NIS 2: der Leitfaden, der Ihre rechtliche Beobachtung ersetzt.

Alles, was ein CISO, eine GRC-Verantwortliche oder ein Vorstandsmitglied braucht, um 2026 unter NIS 2 zu operieren: Anwendungsbereich, zehn Sicherheitsmaßnahmen, Fristen für die Meldung von Vorfällen, Sanktionen und die Realität im Prüfungsraum.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll pillars

Die Einschätzung der Cyber Academy

NIS 2 (Richtlinie (EU) 2022/2555) ist die EU-Richtlinie, die Vorstände für Cybersicherheit in die Pflicht nimmt. Mittelgroße und größere Einrichtungen in 18 gelisteten Sektoren fallen in den Anwendungsbereich. Bei einem erheblichen Vorfall: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, vollständiger Bericht nach einem Monat. Sanktionen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen. Seit Oktober 2024 in den Mitgliedstaaten uneinheitlich umgesetzt.

TL;DR

  • 1Im Anwendungsbereich: 18 Sektoren, mittelgroße (50+ Vollzeitkräfte / 10 Mio.+ Umsatz) und größere Einrichtungen. Zwei Kategorien, wesentlich und wichtig, mit unterschiedlicher Aufsichtsintensität.
  • 2Zehn Risikomanagementmaßnahmen für die Cybersicherheit nach Artikel 21. Die Richtlinie sagt, was zu tun ist; ISO 27001 ist das gängigste Wie.
  • 3Meldung von Vorfällen: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, vollständiger Bericht nach einem Monat. Legen Sie den Ablauf fest, bevor Sie ihn brauchen.
  • 4Persönliche Haftung und Verantwortlichkeit der Leitung sind nun ausdrücklich geregelt. Der Vorstand steht in der Pflicht, nicht nur der CISO.
  • 5Der Stand der Umsetzung variiert von Land zu Land; prüfen Sie Ihre nationale Behörde, bevor Sie davon ausgehen, dass der EU-Text unverändert gilt.

Klären, ob und in welcher Kategorie Sie in den Anwendungsbereich fallen

Der Anwendungsbereich ist die Frage, die alles andere entscheidet, klären Sie ihn also zuerst und halten Sie die Begründung schriftlich fest. NIS 2 gilt für Einrichtungen, die in einem der 18 gelisteten Sektoren tätig sind und zugleich einen Größenschwellenwert erreichen. Die Grundregel ist die Untergrenze für mittlere Unternehmen: mindestens 50 Beschäftigte oder Jahresumsatz und Bilanzsumme über 10 Millionen Euro. Unterhalb dieser Schwelle fallen Sie in der Regel heraus, aber nicht immer: Die Richtlinie bezieht bestimmte Anbieter unabhängig von der Größe ein, wenn der Dienst kritisch genug ist (zum Beispiel DNS-Anbieter, Register für Domänennamen oberster Stufe sowie einige Anbieter öffentlicher elektronischer Kommunikation und Vertrauensdienste).

Die beiden Kategorien, wesentlich und wichtig, sind nicht zwei Listen, aus denen Sie wählen. Sie ergeben sich aus Ihrem Sektor und Ihrer Größe. Die Sektoren mit hoher Kritikalität (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum) bringen bei den größeren Größen wesentliche Einrichtungen hervor; die übrigen gelisteten Sektoren sowie kleinere Einrichtungen in den hochkritischen Sektoren werden im Allgemeinen als wichtig eingestuft. Die praktische Folge ist die Aufsichtsintensität, nicht ein milderer Pflichtenkatalog: Die Sicherheitsmaßnahmen und die Meldefristen sind für beide Kategorien gleich.

Wesentlich vs. wichtig: wo die beiden Kategorien tatsächlich auseinandergehen

Beide Kategorien tragen dieselben Maßnahmen nach Artikel 21 und dieselbe Meldefrist für Vorfälle. Was sich ändert, ist, wie die Aufsichtsbehörde Sie beobachtet und was sie tun kann, wenn etwas schiefläuft. Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht ex ante: Eine Behörde kann ohne Abwarten eines Vorfalls prüfen und Nachweise verlangen. Wichtige Einrichtungen werden reaktiv beaufsichtigt, ex post, das heißt, die Prüfung folgt typischerweise einem Vorfall oder einer glaubhaften Beschwerde. Auch die Bußgeldobergrenzen unterscheiden sich, und diese Lücke ist der am häufigsten genannte Grund, Ihre Kategorie frühzeitig zu bestätigen.

