Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Richtlinie, die es sich zum Ziel setzt, Cyber- und Informationssicherheit von kritischen Infrastrukturen in Europa zu erhöhen und diese resilienter zu machen.
Die Richtlinie muss von allen Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland befindet sich die Umsetzung bereits in einem fortgeschrittenen Stadium, jedoch musste die gesetzte Frist verschoben werden. Grund hierfür waren u.A. die vorgezogenen Wahlen und die neue Regierungsbildung.
Die Gesetzesentwürfe mussten von der neuen Regierung erneut eingebracht und verhandelt werden. Im Mai 2025 hat das BMI einen überarbeiteten Entwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) vorgelegt. Mit einer Verabschiedung wird spätestens Anfang Q4/2025 gerechnet.
Die gesetzlichen Anforderungen werden nach Inkrafttreten voraussichtlich unmittelbar gelten – mit potenziell erheblichen Auswirkungen auf eine große Zahl an Unternehmen.
Die gesetzliche Verabschiedung in Deutschland ist zwar verspätet, aber die EU-weite Anwendbarkeit der Richtlinie bleibt bestehen. (Stand: April 2025 – Gesetzesentwurf (NIS2UmsuCG)
In der Praxis empfiehlt es sich daher für Unternehmen aus den betroffenen Sektoren, bereits jetzt so zu handeln, als sei NIS2 in Kraft. Eine frühzeitige Orientierung an den EU-Vorgaben ist ratsam, da rückwirkende Anforderungen und Prüfpflichten nicht ausgeschlossen werden können.
Die NIS2-Richtlinie sieht bei Verstößen empfindliche Sanktionen vor:
Frühzeitiges Handeln schützt nicht nur vor Strafen – sondern stärkt aktiv Ihre digitale Resilienz.
Im Gegensatz zu seinem Vorgänger NIS ist die NIS 2-Richtlinie deutlich strenger, konkreter und umfasst einen erweiterten Anwendungsbereich.
Der Anwendungsbereich erstreckt sich über Einrichtungen, die ihre Dienste in der EU erbringen oder ihre Tätigkeit dort ausüben. Neben einer Erweiterung der betroffenen Sektoren, spielt nun auch die Größe der Einrichtungen eine Rolle.
Das Unternehmen muss in einem der in der Richtlinie definierten Sektoren oder Teilsektoren tätig sein:
Die NIS2-Richtlinie gilt in der Regel für Unternehmen, die:
Auch kleinere Unternehmen können betroffen sein, wenn:
(-> Ob ein Unternehmen in die Sonderregelung fällt, ist unter Artikel 2(2) in der NIS2-Richtlinie geregelt)
Insgesamt fallen in die NIS2-Richtlinie 18 Sektoren
Kritische Sektoren:
Wichtige Sektoren:
Unternehmen sind verpflichtet, auf Basis des aktuellen Stands der Technik geeignete technische, organisatorische und betriebliche Maßnahmen zu ergreifen. Ziel ist es, Risiken für Netz- und Informationssysteme zu erkennen, zu steuern und zu minimieren – insbesondere bei sicherheitsrelevanten Vorfällen.
Ein besonderer Fokus liegt auf der Meldung von Sicherheitsvorfällen, die erhebliche Auswirkungen auf die Dienstleistungserbringung haben können. In diesem Zusammenhang wird auch die Einführung eines einheitlichen und standardisierten Meldeverfahrens für solche Vorfälle betont.
Wichtig ist, dass es sich um einen kontinuierlichen Prozess handelt. Unternehmen müssen demnach nachweisen, dass sie ihre Cybersecurity stetig verbessern. Der Prozess umfasst dabei drei zentrale Bereiche: die präventive Gefahrenabwehr, die frühzeitige Erkennung von Bedrohungen sowie die effektive Gefahrenbewältigung im Krisenfall.
Abbildung 1: Kontinuierlicher Prozess zur Verbesserung der Cybersecurity
Die Maßnahmen bilden dabei einen Mix aus technischen und organisatorischen. Folgende Punkte sind dabei zwingend erforderlich:
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Stärkung der digitalen operationellen Resilienz im Finanzsektor. Sie gilt unmittelbar für alle betroffenen Unternehmen und ist bereits seit Januar 2025 in Kraft.
Inhaltlich weist DORA viele Parallelen zur NIS2-Richtlinie auf – insbesondere in Bezug auf Anforderungen an Cybersicherheit und Krisenmanagement. Dennoch gibt es auch klare Unterschiede in Anwendungsbereich und Regulierungstiefe.
Eine detaillierte Gegenüberstellung von DORA und NIS2 finden Sie in unserem kostenlosen Whitepaper unter: https://www.provectus.de/2025/05/28/whitepaper-iso-27001-nis2-dora-im-vergleich/
Auch wenn die nationale Umsetzung von NIS2 und DORA noch auf sich warten lässt, ist jetzt der ideale Zeitpunkt für Unternehmen, aktiv zu werden. Denn Cybersicherheit dient nicht nur der Einhaltung regulatorischer Vorgaben – sie schützt vor allem das Wertvollste: Ihre Unternehmensdaten.
Die Bedrohungslage durch Cyberkriminalität wächst stetig. Fast jedes Unternehmen ist heute Ziel von Angriffen. Klassische Schutzmechanismen reichen längst nicht mehr aus. Wir zeigen Ihnen, wie Sie Ihre IT-Infrastruktur wirksam gegen moderne Angriffsvektoren absichern – und unterstützen Sie dabei, IT-Compliance-Anforderungen pragmatisch zu erfüllen und technisch effizient umzusetzen.
Denn nur wenn alle Elemente – Security, Compliance und Nutzerakzeptanz – sinnvoll ineinandergreifen, entsteht eine stabile IT-Infrastruktur, die Sicherheit bietet und gleichzeitig moderne Arbeitsweisen nicht ausbremst.
Lassen Sie sich von uns beraten – individuell, praxisnah und zukunftsorientiert.
Sie sind bereits ISO/IEC 27001 zertifiziert?
Erfahren Sie in unserem aktuellen Whitepaper, was Sie zusätzlich im Hinblick auf NIS2 und DORA beachten sollten.
Ihr persönlicher Ansprechpartner
Brauchen Sie weitere Informationen zu unseren Leistungen und Produkten? Oder suchen Sie nach einer passenden Lösung für Ihren Anwendungsfall? Dann zögern Sie nicht uns zu kontaktieren.
JAKOB BECKMANN | Sales Manager
Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an
Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.
