Im Jahr 2025 verursachten Datendiebstahl, Industriespionage und Sabotage in der deutschen Wirtschaft einen Schaden von 289,2 Milliarden Euro – ein Anstieg von rund 8 Prozent gegenüber dem Vorjahr. Knapp neun von zehn Unternehmen (87 Prozent) waren betroffen, und jedes dritte Unternehmen zahlte nach Ransomware-Angriffen Lösegeld. Diese Zahlen sind kein Zufall, sondern das Ergebnis einer systematischen Bedrohung: staatlich gesteuerter Cyberangriffe aus Russland und China, organisierter Cyberkriminalität und einer digitalen Infrastruktur, die jahrzehntelang mit unzureichenden Sicherheitsstandards betrieben wurde.
Die Europäische Union hat auf diese Realität reagiert – mit der NIS2-Richtlinie, dem bisher ambitioniertesten Regelwerk für Cybersicherheit in der Geschichte des Binnenmarkts. Dieser Artikel erklärt, was NIS2 ist, warum es für Unternehmen und die Gesellschaft von zentraler Bedeutung ist, und wo Deutschland und Europa bei der Umsetzung heute tatsächlich stehen.
Was ist NIS2? #
Die rechtliche Grundlage #
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 – bekannt als NIS2 – trägt den offiziellen Titel „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union".2 Sie trat am 16. Januar 2023 in Kraft und ersetzte ihre Vorgängerin, die NIS1-Richtlinie (Richtlinie 2016/1148), ab dem 18. Oktober 2024 vollständig.3
NIS2 ist keine bloße Überarbeitung. Sie stellt einen fundamentalen Paradigmenwechsel dar: Cybersicherheit wird von einer technischen Nischenaufgabe zur strategischen Führungsverantwortung auf Vorstandsebene erhoben.
„Die NIS-2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen."— Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Von NIS1 zu NIS2: Was hat sich verändert? #
Die erste NIS-Richtlinie aus dem Jahr 2016 war ein wichtiger erster Schritt, hatte jedoch erhebliche Schwächen: einen zu engen Anwendungsbereich, uneinheitliche nationale Umsetzungen und fehlende Durchsetzungsmechanismen. NIS2 adressiert diese Mängel konsequent.
| Merkmal | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Betroffene Sektoren | 7 | 18 |
| Betroffene Unternehmen (EU) | ~10.000 | ~160.000+ |
| Bußgelder | Hoch | Verschlüsselung einrichten |
| Haftung der Führung | Nicht explizit | Persönliche Haftung der Geschäftsführung |
| Meldefristen | 72 Stunden | 24h (Frühwarnung) + 72h (Erstmeldung) |
| Lieferkettensicherheit | Nicht geregelt | Explizit verpflichtend |
| Schulungspflicht | Nicht vorgesehen | Verpflichtend für Geschäftsführung |
Die 18 betroffenen Sektoren #
NIS2 unterscheidet zwischen Sektoren hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II).2 Diese Unterscheidung ist nicht nur akademisch: Sie bestimmt, welche Einrichtungen als „besonders wichtig" oder „wichtig" eingestuft werden und welche Aufsichtsintensität gilt.
Anhang I – Sektoren hoher Kritikalität umfasst Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff), Transport und Verkehr (Luft, Schiene, Schiff, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheit (Krankenhäuser, Labore, Pharma), Trinkwasser, Abwasser, digitale Infrastruktur (Cloud, Rechenzentren, DNS, CDN, Managed Services), ICT-Dienstleistungsmanagement, öffentliche Verwaltung sowie den Weltraumsektor.
Anhang II – Sonstige kritische Sektoren umfasst Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kfz), digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) sowie Forschungseinrichtungen.
