Framework Typ: Gesetz
Gesetz

NIS-2

NIS-2 verpflichtet Unternehmen in kritischen Sektoren zu konkreten Cybersicherheitsmaßnahmen und Meldepflichten. In Deutschland sind rund 29.500 Unternehmen betroffen.

Vollständiger Name
NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
In Kraft seit Dezember 2025

Was ist NIS-2?

NIS-2 steht für die zweite EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Security). In Deutschland wurde sie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das am 6. Dezember 2025 in Kraft getreten ist.

Das Ziel ist klar: Die Cyberresilienz (Widerstandsfähigkeit eines Unternehmens gegenüber Cyberangriffen und digitalen Störungen) kritischer und wichtiger Einrichtungen in der EU soll auf ein einheitliches, hohes Niveau gebracht werden. Die Vorgängerrichtlinie NIS-1 von 2016 hatte nur eine Handvoll Branchen erfasst. NIS-2 erweitert den Kreis erheblich.

Wann ist mein Unternehmen betroffen?

Besonders wichtige Einrichtungen sind Unternehmen mit mindestens 250 Mitarbeitern oder mindestens 50 Millionen Euro Jahresumsatz, die in einem der erfassten Sektoren tätig sind.

Wichtige Einrichtungen sind Unternehmen mit mindestens 50 Mitarbeitern oder mindestens 10 Millionen Euro Jahresumsatz in den erfassten Sektoren. Hier gilt eine ODER-Verknüpfung: Es reicht, einen der beiden Schwellenwerte zu überschreiten.

Zu den erfassten Sektoren zählen unter anderem Energie, Transport, Finanzwesen, Gesundheit, digitale Infrastruktur, IT-Dienstleistungen, öffentliche Verwaltung sowie Produktion kritischer Güter. Auch Zulieferer und Dienstleister können indirekt betroffen sein, wenn ihre Auftraggeber unter NIS-2 fallen und Anforderungen an ihre Lieferkette stellen.

In Deutschland sind rund 29.500 Unternehmen direkt betroffen. Die Registrierungsfrist beim BSI (Bundesamt für Sicherheit in der Informationstechnik) endete am 6. März 2026. Ob dein Unternehmen betroffen ist, kannst du mit unserem NIS-2-Betroffenheitscheck in wenigen Minuten klären.

{{nis2-betroffenheitscheck="/system/components"}}

Kernanforderungen

NIS-2 stellt Anforderungen in zwei Bereichen: technische und organisatorische Sicherheitsmaßnahmen sowie Meldepflichten bei Sicherheitsvorfällen.

Risikoanalyse und Sicherheitskonzept

Betroffene Unternehmen müssen ihre Informationsrisiken systematisch analysieren und ein Sicherheitskonzept entwickeln. Kein einmaliges Dokument, sondern ein laufender Prozess.

Technische und organisatorische Maßnahmen

Das Gesetz fordert konkrete Maßnahmen: Zugriffskontrollen, Verschlüsselung, Multi-Faktor-Authentifizierung (MFA – ein Anmeldeverfahren, das mindestens zwei unabhängige Nachweise der Identität verlangt), Schwachstellenmanagement und sichere Konfiguration von Systemen.

Business Continuity Management

Unternehmen müssen sicherstellen, dass kritische Geschäftsprozesse auch im Störfall weitergeführt werden können. Das umfasst Notfallpläne, Backup-Konzepte und Wiederanlaufprozesse.

Lieferkettensicherheit

Betroffene Unternehmen sind verpflichtet, Sicherheitsanforderungen auch an ihre Dienstleister und Zulieferer weiterzugeben und deren Umsetzung zu überprüfen.

Meldepflichten bei Sicherheitsvorfällen

Bei erheblichen Sicherheitsvorfällen gelten gestaffelte Meldepflichten gegenüber dem BSI: eine erste Meldung innerhalb von 24 Stunden, eine detaillierte Folgemeldung innerhalb von 72 Stunden und ein abschließender Bericht innerhalb eines Monats.

Haftung der Geschäftsleitung

NIS-2 macht Leitungsorgane persönlich verantwortlich für die Umsetzung der Anforderungen. Geschäftsführer und Vorstände können nicht mehr auf die IT-Abteilung verweisen. Sie müssen Cybersicherheitsschulungen absolvieren und die Umsetzung aktiv steuern.

