Umsetzung der NIS-2-Richtlinie

NIS-2 – Neue EU-Richtlinie für Cybersicherheit

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die neue EU-weite Vorgabe zur Stärkung der Cybersicherheit in Unternehmen und Organisationen, die am 6. Dezember 2025 mit dem NIS-2-Umsetzungsgesetz in Deutschland in Kraft getreten ist. Ziel von NIS-2 ist es, die Widerstandsfähigkeit kritischer und wichtiger Unternehmen gegenüber Cyberangriffen, IT-Ausfällen und Sicherheitsvorfällen nachhaltig zu erhöhen.

Für Unternehmen bedeutet NIS-2 vor allem eines: mehr Verantwortung für die eigene IT-Sicherheit. Die Richtlinie verpflichtet betroffene Organisationen unter anderem zu einem strukturierten Risikomanagement, technischen und organisatorischen Schutzmaßnahmen sowie klaren Meldepflichten bei Sicherheitsvorfällen. Zusätzlich wird die Geschäftsführung stärker in die Haftung genommen, da Verstöße zu hohen Bußgeldern und persönlichen Konsequenzen führen können.

Wer jetzt handelt, stärkt zugleich Vertrauen, Stabilität und Wettbewerbsfähigkeit.

Welche Branchen sind von NIS-2 betroffen?

NIS-2 betrifft nicht nur klassische KRITIS-Unternehmen, sondern auch viele mittelständische Betriebe, Dienstleister und Zulieferer in ganz Europa. Gegenüber NIS-1 wurde der Geltungsbereich der NIS-2-Richtlinie deutlich erweitert und umfasst inzwischen eine Vielzahl weiterer Branchen und Unternehmen. Nach aktuellen Schätzungen fallen durch das deutsche Umsetzungsgesetz rund 30.000 zusätzliche Unternehmen unter die Regelungen, vor allem mittelständische und größere Betriebe.

In bestimmten Teilsektoren ist dabei die Unternehmensgröße unerheblich. Die NIS-2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Diese Klassifizierung im Rahmen der NIS-2 Umsetzung ist von zentraler Bedeutung, da sie maßgeblich die jeweiligen Pflichten, die Intensität der behördlichen Aufsicht sowie mögliche Sanktionen bestimmt. In bestimmten Sektoren gelten Ausnahmen von den Schwellenwerten (z. B. bei besonderen versorgungsrelevanten Funktionen).

Welche Maßnahmen fordert NIS-2?

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 sind betroffene Unternehmen verpflichtet, umfassende Cybersicherheitsmaßnahmen umzusetzen. Diese umfassen unter anderem ein wirksames Risikomanagement, eine gestufte Meldepflicht (Frühwarnung binnen 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht binnen eines Monats), die Absicherung der Lieferkette, technische und organisatorische Sicherheitsmaßnahmen (z. B. Backups, Verschlüsselung, MFA) sowie Schulungen für Geschäftsleitung und Mitarbeitende.

	Kritische Einrichtungen	NIS-2 - besonders wichtig	NIS-2 - wichtig
Maßnahmen Risikomanagement §30	✓	✓	✓
Höhere Maßstäbe für KRITIS §31 (1)	✓
Besondere Maßnahmen Systeme zur Angriffserkennung (SzA) §31 (2)	✓
Meldepflichten §32	✓	✓	✓
Registrierung §33 §34	✓	✓	✓
Unterrichtungspflichten (Kunden) §35	✓	✓	✓
Management Pflichten zur Umsetzung, Überwachung und Schulung §38	✓	✓	✓
Nachweise §39	✓	teilweise (§61)	teilweise (§62)

Welche Services bieten wir für die jeweiligen Maßnahmen an?

Maßnahmen des Risikomanagements nach NIS-2-Umsetzungsgesetz §30:

Sind Sie unsicher, ob Ihr Unternehmen von NIS-2 betroffen ist?

Die NIS-2-Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet Ihnen in wenigen Schritten eine erste Orientierung. Diese Prüfung stellt an der Richtlinie orientierte Fragen, um Unternehmen bei der Einordnung zu unterstützen.

Jetzt Betroffenheitsprüfung durchführen

Häufige Fragen rund um das Thema NIS-2

Warum ist Arvato Systems der richtige Ansprechpartner für die NIS-2-Umsetzung?

Arvato Systems verfügt über langjährige Erfahrung in der Umsetzung regulatorischer Anforderungen in den Bereichen Informationssicherheit und IT-Compliance. Als erfahrener IT-Service-Provider kombiniert Arvato Systems tiefgehendes Know-how zu Informationssicherheitsstandards (z. B. ISO/IEC 27001, BSI-Grundschutz) mit praxisnaher Umsetzungskompetenz. Kunden profitieren von einem ganzheitlichen Ansatz, der organisatorische, technische und prozessuale Anforderungen der NIS-2-Richtlinie gleichermaßen berücksichtigt.
Was passiert, wenn NIS-2 nicht umgesetzt wird?

Unternehmen, die unter die NIS-2-Richtlinie fallen und die Anforderungen nicht erfüllen, müssen mit erheblichen Konsequenzen rechnen. Dazu zählen empfindliche Bußgelder, behördliche Anordnungen sowie persönliche Haftungsrisiken für die Geschäftsleitung. Darüber hinaus erhöht eine fehlende Umsetzung und Steuerung organisatorischer und technischer Sicherheitsmaßnahmen das Risiko von Sicherheitsvorfällen, Reputationsschäden und Betriebsunterbrechungen erheblich.
Wie aufwändig ist die Umsetzung der NIS-2-Anforderungen?

Der Umsetzungsaufwand hängt stark von der Ausgangssituation des Unternehmens ab. Organisationen mit etablierten Informationssicherheitsstrukturen und klaren Prozessen können viele Anforderungen schneller erfüllen. Für andere Unternehmen kann NIS-2 einen größeren organisatorischen und technischen Anpassungsbedarf mit sich bringen. Eine strukturierte Vorgehensweise und professionelle Unterstützung helfen, den Aufwand planbar und effizient zu gestalten.
Bis wann müssen die NIS-2-Anforderungen umgesetzt werden?

Gemäß den Informationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gilt das nationale Gesetz zur Umsetzung der NIS-2-Richtlinie seit dem 6. Dezember 2025. Ab diesem Zeitpunkt sind die neuen Cyber-Security-Pflichten – wie Risikomanagement, Melde- und Sicherheitsanforderungen – für betroffene Unternehmen verbindlich umzusetzen. Die Registrierung bei der Aufsichtsbehörde (BSI) muss spätestens drei Monate nach Inkrafttreten erfolgen, also bis zum 6. März 2026, wenn ein Unternehmen erstmals in den Anwendungsbereich fällt.