Wer ist konkret betroffen? #
Die Einstufung erfolgt nach Einrichtungstyp und Unternehmensgröße:
| Einrichtungstyp | Sektoren | Mindestgröße |
|---|---|---|
| Besonders wichtige Einrichtung | Anhang I | Großunternehmen |
| Wichtige Einrichtung | Anhang I + II | Mittleres Unternehmen |
| Größenunabhängig | DNS, TLD, Vertrauensdienste | - |
| KRITIS-Betreiber | Kritische Anlagen | Schwellenwert (≥500.000 Versorgte) |
In Deutschland sind nach Schätzungen des BSI rund 29.850 Einrichtungen von NIS2 betroffen – gegenüber einigen hundert KRITIS-Betreibern unter dem alten Regime.
Warum ist NIS2 wichtig? #
1. Die Bedrohungslage ist ernst #
Die Zahlen sprechen eine klare Sprache. Laut dem ENISA Threat Landscape 2024 sind Verfügbarkeitsangriffe (DDoS), Ransomware und Datenmissbrauch die drei dominierenden Bedrohungskategorien in Europa.7 Kritische Infrastrukturen – Krankenhäuser, Energieversorger, Wasserwerke – stehen dabei besonders im Fokus.
In Deutschland zeigt die Bitkom-Wirtschaftsschutzstudie 2025, dass 46 Prozent der Angriffe auf deutsche Unternehmen aus Russland und ebenso viele aus China stammen.1 Besonders besorgniserregend: Der Anteil von Angriffen, die ausländischen Geheimdiensten zugeordnet werden konnten, stieg von 7 Prozent (2023) auf 28 Prozent (2025).1 Hybride Kriegsführung im Cyberraum ist keine theoretische Gefahr – sie findet täglich statt.
2. Kritische Infrastrukturen schützen Gesellschaft und Wirtschaft #
Ein Stromausfall durch einen Cyberangriff, ein kompromittiertes Krankenhausinformationssystem oder ein manipuliertes Wasserversorgungsnetz – die Folgen von Angriffen auf kritische Infrastrukturen treffen nicht nur Unternehmen, sondern die gesamte Gesellschaft. NIS2 erkennt diese systemische Dimension an und schafft erstmals einen einheitlichen Mindeststandard für alle relevanten Sektoren.
3. Lieferketten als unterschätzte Schwachstelle #
Moderne Angriffe zielen häufig nicht direkt auf das Hauptziel, sondern auf schwächer gesicherte Zulieferer oder Dienstleister. Der SolarWinds-Angriff (2020) und der Kaseya-Angriff (2021) haben gezeigt, wie ein kompromittierter Softwareanbieter Tausende von Organisationen gleichzeitig gefährden kann. NIS2 verpflichtet betroffene Einrichtungen erstmals explizit zur Lieferkettensicherheit – ein Novum im EU-Recht.
4. Persönliche Haftung schafft Anreize #
Eines der wirkungsmächtigsten Elemente von NIS2 ist die persönliche Haftung der Geschäftsführung mit dem Privatvermögen bei Verstößen gegen die Risikomanagementpflichten.6 Damit wird Cybersicherheit endgültig zur Chefsache. Kein Vorstand kann mehr argumentieren, IT-Sicherheit sei eine rein technische Frage, die er an die IT-Abteilung delegieren kann.
5. Einheitliche Standards stärken den Binnenmarkt #
Vor NIS2 gab es in der EU 27 unterschiedliche nationale Cybersicherheitsregimes – mit teils erheblichen Unterschieden in Anforderungen, Aufsicht und Durchsetzung. Für international tätige Unternehmen bedeutete dies einen enormen Compliance-Aufwand. NIS2 schafft einen gemeinsamen Rahmen, der grenzüberschreitende Zusammenarbeit erleichtert und Wettbewerbsverzerrungen reduziert.
