update page now

Neu: EU CAPTCHA – DSGVO-konformer Bot-Schutz. Jetzt 3 Monate kostenlos testen.

Home>

NIS-2

NIS-2-Richtlinie

Die europäische NIS‑2-Richtlinie (Richtlinie zur Sicherung von Netz- und Informationssystemen) ist in Deutschland seit Dezember 2025 umgesetzt und konkretisiert für zahlreiche Sektoren verbindliche Anforderungen an Cyberresilienz, Meldepflichten und Aufsicht.

Jetzt absichern mit dem Myra DDoS Schutz

Auf einen
Blick

  1. 01. Was ist die NIS-2-Richtlinie?
    1. 02. Geltungsbereich: Wer ist durch NIS‑2 betroffen?
      1. 03. Was schreibt die NIS‑2‑Richtlinie vor?
        1. 04. Seit wann gilt NIS‑2?
          1. 05. Wie grenzt sich NIS-2 von bestehenden Regelwerken ab?
            1. 06. Welche Strafen drohen bei Missachtung der NIS-2-Vorgaben?
              1. 07. Wie gestaltet sich die NIS‑2‑Umsetzung in Deutschland?
                1. 08. Welche Rolle nimmt das BSI bei NIS-2 ein?
                  1. 09. Wie Myra bei der NIS-2-Umsetzung unterstützt?
                    1. 10. Was müssen Sie über NIS-2 wissen?
                      Hardware Kabel

                      01

                      Was ist die NIS-2-Richtlinie?

                      Mit NIS‑2 setzt die EU einen harmonisierten Mindeststandard für ein hohes gemeinsames Cybersicherheitsniveau in der Union fest und hebt das bisherige NIS‑Regelwerk (NIS‑1) auf. Das deutsche Umsetzungsgesetz verankert diese Vorgaben primär im novellierten BSI‑Gesetz (BSIG) und ergänzt bestehende Fachgesetze (z. B. Energiewirtschaftsgesetz, SGB, Telekommunikationsrecht), um sektorale Besonderheiten abzubilden.

                       

                      NIS‑2 verfolgt einen ganzheitlichen, gefahrenübergreifenden Ansatz, der technische, organisatorische und prozessuale Maßnahmen der Informationssicherheit entlang der gesamten Wertschöpfungs- und Lieferkette adressiert. Im Zentrum stehen der Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und Diensten sowie die Stärkung von Governance, Meldewegen und behördlicher Durchsetzbarkeit.

                      02

                      Geltungsbereich: Wer ist durch NIS-2 betroffen?

                      Das deutsche BSIG unterscheidet „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ und definiert diese Kategorien in § 28 sowie in den Anlagen 1 und 2 nach Sektoren und Schwellenwerten. Besonders wichtige Einrichtungen umfassen u. a. Betreiber kritischer Anlagen und weitere Unternehmen in Sektoren wie Energie, Finanzwesen, Gesundheit, Verkehr, Informationstechnik und Telekommunikation, Wasser, Ernährung, Weltraum und Siedlungsabfallentsorgung, deren Ausfall zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde.​

                      Wichtige Einrichtungen sind Unternehmen und Organisationen in ähnlichen oder ergänzenden Sektoren, deren Störungen zwar relevante, aber nicht gleich kritische Auswirkungen wie bei besonders wichtigen Einrichtungen haben. Das Gesetz bindet zudem Einrichtungen der Bundesverwaltung an das Regime der besonders wichtigen Einrichtungen (§ 29), mit einzelnen Ausnahmen etwa für Auswärtiges Amt, Bundeswehr, Nachrichtendienste und bestimmte Verfassungsorgane.​

                      Nicht erfasst sind bestimmte rechtlich unselbstständige Organisationseinheiten von Gebietskörperschaften und rein kommunale/juristische Personen im vollständigen Eigentum von Ländern/Kommunen, sofern sie vergleichbaren landesrechtlichen NIS‑2‑Regelungen unterliegen (§ 28 Abs. 9). Managed Service Provider, Managed Security Service Provider, Cloud‑ und Rechenzentrumsdienste, DNS‑Diensteanbieter, CDNs, Online‑Marktplätze, Suchmaschinen, Social‑Media‑Plattformen und Vertrauensdiensteanbieter sind explizit als relevante Einrichtungsarten adressiert.

                      03

                      Was schreibt die NIS-2-Richtlinie vor?

