German Slovak Swedish
Materna IT-Dienstleister  |  Wiki  |  NIS2 einfach erklärt

NIS-2 einfach erklärt: Wer betroffen ist, was Unternehmen jetzt umsetzen müssen

Mit der NIS-2-Richtlinie verschärft die EU die Anforderungen an Cybersicherheit deutlich. Der Anwendungsbereich wächst stark, die Pflichten werden konkreter, und die Verantwortung rückt bis in die Geschäftsführung. In Deutschland betrifft NIS-2 zehntausende Unternehmen aus kritischen und wichtigen Sektoren, weit über klassische KRITIS-Anlagen hinaus. Dieser Beitrag erklärt, was NIS-2 bedeutet, wer unter die Regelung fällt und welche Anforderungen Unternehmen jetzt erfüllen müssen.

EU-Sterne vor digitalem Hintergrund mit Schloss- und NIS2-Symbol als Darstellung der europäischen Cybersicherheitsrichtlinie EU-Sterne vor digitalem Hintergrund mit Schloss- und NIS2-Symbol als Darstellung der europäischen Cybersicherheitsrichtlinie EU-Sterne vor digitalem Hintergrund mit Schloss- und NIS2-Symbol als Darstellung der europäischen Cybersicherheitsrichtlinie EU-Sterne vor digitalem Hintergrund mit Schloss- und NIS2-Symbol als Darstellung der europäischen Cybersicherheitsrichtlinie EU-Sterne vor digitalem Hintergrund mit Schloss- und NIS2-Symbol als Darstellung der europäischen Cybersicherheitsrichtlinie EU-Sterne vor digitalem Hintergrund mit Schloss- und NIS2-Symbol als Darstellung der europäischen Cybersicherheitsrichtlinie
Adobe Stock ©

Was bedeutet NIS-2

NIS-2 ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie löst die bisherige NIS-Richtlinie ab und verschärft die Anforderungen an Cybersicherheit, Risikomanagement und Meldepflichten deutlich. Ziel ist es, die digitale Resilienz von Unternehmen und öffentlichen Einrichtungen in der EU zu stärken. Das gilt insbesondere dort, wo IT-Ausfälle erhebliche Auswirkungen auf Wirtschaft, Staat oder Gesellschaft hätten.

Rechtlich umgesetzt wird die Richtlinie in Deutschland durch das NIS-2-Umsetzungsgesetz, das die Vorgaben in nationales Recht überführt und mit bestehenden Regelwerken wie dem KRITIS-Dachgesetz verzahnt wird. NIS-2 erweitert dabei den Fokus: Nicht mehr nur klassische KRITIS-Anlagen stehen im Mittelpunkt, sondern ein deutlich größerer Kreis sogenannter Einrichtungen in NIS-2.

Im Kern verpflichtet NIS-2 betroffene Organisationen dazu, Cyberrisiken systematisch zu managen, Sicherheitsvorfälle schneller zu melden und Verantwortung auf Management-Ebene zu verankern. Die Richtlinie ist damit weniger ein reines IT-Thema als vielmehr Teil der europäischen KRITIS-Gesetzgebung zur Sicherung zentraler Infrastrukturen.

Wer muss NIS-2 umsetzen?

Grundsätzlich gilt: Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz können unter NIS-2 fallen, wenn sie in einem der definierten kritischen Sektoren tätig sind.

Der Anwendungsbereich von NIS-2 ist deutlich größer als bei der Vorgängerrichtlinie. Betroffen sind sogenannte wesentliche und wichtige Einrichtungen in kritischen und wichtigen Sektoren. 

Von NIS-2 betroffene Sektoren

  • Energie
  • Wasser
  • Gesundheit
  • Transport
  • digitale Infrastruktur
  • öffentliche Verwaltung
  • Abfallwirtschaft
  • Chemie
  • Lebensmittelversorgung
  • IT-Dienstleister
  • Teile der verarbeitenden Industrie

Entscheidend ist nicht mehr nur die Einstufung als klassische KRITIS-Anlage, sondern auch Unternehmensgröße und gesellschaftliche Relevanz.

Betroffenheit nach Unternehmensgröße

Schätzungen gehen davon aus, dass in Deutschland künftig rund 30.000 Unternehmen und Organisationen unter die NIS-2-Regelungen fallen – ein Vielfaches im Vergleich zur bisherigen NIS-Richtlinie. Viele davon waren bislang nicht im Fokus der KRITIS-Behörden und müssen sich erstmals strukturiert mit regulatorischen Cybersecurity-Pflichten auseinandersetzen.

Was müssen Unternehmen im Rahmen von NIS-2 leisten?

NIS-2 formuliert konkrete organisatorische, technische und prozessuale Anforderungen. Im Mittelpunkt steht ein risikobasierter Ansatz: Unternehmen müssen ihre individuellen Cyberrisiken kennen, bewerten und geeignete Maßnahmen ergreifen.