Die zehn Kernpflichten im Überblick #
NIS2 definiert zehn Bereiche, in denen betroffene Einrichtungen geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen müssen. Diese Maßnahmen sind nicht optional – ihre Umsetzung muss von der Geschäftsführung genehmigt, überwacht und regelmäßig überprüft werden.
| Nr. | Pflichtbereich | Kerninhalt |
|---|---|---|
| 1 | Sicherheitsrichtlinien & Risikoanalyse | Dokumentierte ISMS-Richtlinien, regelmäßige Risikoanalysen |
| 2 | Incident Response | Prozesse zur Erkennung, Analyse und Behebung von Sicherheitsvorfällen |
| 3 | Business Continuity Management | Backup-Konzepte, Notfallpläne, Krisenmanagement |
| 4 | Lieferkettensicherheit | Sicherheitsanforderungen an Lieferanten und Dienstleister |
| 5 | Sichere Entwicklung & Beschaffung | Security-by-Design, Schwachstellenmanagement in Produkten |
| 6 | Schwachstellenmanagement | Regelmäßige Scans, Patch-Management, Responsible Disclosure |
| 7 | Kryptographie & Verschlüsselung | Einsatz geeigneter Verschlüsselungsverfahren |
| 8 | Zugangskontrollen & Authentifizierung | MFA, Least-Privilege-Prinzip, privilegierte Zugänge |
| 9 | Schulungen & Awareness | Regelmäßige Mitarbeiterschulungen, Pflichtschulung für Führungskräfte |
| 10 | Sichere Kommunikation | Verschlüsselte Notfallkommunikation, sichere Sprach- und Videokommunikation |
Das dreistufige Melderegime #
Bei erheblichen Sicherheitsvorfällen gilt ein striktes Melderegime gegenüber dem BSI:8
-
Binnen 24 Stunden: Frühwarnung (Early Warning) – erste Einschätzung, ob ein erheblicher Vorfall vorliegt
-
Binnen 72 Stunden: Erstmeldung – detailliertere Informationen zum Vorfall und erste Maßnahmen
-
Nach einem Monat: Abschlussbericht – vollständige Analyse, Ursachen, Maßnahmen, Auswirkungen
Diese Fristen sind eng und erfordern gut vorbereitete Incident-Response-Prozesse. Wer erst nach einem Angriff beginnt, Meldeprozesse aufzubauen, wird die Fristen nicht einhalten können.
Wo stehen wir heute? Der Umsetzungsstand #
Deutschland: Verspätet, aber in Kraft #
Deutschland hat die EU-Umsetzungsfrist vom 17. Oktober 2024 deutlich verfehlt – ein Umstand, der nicht zuletzt auf den Bruch der Ampelkoalition im Herbst 2024 zurückzuführen ist. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das das BSI-Gesetz (BSIG) umfassend überarbeitet, durchlief einen langen Gesetzgebungsprozess:9
Der Bundestag verabschiedete das Gesetz am 13. November 2025, der Bundesrat stimmte am 21. November 2025 zu, und mit der Veröffentlichung im Bundesgesetzblatt (BGBl. I Nr. 301) trat es am 6. Dezember 2025 ohne Übergangsfristen in Kraft.9 Das BSI-Portal zur Registrierung wurde am 6. Januar 2026 freigeschaltet.
Der kritische Registrierungsstand #
Am 6. März 2026 lief die dreimonatige Registrierungsfrist ab. Das Ergebnis ist ernüchternd: Von geschätzt 29.850 betroffenen Unternehmen hatten sich bis zum Fristablauf lediglich rund 11.500 Einrichtungen (ca. 38,5 Prozent) beim BSI-Portal registriert.10 Über 18.000 Einrichtungen fehlen damit im System.
Das BSI selbst räumt ein, dass der Registrierungsprozess aufwändig ist und insbesondere für Einrichtungen ohne dediziertes IT-Security-Team – etwa Kliniken, Arztpraxen oder mittelständische Industrieunternehmen – eine erhebliche Hürde darstellt.10 Die fehlende Registrierung ist in vielen Fällen kein Zeichen mangelnden Bewusstseins, sondern das Symptom einer Kapazitätslücke.
“Unternehmen, die die Frist versäumt haben, müssen mit Zwangsgeldern rechnen. Das BSI kann Compliance-Prüfungen anordnen und in schwerwiegenden Fällen das gesamte Sicherheitskonzept einer Einrichtung unter die Lupe nehmen.”
