Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Richtlinie zur Stärkung der Cybersicherheit. Sie ist am 16. Januar 2023 in Kraft getreten und musste von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Die allgemeine Umsetzungsfrist für alle EU-Länder war der 17. Oktober 2024.
NIS2 ersetzt die alte NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich. Während NIS1 vor allem Betreiber wesentlicher Dienste und bestimmte digitale Diensteanbieter betraf, gilt NIS2 auch für mittlere Unternehmen.
Nationale Umsetzung (Stand 2026)
Die EU-Richtlinie wurde in nationales Recht umgesetzt:
- Österreich: NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026)
Beschlossen am 12.12.2025, kundgemacht am 23.12.2025, in Kraft ab 1. Oktober 2026.
Zuständige Behörde: Bundesamt für Cybersicherheit (neu geschaffene Behörde, dem BMI unterstellt) - Deutschland: NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)
In Kraft seit 6. Dezember 2025 – keine Übergangsfrist!
Zuständige Behörde: BSI (Bundesamt für Sicherheit in der Informationstechnik)
Registrierungsfrist: spätestens 3 Monate nach Betroffenheit (§ 33 BSIG) – für am 6. Dezember 2025 betroffene Einrichtungen somit der 6. März 2026
Wer ist von NIS2 betroffen?
NIS2 betrifft Unternehmen in 18 Sektoren. Ob ein Unternehmen als wesentliche (in der deutschen Umsetzung: besonders wichtige) oder als wichtige Einrichtung gilt, richtet sich in erster Linie nach Sektor und Unternehmensgröße – die unterschiedliche Aufsichtsintensität ist nur die Folge dieser Einstufung.
Schwellenwerte
- Wesentliche / besonders wichtige Einrichtung: Tätigkeit in einem hochkritischen Sektor (Anhang I) und Überschreiten der Größe mittlerer Unternehmen – d.h. ≥ 250 Mitarbeitende oder > €50 Mio. Umsatz und > €43 Mio. Bilanzsumme.
- Wichtige Einrichtung: übrige betroffene Unternehmen in den Sektoren nach Anhang I oder II ab der Schwelle mittlerer Unternehmen – d.h. ≥ 50 Mitarbeitende oder > €10 Mio. Umsatz bzw. Bilanzsumme.
Ausnahmen: Bestimmte Sektoren (z.B. DNS, TLD-Registries, qualifizierte Vertrauensdiensteanbieter) sind unabhängig von der Größe betroffen!
Betroffene Sektoren
- Energie: Strom, Öl, Gas, Fernwärme, Wasserstoff
- Verkehr: Luftfahrt, Bahn, Schifffahrt, Straßenverkehr
- Gesundheit: Krankenhäuser, Labore, Pharma, Medizinproduktehersteller
- Digitale Dienste: Cloud, Rechenzentren, DNS, Online-Marktplätze, Suchmaschinen
- Finanzen: Banken (Kreditinstitute), Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien). Versicherer fallen unter DORA, nicht unter NIS2.
- Öffentliche Verwaltung: Einrichtungen der Zentralverwaltung (und risikobasiert der Regionalverwaltung) der Mitgliedstaaten. EU-Organe selbst unterliegen nicht NIS2, sondern der Verordnung (EU) 2023/2841.
- Abfall- und Wasserwirtschaft
- Raumfahrt
- Lebensmittel: Produktion, Verarbeitung, Vertrieb
- Fertigung: Medizinprodukte, Computer/Elektronik, Maschinen, Fahrzeuge, Chemie
- Post- und Kurierdienste
Wichtig: Auch Zulieferer dieser Branchen können betroffen sein, selbst wenn sie nicht direkt in den Sektoren tätig sind! Mehr Details: Lieferketten-Sicherheit nach NIS2
Welche Pflichten ergeben sich aus NIS2?
Betroffene Unternehmen müssen:
- Risikomanagement: Technische und organisatorische Maßnahmen zur Cybersicherheit implementieren
- Meldepflichten: Sicherheitsvorfälle binnen 24 Stunden melden (Frühwarnung), binnen 72 Stunden detailliert. Mehr zu NIS2-Meldepflichten →
- Lieferkettensicherheit: Risiken in der Supply Chain bewerten und minimieren.Mehr zur Lieferketten-Sicherheit →
- Verantwortung der Geschäftsleitung: Leitungsorgane tragen eine ausdrückliche Überwachungs- und Verantwortungspflicht. Bei Verstößen können sie nach nationalem Recht haftbar gemacht werden.
