Pandorex
Regulierung & Recht

NIS2 im DACH-Raum: Was jetzt gilt, wen es trifft und was bis Oktober passieren muss

·Pandorex Redaktion·9 min Lesezeit
1461

NIS2 (Network and Information Security Directive 2) ist die umfassendste Cybersicherheits-Regulierung, die die EU je verabschiedet hat. Seit Oktober 2024 hätten die Mitgliedstaaten sie in nationales Recht umsetzen sollen. Deutschland hat das NIS2-Umsetzungsgesetz (NIS2UmsuCG) im Dezember 2025 verabschiedet, mit Übergangsfrist bis Oktober 2026. Die Schweiz ist als Nicht-EU-Staat nicht direkt betroffen, orientiert sich aber über das revidierte Informationssicherheitsgesetz (ISG) an ähnlichen Standards. Österreich hat die NIS2-Umsetzung im März 2026 finalisiert.

Wen es trifft

NIS2 erweitert den Anwendungsbereich massiv gegenüber der Vorgänger-Richtlinie NIS1. Betroffen sind Unternehmen in 18 Sektoren, aufgeteilt in "wesentliche" und "wichtige" Einrichtungen:

Wesentliche Einrichtungen (Essential Entities): Energie, Transport, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management (B2B), öffentliche Verwaltung, Weltraum.

Wichtige Einrichtungen (Important Entities): Post, Abfall, Chemie, Lebensmittel, Fertigung (bestimmte Teilbereiche), digitale Dienste (Marktplätze, Suchmaschinen, Social Media), Forschung.

Die Schwelle: Unternehmen ab 50 Mitarbeitenden ODER ab 10 Mio EUR Jahresumsatz in den genannten Sektoren. Das trifft in Deutschland geschätzt 30.000 Unternehmen. Viele davon Mittelständler, die bisher keine spezifischen Cybersicherheits-Regulierungen beachten mussten.

Was NIS2 konkret fordert

Die Anforderungen sind in Artikel 21 der Richtlinie definiert. Für Unternehmen bedeutet das konkret:

  • Risikoanalyse und Sicherheitskonzept: Dokumentierte Analyse der IT-Risiken, daraus abgeleitete Massnahmen. Nicht einmalig, sondern als laufender Prozess.
  • Incident Handling: Prozesse für Erkennung, Analyse, Eindämmung und Wiederherstellung bei Sicherheitsvorfällen. Meldepflicht: Erstmeldung innerhalb von 24 Stunden an die zuständige Behörde (BSI in Deutschland), detaillierter Bericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.
  • Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement.
  • Supply Chain Security: Bewertung der Sicherheit von Zulieferern und Dienstleistern. Sicherheitsanforderungen in Verträgen.
  • Schwachstellenmanagement: Systematisches Patch-Management, Vulnerability Scanning.
  • Kryptographie: Verschlüsselung wo angemessen.
  • Zugriffskontrolle: Multi-Faktor-Authentifizierung, Least Privilege, Identitätsmanagement.
  • Schulung: Regelmässige Cybersicherheits-Schulungen für alle Mitarbeitenden, inklusive Geschäftsführung.

Geschäftsführerhaftung: Das neue Risiko

Der politisch brisanteste Punkt: NIS2 führt eine persönliche Haftung der Geschäftsführung ein. Artikel 20 verlangt, dass die Leitungsorgane die Cybersicherheits-Massnahmen genehmigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Bei Verstössen können Bussgelder von bis zu 10 Mio EUR oder 2% des weltweiten Jahresumsatzes verhängt werden (für wesentliche Einrichtungen).

Das bedeutet: Cybersicherheit ist kein IT-Thema mehr, das an den CISO delegiert werden kann. Es ist Chefsache. Und Geschäftsführer, die sich nicht mit dem Thema befassen, handeln fahrlässig.

Der Timeline-Druck

Für deutsche Unternehmen gilt:

  • Jetzt: Prüfen, ob man betroffen ist (Sektor + Schwellenwerte)
  • Bis Juni 2026: Gap-Analyse: Was fehlt im Vergleich zu den NIS2-Anforderungen?
  • Bis Oktober 2026: Massnahmen umgesetzt, dokumentiert, nachweisbar. Registrierung beim BSI.
  • Ab Oktober 2026: BSI kann prüfen, Meldepflichten gelten, Bussgelder können verhängt werden.

Pragmatische Umsetzung

Für die meisten betroffenen Mittelständler ist NIS2 keine Raketenwissenschaft. Die geforderten Massnahmen entsprechen weitgehend dem, was in der IT-Sicherheit als Best Practice gilt. Wer bereits ISO 27001 oder BSI IT-Grundschutz implementiert hat, ist zu 70-80% compliant.

Der pragmatische Ansatz:

  1. Betroffenheitsprüfung: Bin ich betroffen? Welche Kategorie?
  2. Gap-Analyse: Was fehlt? Dokumentiertes ISMS? Incident-Response-Plan? Backup-Konzept? MFA?
  3. Quick Wins: MFA einführen, Patch-Management formalisieren, Backup-Tests durchführen, Meldeprozess definieren.
  4. Dokumentation: NIS2 verlangt nicht Perfektion, sondern Nachweisbarkeit. Dokumentieren, was man tut und warum.
  5. Externe Unterstützung: Für die Gap-Analyse und Implementierung lohnt sich ein spezialisierter Partner. IT-Dienstleister wie die Nemonicon GmbH bieten strukturierte NIS2-Readiness-Checks, die in wenigen Tagen eine klare Roadmap liefern.

NIS2 ist keine Strafe. Es ist eine Chance, die eigene IT-Sicherheit auf ein Niveau zu bringen, das ohnehin nötig ist. Die Regulierung gibt den Anstoss. Die Umsetzung liegt bei den Unternehmen.

Quellen: EU-Richtlinie 2022/2555, NIS2UmsuCG (BGBl. 2025), BSI NIS2-FAQ, ENISA NIS2 Implementation Guidance.

Kommentare

, um einen Kommentar zu schreiben.

Nach oben swipen
Nächster Artikel

EU AI Act: August 2026 Deadline für Hochrisiko-Systeme

Regulierung & Recht

Weitere Artikel

Security

Trump will CISA-Budget um 707 Millionen Dollar kürzen – Cybersicherheit der USA in Gefahr

Der neue Haushaltsentwurf für 2027 sieht massive Einschnitte bei der US-Cybersicherheitsbehörde CISA vor. Ehemalige Beamte warnen: Das erhöht das Risiko für vermeidbare Cyberangriffe auf kritische Infrastruktur.

KI & Chips

Netflix veröffentlicht VOID: KI-Modell entfernt Objekte aus Videos und simuliert physikalisch korrekte Szenen

Netflix Research stellt VOID vor – ein Vision-Language-Modell, das Objekte aus Videos löscht und die verbleibende Szene physikalisch plausibel rekonstruiert. Das Open-Source-Tool übertrifft bestehende Alternativen deutlich.

Cloud & Infra

Microsoft investiert 10 Milliarden Dollar in Japans KI-Infrastruktur und Cyberabwehr

Microsoft kündigt ein 10-Milliarden-Dollar-Investment in Japan an – für KI-Rechenzentren und Cybersecurity-Kooperation mit der Regierung. Ein Signal, dass KI-Infrastruktur zur Frage nationaler Sicherheit wird.