                      Kernstück von NIS-2 sind die Risikomanagement‑ und Meldepflichten. Besonders wichtige und wichtige Einrichtungen müssen „geeignete, verhältnismäßige und wirksame“ technische und organisatorische Maßnahmen zur Vermeidung und Begrenzung von Sicherheitsvorfällen ergreifen und dokumentieren. Für Betreiber kritischer Anlagen gelten zudem weiterführende Anforderungen.

                      NIS-2-Maßnahmen im Überblick

                      1. Konzepte für Risikoanalyse und Informationssicherheit

                      2. Bewältigung von Sicherheitsvorfällen (Incident Management)

                      3. Business Continuity, Backup‑Management, Disaster Recovery und Krisenmanagement

                      4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Anforderungen an unmittelbare Anbieter und Dienstleister

                      5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz‑ und Informationssystemen, einschließlich Schwachstellenmanagement (Security by Design und by Default)

                      6. Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen (Kontrollen, Tests, Audits)

                      7. Grundlegende Cyberhygiene sowie Schulungen und Sensibilisierung der Mitarbeitenden

                      8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

                      9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle sowie Management von IKT‑Assets

                      10. Einsatz von Mehrfaktor‑Authentifizierung, gesicherter Kommunikation und gesicherter Notfallkommunikation

                      Besondere Anforderungen an Betreiber kritischer Anlagen

                      1. Erhöhtes Schutzniveau: Weiterreichende Schutzmaßnahmen gelten als verhältnismäßig, sofern der Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls steht.

                      2. Systeme zur Angriffserkennung: Kontinuierliche, automatische Erfassung und Auswertung betrieblicher Parameter, fortwährende Bedrohungserkennung sowie Vorsehung geeigneter Beseitigungsmaßnahmen – nach Stand der Technik.

                      Meldepflichten 

                      Erhebliche Sicherheitsvorfälle sind unverzüglich an das BSI zu melden. Die Meldevorgaben sind dreistufig aufgebaut:

                      1. Frühwarnung: unverzügliche Erstmeldung ohne schuldhaftes Zögern, spätestens innerhalb von 24 Stunden nach Kenntnisnahme

                      2. Aktualisierte Meldung: spätestens 72 Stunden nach Kenntnisnahme, mit erster Bewertung zu Schweregrad, Ursache und getroffenen Maßnahmen

                      3. Abschlussmeldung: spätestens einen Monat nach der Erstmeldung, mit vollständiger Beschreibung des Vorfalls, der Ursache, der Auswirkungen sowie etwaiger grenzüberschreitender Wirkungen

                      Person arbeitet mit zwei Laptops an Charts

                      04

                      Seit wann gilt NIS-2?

                      Der rechtliche Rahmen für NIS‑2 ist in Deutschland seit der Veröffentlichung im Bundesgesetzblatt am 5. Dezember 2025 verbindlich. Dabei sehen einzelne Regelungen spezifische Übergangsfristen vor, etwa für Registrierungs‑ und Meldepflichten sowie für bestimmte organisatorische Vorgaben in der Bundesverwaltung.

                       

                      Gemäß des deutschen Umsetzungsgesetzes unterliegen sämtliche als wichtig oder besonders wichtig eingestuften Einrichtungen einer allgemeinen Registrierungspflicht beim BSI. Für einen Großteil der durch das Gesetz neu regulierten Unternehmen und Organisationen galt nach dem Inkrafttreten der nationalen NIS-2-Umsetzung Ende 2025 eine dreimonatige Übergangsfrist zur Erstanmeldung.

                      05


                      Wie grenzt sich NIS-2 von bestehenden Regelwerken ab?

                      Einige Anforderungen der NIS-2-Richtlinie sind aus zuvor bestehenden Regulierungen wie dem IT-Sicherheitsgesetz bekannt. NIS-2 geht jedoch in einigen Bereichen gezielt darüber hinaus:

                        Anwendungsfokus

                        Adressaten

                        Kerninhalte

                    3. NIS-2

                      Sektorenübergreifende Cybersicherheit von Diensten und Einrichtungen, inkl. KRITIS

                      DORA

                      Resilienz des Finanzsektors gegenüber IKT‑Risiken

                      CRA

                      Cybersicherheit von Produkten mit digitalen Elementen

                      KRITIS-Dachgesetz

                      Physische Resilienz Kritischer Infrastrukturen

                      NIS-2

                      Besonders wichtige und wichtige Einrichtungen, Bundesverwaltung, bestimmte digitale Dienste

                      DORA

                      Finanzinstitute, kritische IKT‑Dienstleister

                      CRA

                      Hersteller, Importeure, Händler

                      KRITIS-Dachgesetz

                      Betreiber Kritischer Anlagen (KRITIS-Sektoren)