NIS-2-Aufsicht und Sanktionen nach Einrichtungskategorie
DimensionWesentliche EinrichtungenWichtige Einrichtungen
AufsichtsmodellProaktiv (ex ante): Inspektionen und Nachweisanforderungen jederzeitReaktiv (ex post): ausgelöst durch einen Vorfall oder eine Beschwerde
Maximale GeldbußeMindestens 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher istMindestens 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
Sicherheitspflichten (Artikel 21)Alle zehn Maßnahmen geltenAlle zehn Maßnahmen gelten (identisch)
Meldefrist24 Std. / 72 Std. / 1 Monat (identisch)24 Std. / 72 Std. / 1 Monat (identisch)
Verantwortlichkeit der LeitungAusdrücklich; Gremien können haftbar gemacht werden, Einzelpersonen können vorübergehende Leitungsverbote treffenAusdrücklich; persönliche Haftung gilt, Leitungsverbote sind im Allgemeinen wesentlichen Einrichtungen vorbehalten

Lesen Sie die Tabelle so, wie es eine Prüferin tun wird: Die Maßnahmen und Fristen sind für alle nicht verhandelbar, sodass die Kategorie Ihnen vor allem sagt, wie viel Fehlerspielraum Sie haben, bevor jemand vorbeischaut. Wesentliche Einrichtungen sollten davon ausgehen, dass eine Inspektion an einem ruhigen Dienstag stattfinden kann. Wichtige Einrichtungen sollten davon ausgehen, dass die erste echte Prüfung ein laufender Vorfall sein wird, der schlechteste Moment, um festzustellen, dass Ihre Nachweise dünn sind.

Die zehn Maßnahmen nach Artikel 21, und warum ISO 27001 die übliche Antwort ist

Artikel 21 Absatz 2 listet zehn Kategorien von Risikomanagementmaßnahmen für die Cybersicherheit auf, die jede in den Anwendungsbereich fallende Einrichtung im Verhältnis zu ihrem Risiko umsetzen muss. Die Richtlinie beschreibt Ergebnisse, nicht Kontrollen, und das ist Absicht: Sie sagt Ihnen, was abgedeckt werden muss, und überlässt Ihnen das Wie.

  1. Konzepte für die Risikoanalyse und die Sicherheit von Informationssystemen.
  2. Bewältigung von Sicherheitsvorfällen (Erkennung, Reaktion und die nachstehenden Meldepflichten).
  3. Aufrechterhaltung des Betriebs, einschließlich Backup-Management und Wiederherstellung nach einem Notfall, sowie Krisenmanagement.
  4. Sicherheit der Lieferkette, einschließlich der Sicherheit der Beziehungen zu direkten Lieferanten und Diensteanbietern.
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenbehandlung und -offenlegung.
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen.
  7. Grundlegende Verfahren der Cyberhygiene und Sicherheitsschulungen.
  8. Konzepte und Verfahren für Kryptografie und, soweit angemessen, Verschlüsselung.
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen.
  10. Multi-Faktor-Authentifizierung, gesicherte Kommunikation und, soweit angemessen, gesicherte Notfallkommunikation.

Stellt man diese Liste neben einen Kontrollsatz aus Anhang A, ist die Überschneidung offensichtlich. Deshalb ist in der Praxis der häufigste Weg zur nachweisbaren Konformität ein Informationssicherheits-Managementsystem nach ISO 27001. NIS 2 benennt die Ergebnisse; ISO 27001 liefert Ihnen das Managementsystem, die Disziplin der Risikobehandlung und die dokumentierten Nachweise, die sich ohne viel Übersetzungsaufwand auf neun der zehn Kategorien abbilden lassen. Sie brauchen streng genommen kein Zertifikat, um NIS 2 zu erfüllen, aber die ISMS-Struktur ist der sauberste Weg, die Aufzeichnungen zu erstellen, die eine Behörde erwartet.

Der schnellste Weg für ein Team, sowohl die Verpflichtung als auch die Umsetzung zu verinnerlichen, besteht darin, die regulatorische Sicht mit der Umsetzungssicht zu verbinden: der Kurs NIS 2 Directive Lead Implementer für das Programm selbst und der Kurs ISO 27001 Lead Implementer, um das ISMS aufzubauen, das den Großteil der Last aus Artikel 21 trägt.

Die Meldefrist: 24 Stunden, 72 Stunden, ein Monat

Die Meldepflicht wird bei einem erheblichen Vorfall ausgelöst, also einem, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann oder der andere durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat. Die Frist läuft dann in drei Stufen gegenüber Ihrem nationalen CSIRT oder der zuständigen Behörde.

