Steigende Cyberangriffe, Lieferkettenrisiken und geopolitische Spannungen machen Datensicherheit zu einem zentralen Thema für Unternehmen in der EU. Die Europäische Union reagiert mit NIS-2 darauf, das deutlich strengere und breiter anwendbare Vorgaben für Cybersicherheit, Meldepflichten und Risikomanagement definiert.
Was ist NIS-2?
NIS-2 ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS aus dem Jahr 2016 und schafft einen harmonisierten Rahmen für Cybersicherheit innerhalb der EU.
Ziel ist es, das europäische Sicherheitsniveau durch "angemessene technische und organisatorische Schutzmaßnahmen" über systemrelevante Branchen hinweg anzuheben.
Dazu zählen:
- Ein strukturiertes Risikomanagement
- Maßnahmen zur Erkennung und Bewältigung von Sicherheitsvorfällen
- Eine stärkere Absicherung der Lieferkette
- Schulungen für Mitarbeiter:innen
- Klar definierte Zuständigkeiten
- Dokumentationspflichten
- Regelmäßige Wirksamkeitsprüfungen der Maßnahmen
- Aktive Einbindung der Geschäftsleitung in sicherheitsrelevante Entscheidungen
Das bedeutet: Cybersicherheit ist damit nicht länger ein reines IT-Thema, sondern wird zur Führungs- und Unternehmensaufgabe.
Für wen gilt NIS-2?
Bisher standen besonders kritische Sektoren im Fokus, die für die Versorgung und Funktionsfähigkeit der Wirtschaft und Gesellschaft unverzichtbar sind. Dazu gehören unter anderem Energie, Verkehr, Bankwesen*, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung.
NIS-2 erweitert den Kreis der betroffenen öffentlichen und privaten Einrichtungen nun deutlich. Neu hinzu kommen Branchen, die bislang nicht oder nur teilweise reguliert waren, jedoch eine zentrale Rolle für die digitale und wirtschaftliche Stabilität spielen.
Betroffene Sektoren im Überblick
| Sektoren mit hoher Kritikalität | Sonstige kritische Sektoren |
| Energie, Verkehr, Bankwesen*, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum | Post- und Kurierdienste, Abfallbewirtschaftung, Chemie (Produktion, Herstellung, Handel), Lebensmittel (Produktion, Verarbeitung, Vertrieb), verarbeitendes/ herstellendes Gewerbe, Anbieter digitaler Dienste, Forschung |
*) Für Banken und andere Finanzunternehmen gelten vorrangig die branchenspezifischen Vorgaben aus DORA. NIS-2 kann jedoch je nach Einordnung ergänzend relevant sein.
Neben der sektoralen Zuordnung hängt die Betroffenheit zudem häufig von der Unternehmensgröße ab. Grundsätzlich richtet sich NIS-2 an Unternehmen mit mehr als 50 Mitarbeiter:innen oder einem Jahresumsatz bzw. einer Jahresbilanzsumme über 10 Mio. Euro. Je nach Sektor und nationaler Umsetzung können jedoch Ausnahmen und Sonderregelungen gelten. Ob ein Unternehmen unter NIS-2 fällt, ist daher immer im individuellen Kontext zu prüfen. Auch Betriebe, die nicht direkt in den Geltungsbereich fallen, können als Zulieferer oder Dienstleister in der Lieferkette regulierter Organisationen indirekt betroffen sein.
Zeitrahmen und Fristen
Die NIS-2-Richtlinie ist seit 2023 in Kraft und erforderte von den EU-Mitgliedstaaten eine Überführung in nationales Recht. Daraus ergaben sich unterschiedliche Umsetzungsgeschwindigkeiten und Fristen in den jeweiligen Ländern.
Deutschland
In Deutschland ist das NIS2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten; die Vorgaben sind bereits anwendbar.
Seit Januar ist die verpflichtende Registrierung betroffener Einrichtungen über das BSI-Portal möglich. Der formale Nachweis der umgesetzten Maßnahmen ist erst nach drei Jahren vorgesehen. In besonderen Fällen oder bei anlassbezogenen Prüfungen kann jedoch eine frühere Überprüfung erfolgen.
Österreich
In Österreich erfolgte die Kundmachung des NISG am 1. Januar 2026, mit einer Übergangsfrist bis zum Inkrafttreten am 1. Oktober 2026. Daraufhin haben die betroffenen Unternehmen drei Monate Zeit (bis 1. Januar 2027), um sich zu registrieren. Bis 1. Oktober 2027 muss die Selbstdeklaration der umgesetzten Maßnahmen erfolgen.
Nächste Schritte: Was Unternehmen jetzt tun sollten
- Überprüfen Sie, ob Ihr Unternehmen von NIS-2 betroffen ist
- Legen Sie interne Verantwortlichkeiten für die NIS-2-Umsetzung fest
- Registrieren Sie sich im Portal der für NIS zuständigen nationalen Behörde
- Kommen Sie Ihren Meldepflichten von Cybervorfällen nach
- Lassen Sie sich als Geschäftsführung regelmäßig schulen
- Setzen Sie angemessene Risikomanagementmaßnahmen um
Länderspezifische Informationen zu Betroffenheitsprüfung, Registrierung, Meldepflichten uvm. finden Sie hier: NIS-2 Umsetzung Deutschland | NIS-2 Umsetzung Österreich