                      NIS-2

                      Risikomanagement, Meldepflichten, Aufsicht, BSI‑Rollen, Sanktionen

                      DORA

                      IKT‑Risikomanagement, Testing, Drittparteiensteuerung, Meldewesen

                      CRA

                      Security‑by‑Design‑Pflichten, Schwachstellenmanagement, Konformität, Marktaufsicht

                      KRITIS-Dachgesetz

                      Resilienzmaßnahmen, Risikoanalysen, Registrierung, Störungsmeldungen, staatliche Aufsicht

                      Regulatorischer Rahmen
                      Anwendungsfokus
                      Adressaten
                      Kerninhalte

                      NIS-2

                      Sektorenübergreifende Cybersicherheit von Diensten und Einrichtungen, inkl. KRITIS

                      Besonders wichtige und wichtige Einrichtungen, Bundesverwaltung, bestimmte digitale Dienste

                      Risikomanagement, Meldepflichten, Aufsicht, BSI‑Rollen, Sanktionen

                      DORA

                      Resilienz des Finanzsektors gegenüber IKT‑Risiken

                      Finanzinstitute, kritische IKT‑Dienstleister

                      IKT‑Risikomanagement, Testing, Drittparteiensteuerung, Meldewesen

                      CRA

                      Cybersicherheit von Produkten mit digitalen Elementen

                      Hersteller, Importeure, Händler

                      Security‑by‑Design‑Pflichten, Schwachstellenmanagement, Konformität, Marktaufsicht

                      KRITIS-Dachgesetz

                      Physische Resilienz Kritischer Infrastrukturen

                      Betreiber Kritischer Anlagen (KRITIS-Sektoren)

                      Resilienzmaßnahmen, Risikoanalysen, Registrierung, Störungsmeldungen, staatliche Aufsicht

                      NIS-2 verpflichtet das BSI ausdrücklich zur Kooperation und zum Informationsaustausch mit der BaFin „insbesondere in Bezug auf die ergriffenen Maßnahmen gemäß der Verordnung (EU) 2022/2554" (DORA). Damit wird deutlich, dass DORA als sektorspezifisches Regime für Finanzdienstleister gilt, während NIS‑2 die übergreifenden Cybersicherheitsanforderungen und die Rolle des BSI als zentrale Behörde adressiert.

                      Zum Cyber Resilience Act (CRA) besteht eine sachliche Abgrenzung: Während der CRA Pflichten für die Sicherheit von IKT‑Produkten regelt, adressiert NIS‑2 primär den sicheren Betrieb von Diensten und Infrastrukturen. Zugleich kann das BSI nach § 18 Hersteller von IKT‑Produkten, deren Produkte von erheblichen Sicherheitsvorfällen betroffen sind, zur Mitwirkung bei der Beseitigung oder Vermeidung dieser Vorfälle bei besonders wichtigen und wichtigen Einrichtungen verpflichten, was die Schnittstelle zum produktbezogenen EU‑Recht betont.

                      Eine weitere Abgrenzung besteht zum KRITIS-Dachgesetz, das die physische Resilienz Kritischer Infrastrukturen regelt und damit komplementär zu NIS‑2 wirkt: Während NIS‑2 die Cybersicherheit von Diensten und Einrichtungen in den Mittelpunkt stellt, adressiert das KRITIS-Dachgesetz den Schutz vor physischen Gefahren wie Naturkatastrophen, Sabotage oder terroristischen Anschlägen. Betreiber Kritischer Anlagen unterliegen daher regelmäßig beiden Regimen parallel – mit der Folge, dass Risikomanagement, Meldepflichten und Resilienzmaßnahmen integriert umzusetzen sind. Die behördliche Zuständigkeit ist dabei geteilt: Das BSI bleibt zentrale Cybersicherheitsbehörde nach NIS‑2, während das BBK die Aufsicht über die physischen Resilienzanforderungen des KRITIS-Dachgesetzes wahrnimmt. Eine enge Verzahnung der Meldewege und Aufsichtspraxis ist damit vorgezeichnet.

                      Code auf einem Bildschirm

                      06

                      Welche Strafen drohen bei Missachtung der NIS-2-Vorgaben?

                      Das deutsche Umsetzungsgesetz für NIS-2 enthält umfassende Bußgeldvorschriften in § 65 BSIG, nach dem Verstöße gegen die NIS-2-Anforderungen als Ordnungswidrigkeit geahndet werden können. Ordnungswidrig handeln u. a. Einrichtungen, die gegen Pflichten zu Risikomanagementmaßnahmen, zu Systemen zur Angriffserkennung, zu Melde‑ und Registrierungspflichten oder gegen Anordnungen des BSI verstoßen.