{{guide-nis2-magazin="/system/components"}}

Konsequenzen bei Nichteinhaltung

Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

Hinzu kommt die persönliche Haftung der Geschäftsleitung. Im Unterschied zur DSGVO ist bei NIS-2 explizit vorgesehen, dass Leitungsorgane für Verstöße persönlich zur Verantwortung gezogen werden können.

Wie hilft Digimojo?

Digimojo begleitet dich durch den gesamten NIS-2-Prozess: vom Betroffenheitscheck über die Gap-Analyse (Bestandsaufnahme der Lücken zwischen aktuellem Stand und den Anforderungen) bis zur vollständigen Umsetzung der geforderten Maßnahmen.

Unser NIS-2-Starter-Guide für KMU gibt dir einen strukturierten Einstieg in die wichtigsten Anforderungen. Für die laufende Umsetzung und Dokumentation steht dir DigimojoCOMPLY zur Seite: Risikoanalyse, Maßnahmenverfolgung und Nachweisdokumentation an einem Ort, dauerhaft auditbereit.

NIS-2-Beratung

NIS-2 betrifft dein Unternehmen und du weißt nicht wo du anfangen sollst?

Wir begleiten dich vom Betroffenheitscheck über die Gap-Analyse bis zur vollständigen Umsetzung. Ohne Bürokratie, mit klarem Fahrplan.
Zur NIS-2-Beratung

Mehr zum Thema

Was ist NIS2 – Grundlagen für KMU

NIS2 bringt neue Anforderungen an die Cybersicherheit – auch für viele kleine und mittlere Unternehmen (KMU). Hier bekommst du einen kompakten Überblick: Wer ist betroffen, welche Pflichten gibt es und warum lohnt es sich, frühzeitig aktiv zu werden? Ergänzend zum Blogartikel erfährst du hier die wichtigsten Grundlagen rund um NIS2.

→ Weiterlesen
Was ist ein ISMS (Informationssicherheitsmanagementsystem)?

Ein Informationssicherheitsmanagementsystem (ISMS, englisch: Information Security Management System) ist der zentrale Baustein, um Informationssicherheit in Unternehmen systematisch zu steuern und zu verbessern. Es schafft klare Strukturen und Prozesse, um Risiken zu minimieren und rechtliche Anforderungen zu erfüllen. Neben den bekannten Standards wie ISO 27001 oder dem BSI IT-Grundschutz spielt TISAX (Trusted Information Security Assessment Exchange) eine zentrale Rolle für Unternehmen der Automobilindustrie. Dieser Artikel erklärt, was ein ISMS ist, wie es funktioniert und welche Vorteile es für KMU bietet.

→ Weiterlesen
Business Continuity Management (BCM): Wie du Ausfälle minimierst

Was passiert, wenn deine Systeme ausfallen – und du trotzdem liefern musst? Business Continuity Management (BCM) sorgt dafür, dass dein Betrieb auch in Krisensituationen weiterläuft. Es ist der Schlüssel, um Ausfallzeiten zu minimieren, Verluste zu begrenzen und klare Verantwortlichkeiten im Notfall zu schaffen. BCM ist eng mit dem Schutzziel Verfügbarkeit aus der CIA-Triade (Vertraulichkeit, Integrität, Verfügbarkeit) verknüpft und bildet einen zentralen Bestandteil moderner Informationssicherheitssysteme. Gerade für KMU ist ein funktionierendes BCM kein Luxus – sondern eine Überlebensversicherung.

→ Weiterlesen
Notfallplan für kleine Unternehmen

Ein Notfallplan ist essenziell, um dein Unternehmen in Krisensituationen handlungsfähig zu halten. Ob Stromausfall, Cyberangriff oder Naturkatastrophe – eine durchdachte Strategie minimiert Schäden und sichert die Geschäftskontinuität. In diesem Artikel erfährst du, welche Elemente ein effektiver Notfallplan enthält, wie du ihn erstellst und regelmäßig aktualisierst. Wir zeigen dir, wie du Verantwortlichkeiten definierst, kritische Prozesse priorisierst und ein sicheres Backup-System implementierst.

