Der Begriff NIS2 steht für die „Network and Information Security“-Richtlinie (EU 2022/2555), ein EU-weites Gesetz zur Stärkung der Cybersicherheit.
Seit Anfang 2026 ist die Richtlinie in Deutschland durch das nationale Umsetzungsgesetz vollständig in Kraft und verpflichtet rund 29.500 bis 30.000 Unternehmen zur Einhaltung strenger Sicherheitsstandards.
Die wichtigsten Aspekte im Überblick:
- Ziel: Schaffung eines einheitlich hohen Schutzniveaus für kritische Infrastrukturen und wichtige Sektoren innerhalb der EU, um die Resilienz gegen Cyberangriffe zu erhöhen.
- Betroffene Unternehmen:
- Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Mio. € Jahresumsatz in Sektoren wie Energie, Gesundheit, Transport, Lebensmittel oder digitale Dienste.
- Es wird zwischen „besonders wichtigen“ (z.B. Energie, Wasser) und „wichtigen“ Einrichtungen (z.B. Abfallwirtschaft, Post, Chemie) unterschieden.
- Wesentliche Pflichten:
- Risikomanagement: Einführung von Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, Verschlüsselung und Backup-Management.
- Meldepflichten: Cyber-Vorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden (Frühwarnung innerhalb von 24 Stunden).
- Registrierung: Betroffene Firmen müssen sich im BSI-Portal registrieren.
- Haftung: Cybersicherheit ist „Chefsache“. Geschäftsführungen haften persönlich für die Umsetzung und müssen entsprechende Schulungen nachweisen.
- Sanktionen: Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder 2% des weltweiten Jahresumsatzes.
Unternehmen können ihren Status über den offiziellen BSI-Self-Check prüfen.