                       

                      Die Bußgeldhöhe orientiert sich an der Einrichtungsart (besonders wichtig vs. wichtig) und am Schweregrad des Verstoßes; NIS‑2 sieht EU‑weit Rahmen bis zu mehreren Prozent des weltweiten Jahresumsatzes vor, was im BSIG in konkrete Obergrenzen überführt wird: Besonders wichtige Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtige Einrichtungen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes – maßgeblich ist jeweils der höhere Betrag. Verstöße gegen Registrierungs‑ und Auskunftspflichten können zusätzlich mit bis zu 500.000 Euro geahndet werden. Ergänzend kann das BSI Aufsichts‑ und Durchsetzungsmaßnahmen anordnen, etwa Prüfungen, Anordnungen zur Mängelbeseitigung, Zwangsgelder von bis zu 100.000 Euro je Maßnahme und im Extremfall Verbote des Einsatzes kritischer Komponenten.

                       

                      Für Institutionen der sozialen Sicherung gelten modifizierte Sanktionsmechanismen nach § 64 BSIG, die insbesondere verwaltungsrechtliche Zuwiderhandlungen adressieren. Verstöße gegen Auskunfts‑ und Mitwirkungspflichten von Herstellern können ebenfalls sanktioniert und öffentlich gemacht werden.

                      07

                      Wie gestaltet sich die NIS‑2‑Umsetzung in Deutschland?

                      Die NIS-2-Umsetzung in Deutschland erfolgt im Kern durch eine umfassende Neufassung des BSIG als Artikelgesetz, das parallel zahlreiche Fachgesetze ändert (u. a. Atomgesetz, Energiewirtschaftsgesetz, Messstellenbetriebsgesetz, SGB, TKG, Vertrauensdienstegesetz). Das BSI wird darin als zentrale, nationale Behörde für Informationssicherheit, Aufsicht und Durchsetzung verankert, mit erweiterten Befugnissen zur Untersuchung, Warnung, Anordnung und Kooperation.

                      Für Einrichtungen der Bundesverwaltung sind eigene Informationssicherheitsvorgaben definiert, die auf BSI‑Mindeststandards (IT‑Grundschutz) basieren und Informationssicherheitsbeauftragte auf Behörden‑ und Ressortebene vorschreiben. Das Gesetz sieht zudem umfangreiche Berichtspflichten des BSI gegenüber Bundestag und Bundesdatenschutzbeauftragtem vor, etwa zur Anwendung bestimmter Eingriffsbefugnisse und zur Wirksamkeit der Maßnahmen.

                      Die Detailausgestaltung erfolgt schrittweise über Rechtsverordnungen, die insbesondere kritische Anlagen, sektorale Anforderungen und etwaige Zertifizierungspflichten für IKT‑Produkte und ‑Dienste definieren. Parallel werden branchenspezifische Sicherheitsstandards durch Betreiber und Verbände entwickelt und durch das BSI geprüft und veröffentlicht.

                      08

                      Welche Rolle nimmt das BSI bei NIS-2 ein?

                      Das BSI ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene und die Schlüsselinstitution für die Umsetzung der NIS‑2‑Richtlinie in Deutschland.

                      Kernrollen des BSI unter NIS-2

                      • Nationale Anlauf- und Verbindungsstelle: Das BSI ist zentrale Stelle für besonders wichtige und wichtige Einrichtungen sowie nationale Verbindungsstelle im Sinne der NIS‑2‑Richtlinie.

                      • Meldestelle für Sicherheitsvorfälle: Als zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes und als allgemeine Meldestelle betreibt das BSI Meldekanäle, nimmt Sicherheitsvorfälle und Schwachstellenmeldungen entgegen und informiert Einrichtungen und Öffentlichkeit.

                      • Aufsichts- und Durchsetzungsbehörde: Das BSI überwacht die Einhaltung der Pflichten durch besonders wichtige und wichtige Einrichtungen und kann Prüfungen, Anordnungen, Verwaltungszwang und Bußgelder einsetzen.

                      • Behörde für Cybersicherheitszertifizierung: Als nationale Behörde für die Cybersicherheitszertifizierung kann das BSI Zertifizierungen begleiten und durch Verordnungen den Einsatz zertifizierter IKT‑Produkte und ‑Dienste flankieren.

                      Damit bündelt das BSI im geltenden NIS‑2‑Regime die Funktionen als Meldestelle, Aufsichtsbehörde, Koordinationsstelle und Zertifizierungsbehörde für Cybersicherheit in Deutschland.