  • 24 Stunden: eine Frühwarnung. Geben Sie an, ob Sie vermuten, dass der Vorfall rechtswidrig oder böswillig ist und ob er grenzüberschreitende Auswirkungen haben könnte. Das ist ein Hinweis, kein forensischer Bericht.
  • 72 Stunden: eine Meldung des Vorfalls. Ergänzen Sie die Frühwarnung um eine erste Einschätzung, einschließlich Schwere, Auswirkungen und etwaiger Kompromittierungsindikatoren, die Ihnen vorliegen.
  • Ein Monat: ein Abschlussbericht. Eine vollständige Darstellung des Vorfalls, seiner wahrscheinlichen Ursache, der ergriffenen Abhilfemaßnahmen und etwaiger grenzüberschreitender Auswirkungen. Dauert der Vorfall nach einem Monat noch an, legen Sie einen Fortschrittsbericht und beim Abschluss einen Abschlussbericht vor.

Die Fristen wirken großzügig, bis man sie auf einen echten Vorfall überträgt. Die 24-Stunden-Warnung fällt an, während Sie noch bestätigen, was passiert ist, also muss der Ablauf vorab definiert sein: Wer entscheidet, dass ein Vorfall "erheblich" ist, wer verfasst die Frühwarnung, wer hat die Befugnis zur Einreichung und an welches Portal oder welchen Kontakt geht sie in jedem Mitgliedstaat, in dem Sie tätig sind. Üben Sie es. Eine Tabletop-Übung, die mit einer gegen die Uhr verfassten Entwurfs-Frühwarnung endet, ist mehr wert als jedes Richtliniendokument über die Meldung.

Haftung der Leitung und die Fehler, die im Prüfungsraum auftauchen

NIS 2 verlagert die Verantwortlichkeit nach oben. Leitungsorgane müssen die Risikomanagementmaßnahmen für die Cybersicherheit billigen, ihre Umsetzung überwachen und Schulungen absolvieren, damit sie Risiken selbst erkennen können. Verstöße können namentlich genannten Einzelpersonen zugerechnet werden, und bei wesentlichen Einrichtungen können Behörden vorübergehende Verbote für Einzelpersonen verhängen, Leitungsfunktionen auszuüben. Der Vorstand steht in der Pflicht, und "der CISO kümmert sich um die Sicherheit" ist gegenüber einer Aufsichtsbehörde keine vollständige Antwort mehr.

Die wiederkehrenden Fehler, die wir sehen, sind selten exotisch. Sie sind vorhersehbar, und sie sind vermeidbar:

  • Die Umsetzung als einheitlich behandeln. Die Richtlinie wird in nationales Recht umgesetzt, und die Fristen, Schwellenwerte, Registrierungspflichten und Meldeportale variieren von Land zu Land. Prüfen Sie für jeden Mitgliedstaat, in dem Sie tätig sind, die nationale Behörde, bevor Sie davon ausgehen, dass der EU-Text unverändert gilt.
  • Die Registrierungs- und Selbstidentifizierungspflicht ignorieren. Viele Mitgliedstaaten verlangen, dass in den Anwendungsbereich fallende Einrichtungen sich bei der zuständigen Behörde registrieren. Im Anwendungsbereich, aber nicht registriert zu sein, ist eine eigene Beanstandung, unabhängig von jeder Sicherheitslücke.
  • Zu wenig in die Sicherheit der Lieferkette investieren. Sie ist eine der zehn Maßnahmen, und sie ist der Bereich, in dem die größten Einrichtungen am stärksten exponiert sind. Ein dünner Lieferanten-Risikoprozess ist eine sichtbare Schwäche.
  • Kategorien mit Pflichten verwechseln. Wichtige Einrichtungen nehmen manchmal an, dass leichtere Aufsicht leichtere Pflichten bedeutet. Das tut sie nicht: Dieselben Maßnahmen und dieselbe Meldefrist gelten.
  • Kein eingeübter Meldeablauf. Die 24-Stunden-Warnung ist die am häufigsten versäumte Pflicht, weil niemand für die Entscheidung und den Entwurf zuständig war, bis der Vorfall es erzwang.

Wenn Ihr Team sich bei Anwendungsbereich, Kategorien und Pflichten orientieren muss, bevor es sich auf eine Umsetzung festlegt, ist der Kurs NIS 2 Directive Foundation der richtige Ausgangspunkt; gehen Sie zu den Tracks Lead Implementer und ISO 27001 über, sobald Sie das Programm selbst dimensionieren.

NIS 2 wirkt mit anderen EU-Regelwerken zusammen (DORA regelt die operationelle Resilienz des Finanzsektors und hat dort als die speziellere Regel im Allgemeinen Vorrang; der AI Act fügt eigene Pflichten für KI-Systeme hinzu), klären Sie also, welches Regelwerk für eine bestimmte Pflicht führend ist, anstatt denselben Vorfall doppelt zu melden oder, schlimmer noch, gar nicht. Im Zweifel ist die sichere Haltung diejenige, die die Richtlinie selbst belohnt: dokumentierte Entscheidungen, eine gepflegte Kontrollzuordnung und ein Meldeablauf, den Sie durchgespielt haben, bevor Sie ihn brauchten.

