Regulierung · Pillar Page

NIS2 einfach erklärt

Die NIS2-Richtlinie erweitert die Anforderungen an Cybersecurity und Resilienz in der EU. Wir erklären Anwendungsbereich, Anforderungen, Meldepflichten und konkrete Umsetzungsschritte.

Aktualisiert am 28.05.2026 · Lesedauer 8 Min · Redaktion sicherheit-cyber.de

NIS2 im Überblick

NIS2 ist die zweite Network-and-Information-Security-Richtlinie der Europäischen Union. Sie verpflichtet eine deutlich größere Zahl an Organisationen zu einem strukturierten Cybersecurity-Management, Meldepflichten und nachweisbarer Resilienz.

Wer ist von NIS2 betroffen?

Energie
Verkehr
Bankwesen
Finanzmarktinfrastruktur
Gesundheit
Trinkwasser & Abwasser
Digitale Infrastruktur
IT-Dienste
Öffentliche Verwaltung
Post & Kurier
Abfallwirtschaft
Lebensmittel
Chemie
Forschung
Hersteller
Digitale Anbieter

Anforderungen

  • Risiko- und Sicherheitsmanagement etablieren
  • Vorfallsbehandlung und Meldepflichten umsetzen
  • Business Continuity und Krisenmanagement
  • Sicherheit in der Lieferkette
  • Sicherheit bei Beschaffung, Entwicklung und Wartung
  • Verschlüsselung und Kryptographie
  • Identitäts- und Zugriffsmanagement (IAM, MFA)
  • Schulung, Awareness und Hygiene
  • Governance: Verantwortung der Geschäftsleitung
  • Wirksamkeitsmessung und kontinuierliche Verbesserung

Maßnahmen & Checkliste

  1. 1Betroffenheit prüfen (Sektor & Größe)
  2. 2Verantwortliche Rolle in der Geschäftsführung benennen
  3. 3Risikoanalyse durchführen
  4. 4Lieferanten- und Drittparteienrisiken bewerten
  5. 5Incident-Response-Prozess definieren
  6. 6Meldewege zu CSIRT / BSI etablieren
  7. 7Awareness-Programm aufsetzen
  8. 8Dokumentation und Nachweisfähigkeit sicherstellen

Fristen & Meldepflichten

Frühwarnung

Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls.

Vorfallsmeldung

Detaillierte Meldung innerhalb von 72 Stunden.

Abschlussbericht

Innerhalb eines Monats nach der Vorfallsmeldung.

NIS2 vs. ISO 27001

Ein ISMS nach ISO 27001 ist ein hervorragendes Fundament für NIS2, deckt aber nicht alle Pflichten ab. Lücken bestehen vor allem bei Meldepflichten, Lieferkette und Governance.

AspektISO 27001NIS2
CharakterFreiwilliger StandardGesetzliche Pflicht
MeldepflichtenNicht enthalten24h / 72h / 1 Monat
Geschäftsführungs-HaftungNicht direktExplizit geregelt
LieferketteAdressiertKonkret eingefordert

Häufige Fragen zu NIS2

Verwandte Themen

ISMSISO 27001KRITISRisikomanagementLieferkettensicherheitNIS2-Tools

Passende Tools für NIS2-Umsetzung finden

Vergleichen Sie ISMS-, GRC- und Awareness-Plattformen mit Filter nach Branche, Größe und Bereitstellung.

Tools vergleichen

Quellen

  • EU-Richtlinie (EU) 2022/2555
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • ENISA Threat Landscape