                      09

                      Wie Myra bei der NIS-2-Umsetzung unterstützt?

                      Die Grafik zeigt klar, wo Myra im NIS-2-Pflichtenkatalog ansetzt: im technischen Kern rund um § 30 (Risikomanagementmaßnahmen) und § 31 (besondere Anforderungen für Betreiber kritischer Anlagen). Genau dort, wo das Gesetz konkrete technische und operative Schutzmaßnahmen verlangt, liefert Myra als spezialisierter Schutzdienstleister praxisreife Lösungen.

                      § 30 – Risikomanagement

                      NIS-2 verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten Maßnahmen zum Schutz von Verfügbarkeit, Integrität und Vertraulichkeit ihrer Dienste. Myra adressiert diese Anforderungen durch:

                      § 31 – Betreiber kritischer Anlagen

                      Für Betreiber kritischer Anlagen schreibt NIS-2 höhere Maßstäbe und aufwändigere Maßnahmen für das Risikomanagement vor sowie den Einsatz von Systemen zur Angriffserkennung, die sicherheitsrelevante Parameter kontinuierlich erfassen und auswerten. Myra unterstützt hier durch:

                      • Umfassend zertifizierte und auditierte Prozesse und Infrastruktur zur Erfüllung aufwendiger Risikomanagementmaßnahmen.

                      • Echtzeit-Monitoring erlaubt die granulare Identifikation, Klassifizierung und Protokollierung von Anomalien und Sicherheitsvorfällen auf Traffic-Ebene.

                      • Nahtlose SIEM‑Integrationen zur Einbindung in bestehende Erkennungs‑ und Reaktionsprozesse.

                      Festplatten in einem Server

                      10

                      Was müssen Sie über NIS-2 wissen?

                      NIS-2 steht nicht isoliert, sondern ist Teil eines wachsenden europäischen Regulierungsrahmens für Cyberresilienz, zu dem auch DORA, der Cyber Resilience Act (CRA) und das KRITIS‑Dachgesetz gehören. Während NIS-2 Betreiber kritischer Infrastrukturen und wichtige Einrichtungen auf organisatorisch-operative Sicherheitspflichten verpflichtet, regelt DORA den Finanzsektor, der CRA die Produktsicherheit vernetzter Lösungen und das KRITIS‑Dachgesetz die physische Resilienz. Zusammen schaffen diese Regelwerke einen integrierten Pflichtenkatalog, in dem Cyberresilienz keine freiwillige Maßnahme mehr ist, sondern zur rechtlich verbindlichen Anforderung wird.

                       

                      Vor diesem Hintergrund ist eine holistische Herangehensweise an Cybersicherheit entscheidend: Technische Schutzmaßnahmen, Governance-Prozesse und Compliance-Pflichten müssen entlang der gesamten Wertschöpfungskette ineinandergreifen. Anbieter wie Myra helfen regulierten Einrichtungen dabei, die technische Kernzone der NIS-2-Anforderungen – von Risikomanagement und Angriffserkennung bis hin zu Lieferkettensicherheit und Meldeprozessen – praxisnah umzusetzen und das Sicherheitsniveau messbar zu heben.

                      FAQ: NIS-2 | Die wichtigsten Fragen und Antworten

                      NIS‑2 steht für „Network and Information Security" und bezeichnet die EU‑Richtlinie (EU) 2022/2555, die einen einheitlichen Mindeststandard für Cybersicherheit in der gesamten Europäischen Union festlegt. Die NIS‑2‑Richtlinie löst die ursprüngliche NIS‑Richtlinie aus dem Jahr 2016 ab und erweitert den Anwendungsbereich erheblich: Deutlich mehr Sektoren, Unternehmen und Organisationen fallen unter das Rahmenwerk als zuvor.

                      Über den Autor

                      Stefan Bordel

                      Senior Editor

                      Über den Autor

                      Stefan Bordel ist seit 2020 als Editor und Technischer Redakteur bei Myra Security tätig. Er verantwortet die strategische Entwicklung und redaktionelle Betreuung sämtlicher Content-Formate – von Website-Inhalten und Fachpublikationen über Whitepaper bis hin zu Social-Media-Kommunikation und technischer Dokumentation. In dieser Position verbindet er fundierte Expertise aus dem IT-Journalismus mit tiefgreifendem technischem Verständnis im Bereich Cybersecurity. Als langjähriger Linux-Enthusiast beobachtet er die Entwicklungen der IT-Branche sowohl privat als auch beruflich aus nächster Nähe.

                      © Myra Security GmbH 2026, alle Rechte vorbehalten

                      Made in Germany.

                      Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB