesentliche Einrichtung direkt im Anwendungsbereich.
## Warum NIS2 jenseits formaler Compliance relevant ist
Auch für Organisationen, die formal nicht im Anwendungsbereich sind, setzt NIS2 die de-facto-europäische Cybersicherheitsbasis. Versicherer beziehen sich auf NIS2 für Cyber-Deckung. Beschaffungsteams nutzen NIS2-Kategorien zunehmend in Lieferantenbewertungen. Cybersicherheitsbehörden der EU-Mitgliedstaaten verwenden NIS2 als Referenzrahmen.
Für europäische Unternehmen, die langfristige Cybersicherheitsinvestitionen planen, ist es operativ sinnvoll, NIS2 als Basis statt als Compliance-Decke zu behandeln.
## Umsetzungsstand (Stand 2026)
Die Umsetzung verlief in den Mitgliedstaaten uneinheitlich:
- **Pünktliche Umsetzung**: Die meisten nordischen Länder, Deutschland, Frankreich
- **Verzögerte Umsetzung**: Mehrere süd- und osteuropäische Staaten setzten Ende 2024 oder 2025 um
- **Aktive Durchsetzung**: Beginnt im Allgemeinen 2025-2026, da nationale Behörden hochfahren
Die Europäische Kommission hat Vertragsverletzungsverfahren gegen Mitgliedstaaten mit erheblich verzögerter Umsetzung eingeleitet. Erwarten Sie, dass aktive NIS2-Durchsetzung 2026-2027 ein prägendes Cybersicherheitsthema wird.
## Verwandte EU-Cybersicherheitsrahmen
NIS2 ist Teil einer breiteren europäischen Cybersicherheitslandschaft:
- **Cyber Resilience Act (CRA)** — deckt Cybersicherheit von Produkten mit digitalen Elementen ab, in Kraft 2024
- **DORA** — operationelle Resilienz für Finanzdienstleistungen, in Kraft ab Januar 2025
- **eIDAS 2.0** — digitale Identität und Vertrauensdienste
- **DSGVO** — Datenschutz, ergänzend zu, aber unterscheidbar von Cybersicherheit
Für Organisationen, die mehrere Rahmenwerke navigieren, ist die Abbildung von Überlappungen und Einzelanforderungen unerlässlich. NIS2 setzt die Cybersicherheitsbasis; sektorspezifische Verordnungen (DORA, CRA) bauen darauf auf.
War das hilfreich?
Danke für Ihr Feedback!