Europa: Ein unvollendetes Bild #
Deutschland ist kein Einzelfall. Am 7. Mai 2025 übermittelte die Europäische Kommission 19 von 27 Mitgliedstaaten eine begründete Stellungnahme wegen unvollständiger Umsetzung der NIS2-Richtlinie – darunter neben Deutschland auch Frankreich, Spanien, die Niederlande, Österreich, Polen, Schweden, Irland und Dänemark.11 Nur wenige Länder wie Belgien, Kroatien, Ungarn und Italien hatten die Richtlinie fristgerecht umgesetzt.
Mitgliedstaaten, die nicht innerhalb von zwei Monaten reagieren, riskieren ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof.
Gezielte Nachbesserungen durch die EU-Kommission #
Am 20. Januar 2026 schlug die EU-Kommission als Teil eines neuen Cybersicherheitspakets gezielte Änderungen an NIS2 vor.3 Ziel ist es, die rechtliche Klarheit zu erhöhen und die Compliance-Last zu reduzieren. Die vorgeschlagenen Änderungen sollen rund 28.700 Unternehmen entlasten, darunter 6.200 Kleinstunternehmen.
Was bedeutet das für Unternehmen? Praktische Handlungsempfehlungen #
Für Unternehmen, die von NIS2 betroffen sind, ergibt sich ein klarer Handlungsbedarf – unabhängig davon, ob die Registrierungsfrist bereits verstrichen ist.
Schritt 1: Betroffenheit prüfen. Das BSI stellt auf seiner Website eine Betroffenheitsprüfung bereit.4 Unternehmen sollten systematisch prüfen, ob sie in einen der 18 Sektoren fallen und die Schwellenwerte überschreiten. Im Zweifel gilt: Lieber früh klären als spät überrascht werden.
Schritt 2: Registrierung nachholen. Wer die Frist verpasst hat, sollte die Registrierung im BSI-Portal unverzüglich nachholen. Eine Registrierung ist auch nach Fristablauf möglich und reduziert das Bußgeldrisiko.
Schritt 3: Gap-Analyse durchführen. Ein Vergleich des aktuellen Sicherheitsniveaus mit den zehn NIS2-Anforderungsbereichen zeigt, wo Handlungsbedarf besteht. Eine Zertifizierung nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz kann als Nachweis der Compliance dienen.9
Schritt 4: Governance verankern. Die Geschäftsführung muss aktiv eingebunden werden – nicht nur formal, sondern inhaltlich. Schulungen für Führungskräfte sind Pflicht, die persönliche Haftung ist real.
Schritt 5: Incident-Response-Prozesse aufbauen. Die 24-Stunden-Frühwarnung erfordert funktionierende Erkennungs- und Eskalationsprozesse. Wer diese erst nach einem Angriff aufbaut, hat bereits verloren.
Fazit: NIS2 ist kein Bürokratieprojekt #
NIS2 ist die konsequente Antwort der Europäischen Union auf eine Bedrohungslage, die sich in den letzten Jahren dramatisch verschärft hat. Die Richtlinie ist kein Selbstzweck und kein bürokratisches Regelwerk – sie ist der Versuch, kritische Infrastrukturen, Unternehmen und letztlich die Gesellschaft widerstandsfähiger gegen Cyberangriffe zu machen.
Die Zahlen zeigen, dass der Handlungsbedarf real ist: 289 Milliarden Euro Schaden pro Jahr in Deutschland allein, staatlich gesteuerte Angriffe im Tagesrhythmus, und eine digitale Infrastruktur, die in vielen Bereichen noch nicht dem Stand der Technik entspricht. NIS2 setzt den Rahmen – die Umsetzung liegt bei den Unternehmen.
Die gute Nachricht: Wer NIS2 nicht als Compliance-Pflicht, sondern als Chance begreift, sein Sicherheitsniveau systematisch zu heben, wird langfristig widerstandsfähiger, vertrauenswürdiger und wettbewerbsfähiger sein. Cybersicherheit ist kein Kostenfaktor – sie ist eine Investition in die Zukunftsfähigkeit des Unternehmens.