Frequently asked questions

01Falle ich in den Anwendungsbereich von NIS 2?

Zwei Filter: Sektor und Größe. Sie müssen in einem der 18 gelisteten Sektoren tätig sein (Energie, Verkehr, Finanzwesen, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Lebensmittel, Chemie, Postdienste, Herstellung kritischer Produkte, Forschung, Abfallwirtschaft sowie einige weitere). Und Sie müssen den Größenschwellenwert erreichen: 50+ Beschäftigte oder 10 Millionen Euro Jahresumsatz. Darunter fallen Sie standardmäßig aus dem Anwendungsbereich heraus, mit nationalen Ausnahmen für kritische Einrichtungen jeder Größe.

Zwei Kategorien innerhalb des Anwendungsbereichs: Wesentliche Einrichtungen (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten B2B, öffentliche Verwaltung, Weltraum) unterliegen einer strengeren Aufsicht und höheren Sanktionen. Wichtige Einrichtungen (Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung) unterliegen einer leichteren Aufsicht, aber denselben Sicherheitspflichten.

02Was sind die zehn Maßnahmen nach Artikel 21?

Artikel 21 Absatz 2 listet zehn Risikomanagementmaßnahmen für die Cybersicherheit auf: (a) Konzepte für die Risikoanalyse und die Sicherheit von Informationssystemen; (b) Bewältigung von Sicherheitsvorfällen; (c) Aufrechterhaltung des Betriebs und Krisenmanagement; (d) Sicherheit der Lieferkette; (e) Sicherheit bei Erwerb, Entwicklung und Wartung; (f) Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen für die Cybersicherheit; (g) grundlegende Verfahren der Cyberhygiene und Schulungen zur Cybersicherheit; (h) Konzepte für Kryptografie und Verschlüsselung; (i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen; (j) Einsatz von Multi-Faktor-Authentifizierung, gesicherter Sprach-, Video- und Textkommunikation und gesicherter Notfallkommunikation.

Die Richtlinie schreibt nicht vor, wie jede Maßnahme umzusetzen ist. ISO 27001 lässt sich sauber auf alle zehn abbilden; NIST CSF und CIS Controls decken die meisten ab. Wählen Sie ein Rahmenwerk, dokumentieren Sie die Zuordnung, und die Aufsichtsbehörde ist zufrieden.

03Wie sieht der Zeitplan für die Meldung von Vorfällen aus?

Bei einem erheblichen Vorfall gibt es drei Fristen: 24-Stunden-Frühwarnung (erste Einschätzung, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist, mögliche grenzüberschreitende Auswirkungen); 72-Stunden-Meldung (umfassendere Einschätzung, Kompromittierungsindikatoren); Abschlussbericht nach einem Monat (ausführliche Beschreibung des Vorfalls, Schwere, Auswirkungen, ergriffene Abhilfemaßnahmen, soweit verfügbar eine Ursachenanalyse).

Ein erheblicher Vorfall ist einer, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann oder andere durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. Die Schwellenwerte werden von den nationalen Behörden präzisiert; prüfen Sie Ihre.

04Wie hoch sind die Sanktionen?

Wesentlichen Einrichtungen drohen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtigen Einrichtungen drohen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes. Nationale Behörden können auch nichtfinanzielle Sanktionen verhängen: Anordnungen zur Einhaltung, öffentliche Bekanntmachung der Verstöße, vorübergehende Verbote für Leitungspersonen, ihre Funktion auszuüben.

Sanktionen sind nicht der einzige Durchsetzungshebel. Aufsichtsdialog, Audits und Anordnungen zur Durchführung konkreter Abhilfemaßnahmen liegen alle unterhalb der Bußgeldschwelle und sind in der Praxis häufiger.

05Wie wirkt NIS 2 mit DORA und dem AI Act zusammen?

Für Finanzunternehmen ist DORA lex specialis in IKT-Fragen: Wo DORA gilt, geht es bei den IKT-bezogenen Bestimmungen NIS 2 vor. Finanzunternehmen wenden NIS 2 weiterhin für die nicht IKT-bezogenen Themen an, die von der Richtlinie erfasst werden.

Der AI Act läuft parallel; er regelt KI-Systeme, nicht Cybersicherheitsprogramme. Wenn Sie Hochrisiko-KI-Systeme in einem kritischen Sektor betreiben, unterliegen Sie beidem: NIS 2 für die Cybersicherheits-Grundlinie, dem AI Act für die KI-Konformitätsarbeit.

Kohorten, die das Gelesene in ein Zertifikat verwandeln.

Pillar gelesen. Was kommt als Nächstes?

Jeder Pillar verlinkt auf die Kohorte, die ihn in ein Zertifikat verwandelt. Durchsuchen Sie den Katalog oder sprechen Sie mit uns für einen maßgeschneiderten Pfad.