- Audits: Regelmäßige Sicherheitsüberprüfungen durch interne oder externe Prüfer
Welche Strafen drohen bei Verstößen?
Die Bußgelder sind empfindlich:
- Wesentliche Einrichtungen: Bis zu €10 Millionen oder 2% des weltweiten Vorjahresumsatzes (je nachdem, was höher ist)
- Wichtige Einrichtungen: Bis zu €7 Millionen oder 1,4% des weltweiten Vorjahresumsatzes (je nachdem, was höher ist)
Zusätzlich können Leitungsorgane (Geschäftsführer, Vorstände) nach nationalem Recht persönlich haftbar gemacht werden. Bei wesentlichen Einrichtungen kann die zuständige Behörde darüber hinaus eine vorübergehende Untersagung von Leitungsfunktionen anordnen (Art. 32 Abs. 5 lit. b). Für wichtige Einrichtungen sieht die Richtlinie diese Maßnahme nicht vor.
Zuständige Behörden in der DACH-Region
Deutschland
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Umsetzung erfolgt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Österreich
Bundesamt für Cybersicherheit (Cybersicherheitsbehörde)
Umsetzung erfolgt durch das NISG 2026, beschlossen am 12.12.2025, in Kraft ab 1.10.2026.
Hinweis: GovCERT Austria wird voraussichtlich in die neue Behördenstruktur integriert, ist aber nicht die Regulierungsbehörde selbst.
Vorfallmeldungen erfolgen über das NIS-Meldeportal von GovCERT Austria: nis.govcert.gv.at
Schweiz
Bundesamt für Cybersicherheit (BACS)
Hinweis: Schweiz ist nicht EU-Mitglied, hat aber ähnliche nationale Regulierung (Informationssicherheitsgesetz, Cyber-Strategie). Das ehemalige NCSC wurde 2024 in das BACS umgewandelt.
Wie bereite ich mein Unternehmen auf NIS2 vor?
Folgende Schritte sind empfohlen:
- Prüfung der Betroffenheit: Fällt Ihr Unternehmen unter NIS2?
- Gap-Analyse: Wo bestehen Sicherheitslücken?
- Risikoanalyse: Welche IT-Assets sind kritisch?
- Maßnahmenplan: Technische/organisatorische Maßnahmen definieren
- Meldeprozesse: Interne Prozesse für Incident Response einrichten.Details zu Meldepflichten →
- Schulungen für die Geschäftsleitung: Verantwortlichkeiten klären
- Mitarbeiter sensibilisieren: Security-Awareness-Training
FAQ zu NIS2
Gilt NIS2 auch für kleine Unternehmen?
Grundsätzlich gelten Schwellenwerte von 50 Mitarbeitenden oder €10 Millionen Jahresumsatz, sofern das Unternehmen in einem der 18 Sektoren tätig ist. Es bestehen jedoch sektorale Ausnahmen – besonders kritische Einrichtungen können unabhängig von ihrer Größe betroffen sein.
Was ist der Unterschied zwischen NIS2 und ISO 27001?
ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). NIS2 ist eine EU-Richtlinie mit gesetzlichen Meldepflichten und Bußgeldern. ISO 27001-Zertifizierung kann helfen, NIS2-Anforderungen zu erfüllen.
→ Ausführlicher Vergleich: NIS2 vs. ISO 27001
Wann muss ich Sicherheitsvorfälle melden?
Frühwarnung: Binnen 24 Stunden nach Bekanntwerden
Detailmeldung: Binnen 72 Stunden mit Ursachen, Auswirkungen, Maßnahmen
Abschlussbericht: Binnen 1 Monat
→ Vollständiger Guide zu NIS2-Meldepflichten
Gilt NIS2 auch in Österreich und der Schweiz?
Österreich: Ja! Das NISG 2026 wurde am 12. Dezember 2025 beschlossen und tritt am 1. Oktober 2026 in Kraft. Es schafft eine neue Behörde: das Bundesamt für Cybersicherheit. Registrierung binnen 3 Monaten nach Inkrafttreten (bis spätestens 31. Dezember 2026), Selbstdeklaration binnen 12 Monaten nach Eintritt der Registrierungspflicht (§ 33 Abs. 1 NISG 2026; bis spätestens 30. September 2027).
Schweiz: NIS2 gilt nicht direkt (kein EU-Mitglied), aber die Schweiz hat ähnliche Regelungen (Cyber-Strategie, Informationssicherheitsgesetz). Das Bundesamt für Cybersicherheit (BACS) ist zuständig. Schweizer Unternehmen mit Niederlassung in der EU oder Geschäft mit EU-Kunden können trotzdem betroffen sein.