Das müssen Unternehmen im Rahmen von NIS-2 leisten

  • ein systematisches Risikomanagement
  • Maßnahmen zur Absicherung von Netz- und Informationssystemen
  • Regelungen zur Zugriffskontrolle
  • Notfall- und Krisenpläne
  • der sichere Umgang mit Lieferketten und Dienstleistern
  • Schulungen und Sensibilisierung von Mitarbeitenden

Ein zentraler Punkt ist die Meldepflicht bei Sicherheitsvorfällen. Erhebliche IT-Störungen müssen innerhalb enger Fristen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die Anforderungen an Transparenz und Nachvollziehbarkeit steigen deutlich.

Neu ist außerdem die klare Verantwortung des Managements. Geschäftsleitungen müssen die Umsetzung der NIS-2-Vorgaben aktiv überwachen und können bei Verstößen haftbar gemacht werden. NIS-2 verankert Cybersicherheit damit als Führungsaufgabe, vergleichbar mit Compliance, Datenschutz oder Arbeitssicherheit.

NIS-2 im Zusammenspiel mit KRITIS-Regulierung

NIS-2 steht nicht isoliert, sondern ergänzt bestehende und kommende Regelwerke wie das KRITIS-Dachgesetz, sektorale KRITIS-Verordnungen und weitere europäische Vorgaben. Gemeinsam bilden sie den regulatorischen Rahmen für den Schutz kritischer Infrastrukturen in Deutschland und Europa.

Für Unternehmen bedeutet das: Cybersicherheit, physische Resilienz und organisatorische Vorsorge wachsen regulatorisch zusammen. Wer heute NIS-2 umsetzt, schafft damit auch eine wichtige Grundlage für weitere Anforderungen der KRITIS-Gesetzgebung.

Zuordnung der Sektoren im Vergleich „KRITIS & NIS2“

HINWEIS: Gem. dem Referentenentwurfs des Bundesinnenministeriums zur Umsetzung der NIS-Richtlinie ist vorgesehen, dass die Regelungen im BSIG zu den UBI aufgehoben werden sollen. UBI werden gem. des Entwurfs in der neuen Einrichtungskategorie „Wesentlichen Einrichtungen & wichtigen Einrichtungen“ aufgehen. 

NIS-2 ist Chefsache

NIS-2 betrifft Geschäftsmodelle, Lieferketten, Führungsstrukturen und die strategische Resilienz von Unternehmen. Durch den stark erweiterten Geltungsbereich geraten viele Organisationen erstmals in den Fokus der Regulierung.

Unternehmen sollten daher frühzeitig prüfen, ob sie zu den Einrichtungen in NIS-2 gehören, und ihre bestehende Sicherheits- und Governance-Struktur bewerten. Wer NIS-2 nur als Pflichtübung versteht, verschenkt Potenzial. Richtig umgesetzt, stärkt die Richtlinie nicht nur Compliance, sondern auch Stabilität, Vertrauen und Zukunftsfähigkeit.

FAQs rund um NIS2

NIS-2 ist die EU-Richtlinie zur Stärkung der Cybersicherheit. Sie verschärft Anforderungen an IT-Sicherheit, Risikomanagement und Meldepflichten und ersetzt die bisherige NIS-Richtlinie.

Unternehmen mit mindestens 50 Mitarbeitenden oder über 10 Mio. € Umsatz, die in kritischen oder wichtigen Sektoren tätig sind. Der Anwendungsbereich ist deutlich größer als bei klassischer KRITIS.

Unter anderem:

  • Energie, Wasser, Gesundheit, Transport
  • Digitale Infrastruktur und IT-Dienstleister
  • Öffentliche Verwaltung
  • Chemie, Abfallwirtschaft, Lebensmittelversorgung
  • Teile der verarbeitenden Industrie

Schätzungsweise rund 30.000 Unternehmen – viele davon erstmals mit verbindlichen Cybersecurity-Pflichten.

NIS-2 verlangt einen risikobasierten Ansatz, u. a.:

  • IT-Risikomanagement
  • Absicherung von Netz- und Informationssystemen
  • Notfall- und Krisenpläne
  • Lieferketten- und Dienstleistersicherheit
  • Schulungen für Mitarbeitende

Erhebliche Sicherheitsvorfälle müssen innerhalb kurzer Fristen an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden.

Die Geschäftsleitung ist direkt verantwortlich für die Umsetzung von NIS-2 und kann bei Verstößen haftbar gemacht werden. Cybersicherheit wird damit zur Führungsaufgabe.

NIS-2 ergänzt bestehende KRITIS-Regelwerke und ist Teil der europäischen Gesetzgebung zum Schutz kritischer Infrastrukturen.

Frühe Umsetzung schafft Rechtssicherheit, reduziert Risiken und stärkt Resilienz, Vertrauen und Zukunftsfähigkeit.