→ Weiterlesen
Authentifizierungsmethoden im Überblick: Von Passwörtern bis Passkeys

Authentifizierungsmethoden bestimmen, wie Nutzer Zugang zu Systemen erhalten und wie sicher ihre Identität überprüft wird. Von der klassischen Passwort-basierten Authentifizierung bis hin zu modernen Ansätzen wie Passkeys und Passwortlos-Authentifizierung (Passwordless Authentication) gibt es zahlreiche Optionen. Dieser Artikel erklärt die Vor- und Nachteile der verschiedenen Methoden und bietet Orientierung für Unternehmen, die ihre Sicherheitsmaßnahmen verbessern wollen.

→ Weiterlesen
Überblick über die wichtigsten Arten von Cyberangriffen

Cyberangriffe sind vielseitig und stellen eine ernste Bedrohung für Unternehmen jeder Größe dar. Zu den häufigsten Angriffsmethoden gehören Phishing, Malware, Ransomware, Brute-Force-Angriffe und DoS/DDoS-Attacken. Diese Angriffe zielen darauf ab, Daten zu stehlen, Systeme zu beschädigen oder die Geschäftskontinuität zu gefährden. In diesem Artikel erfährst du, wie die verschiedenen Angriffstypen funktionieren, woran du sie erkennen kannst und welche Maßnahmen du ergreifen kannst, um deine IT-Infrastruktur zu schützen.

→ Weiterlesen

Aus dem Magazin

NIS-2 verpasst? Was du jetzt tun musst

NIS-2 gilt seit vier Monaten. Viele KMU haben die Registrierungsfrist verpasst und fragen sich, wie es jetzt weitergeht. Dieser Artikel zeigt die konkreten nächsten Schritte.

→  Weiterlesen
NIS2-Anforderungen: Was kleine und mittlere Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie stellt kleine und mittlere Unternehmen vor neue Cybersicherheits-Herausforderungen. Dieser Beitrag erklärt die wichtigsten Anforderungen und bietet einen pragmatischen Drei-Stufen-Plan für eine effiziente Umsetzung. Mit DigimojoCOMPLY und unserer Expertise meistern KMUs die regulatorischen Anforderungen ohne übermäßigen Ressourceneinsatz.

→  Weiterlesen
Warum Informationssicherheit heute über deinen Geschäftserfolg entscheidet

Informationssicherheit ist längst kein Technikthema mehr, sondern ein zentraler Erfolgsfaktor für Dienstleister, SaaS-Anbieter, Start-ups und Beratungen. Dieser Beitrag zeigt, warum ein pragmatisches ISMS heute über Vertrauen, Aufträge und Wachstum entscheidet.

→  Weiterlesen

Verwandte Frameworks

ISO 27001

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme. Sie hilft Unternehmen, Informationsrisiken systematisch zu erkennen, zu steuern und nachweisbar zu kontrollieren.

→ Mehr erfahren

DORA

DORA verpflichtet Finanzunternehmen und ihre IT-Dienstleister zu einheitlichen Standards für digitale Betriebsstabilität. Ziel ist ein widerstandsähiger europäischer Finanzsektor gegen Cyberangriffe und IT-Ausfälle.

→ Mehr erfahren

DIN SPEC 27076

DIN SPEC 27076 ist die Grundlage des BSI-CyberRisikoChecks: ein standardisiertes Verfahren zur Bewertung der Cybersicherheit von KMU. Es liefert in kurzer Zeit ein belastbares Lagebild und konkrete Handlungsempfehlungen.

→ Mehr erfahren
▶︎
Alle Frameworks
▶︎
Gesetz
Thorsten Wälde, Gründer und Geschäftsführer von Digimojo, Experte für Datenschutz und Informationssicherheit
Kontakt

Wie können wir dich unterstützen?

Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.

Unverbindlich anfragen
Einfach. Klar. Verlässlich.
Informationssicherheit | Datenschutz | Cybersecurity
Lösungen
DigimojoCOMPLYDigimojoSECURE
Leistungen
Externer DSBExterner ISBNIS-2-BeratungCyberRisikoCheck
Ressourcen
Kostenlose RessourcenMagazinWissenNewsletter
Frameworks
Unternehmen
Über DigimojoKontaktStrategiegespräch
© 2026 Digimojo
Impressum
|
Datenschutz
|
LinkedIn