Sprechen Sie uns gerne an

Portrait von Ansprechpartner Robert Stricker

Robert Stricker
Abteilungsleiter Security Consulting

Weiteres zu Regulatorik und NIS2

Event
Dortmund
05.11.2026
XCS Day (Xchange in Cyber Security)

Beim XCS Day treffen sich erneut Expert:innen aus Wirtschaft und Verwaltung, um aktuelle Herausforderungen und Strategien rund um Cyber Security und Regulierung zu diskutieren. Erfahren Sie, wie Organisationen ihre Widerstandsfähigkeit gegenüber…

Weiterlesen
Event
Bochum
03.11.2026
IT.Connect
Weiterlesen
Event
Berlin
13.10.2026 - 15.10.2026
Smart Country Convention (SCCON)

Treffen Sie uns erneut in Halle 27 am Stand 206 auf der führenden Veranstaltung für den digitalen Staat und öffentliche Dienste. Die SCCON ist ein Muss für alle Akteurinnen und Akteure, die den digitalen Wandel aktiv vorantreiben und gestalten.

Weiterlesen
Event
Düsseldorf
30.09.2026
27. ÖV-Symposium NRW

Künstliche Intelligenz, Digitale Souveränität, Cloud, Datenökonomie und Cyber Security bilden den Rahmen für die digitale Transformation der Verwaltung in NRW. Die beliebte Informations- und Dialogplattform für Verwaltungsmodernisierung bietet einen…

Weiterlesen
Event
Dortmund
10.09.2026
Resilience Readiness Day

Erleben Sie einen Tag voller Impulse, Best Practices und wegweisender Ideen rund um nationale Resilienz. Wir laden zum Resilience Readiness Day ein. Materna bringt Entscheider:innen aus Verwaltung, Sicherheitsbehörden, Bundeswehr, KRITIS-Unternehmen…

Weiterlesen
Event
Online
07.07.2026
Webcast "Weniger Risiko, mehr Sicherheit – Zero Trust mit Microsoft"

Moderne IT-Infrastrukturen erfordern ein neues Verständnis von Vertrauen. Wachsende Ökosysteme mit hybriden Infrastrukturen, dutzenden Cloud-Diensten und verteilten Arbeitsplätzen erzeugen eine Komplexität, die klassische Perimeter-Ansätze nicht mehr…

Weiterlesen
Event
Stuttgart
02.07.2026
Baden-Württemberg 4.0

Der Kongress „Baden-Württemberg 4.0“ hat den Transformationsprozess und die Digitalisierungsstrategie in Baden-Württemberg eng begleitet. Materna fokussiert bei BaWü 4.0 auf den E-Verwaltungsarbeitsplatz der Zukunft. Wie gelingt der nächste…

Weiterlesen
Event
Online
01.07.2026
Webcast "Versicherungs-IT: Endlich weg vom 'Standard'"

Klassifizieren, Extrahieren... und dann? Warum wir aufhören müssen, IDP nur als digitale Poststelle zu begreifen.

Die meisten Versicherer haben die Basics im Griff. Aber die echte Wertschöpfung beginnt dort, wo der Standard aufhört. Deshalb laden…

Weiterlesen
Event
München
01.07.2026 - 02.07.2026
Bayerisches Anwenderforum 2026

Das Bayerische Anwenderforum von Infora bringt Entscheider:innen sowie Umsetzungsverantwortliche aus Landes- und Kommunalverwaltung, öffentlichen IT-Dienstleistern sowie Partnern aus Wirtschaft und GovTech zusammen. Wir diskutieren aktuelle…

Weiterlesen
Event
Cyber Security
25.06.2026
Webcast “Security by Design. Not by Accident.”

Sichere Software entsteht nicht durch Zufall und auch nicht allein durch einzelne technische Maßnahmen. Gerade vor dem Hintergrund des Cyber Resilience Act steigt der Druck auf Hersteller und Betreiber digitaler Produkte, Security-Anforderungen nicht…

Weiterlesen

Materna Information & Communications SE

Wir digitalisieren Ihre Welt

Wir sind gerne für Sie da

Robert-Schuman-Straße 20 44263 Dortmund
+49 231 559 9 - 00
Kontakt aufnehmen
Kundenservice

Quick Links

Karriere Events Materna-Gruppe Services Presse Trainingscenter WIKI - Deep Dive

IT mit Vertrauen

Materna Trust Center Zertifizierungen Lieferantenkodex Lieferantenbewerbung Datenschutz für Lieferanten Datenschutz für Kunden

Materna Newsletter

Erfahren Sie monatlich die wichtigsten News rund um das Unternehmen, Kundenprojekte, Produkte und Services.

Jetzt abonnieren
© Materna 2026
Impressum
| Datenschutz
| Datenschutzeinstellungen