NIS-2-Richtlinie: Was Deutsche Unternehmen jetzt Wissen Müssen

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie (Directive (EU) 2022/2555) vom 14. Dezember 2022, die ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union etablieren soll. NIS steht für „Network and Information Security" – also Netz- und Informationssicherheit.

Die Hauptziele der Richtlinie sind:

• Harmonisierung der Cybersicherheit in allen EU-Mitgliedstaaten
• Stärkung der digitalen Resilienz kritischer Infrastrukturen
• Erhöhung der Schutzmaßnahmen gegen Cyberangriffe
• Verankerung von Cybersicherheit als Führungsaufgabe

Mit der NIS-2-Richtlinie reagiert die EU auf die zunehmende Bedrohungslage im digitalen Raum. Cyberangriffe auf kritische Infrastrukturen, wie Energieversorger, Krankenhäuser oder Finanzinstitute, können erhebliche gesellschaftliche und wirtschaftliche Schäden verursachen.

Die NIS-2-Richtlinie erweitert und verschärft die ursprüngliche NIS-Richtlinie von 2016 erheblich:

Die NIS-2-Richtlinie macht Cybersicherheit damit nicht mehr nur zur Aufgabe der IT-Abteilung, sondern zur direkten Verantwortung der Unternehmensführung.

In Deutschland wurde die NIS-2-Richtlinie durch das NIS2-Umsetzungsgesetz in nationales Recht überführt. Das Kernstück der deutschen Umsetzung ist das neu gefasste BSI-Gesetz (BSIG), das am 6. Dezember 2025 in Kraft getreten ist.

Kriterien für die Einstufung:

• 250 oder mehr Mitarbeiter ODER
• Mehr als 50 Millionen EUR Umsatz UND mehr als 43 Millionen EUR Bilanzsumme

Diese Kategorie umfasst Großunternehmen in Sektoren hoher Kritikalität wie Energie, Gesundheit, Transport, Finanzwesen, Wasser und digitale Infrastruktur. Zusätzlich fallen bestimmte Akteure unabhängig von ihrer Größe in diese Kategorie, etwa Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdiensteanbieter oder DNS-Dienste.

Kriterien für die Einstufung:

• 50 oder mehr Mitarbeiter ODER
• Mehr als 10 Millionen EUR Umsatz UND mehr als 10 Millionen EUR Bilanzsumme

Diese Kategorie erfasst mittlere und große Unternehmen in allen Sektoren der besonders wichtigen Einrichtungen sowie zusätzliche Bereiche wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste (Suchmaschinen, soziale Netzwerke, Online-Marktplätze) und Forschungseinrichtungen.

Die NIS-2-Richtlinie erfasst 18 Sektoren, darunter:

• Energie: Strom, Gas, Fernwärme, Wasserstoff
• Transport und Verkehr: Luft-, Schienen-, Schiffs- und Straßenverkehr
• Finanzwesen: Banken, Finanzmarktinfrastruktur
• Gesundheit: Krankenhäuser, Pharma, Medizinprodukte
• Digitale Infrastruktur: Cloud, Rechenzentren, Telekommunikation, DNS
• Wasser: Trinkwasser- und Abwasserversorgung
• Öffentliche Verwaltung
• Post und Kurierdienste
• Chemie und Lebensmittel
• Verarbeitendes Gewerbe: Maschinen-, Fahrzeug-, Elektronikbau
• Forschungseinrichtungen

Ein besonderer Fokus liegt auf digitalen Diensten und IT-Sicherheitsanbietern, da diese häufig als Dienstleister für andere kritische Einrichtungen fungieren und somit eine Schlüsselrolle in der Lieferkette spielen.

Das Herzstück der NIS-2-Richtlinie ist die Verpflichtung zur Umsetzung geeigneter, wirksamer und verhältnismäßiger technischer und organisatorischer Maßnahmen. Unternehmen müssen ein systematisches Informationssicherheits-Managementsystem (ISMS) aufbauen, das mindestens folgende Bereiche abdeckt:

• Risikoanalyse und Sicherheit für Informationssysteme
• Incident Response: Bewältigung von Sicherheitsvorfällen
• Business Continuity: Backup-Management, Krisenmanagement, Wiederherstellung
• Lieferkettensicherheit: Auswahl und Kontrolle von Dienstleistern
• Schwachstellenmanagement und regelmäßige Sicherheitsupdates
• Bewertung der Effektivität von Cybersicherheitsmaßnahmen
• Schulungen und Sensibilisierung der Mitarbeiter
• Kryptographie und Verschlüsselung
• Zugriffskontrolle und Personalsicherheit
• Multi-Faktor-Authentisierung
• Sichere Kommunikation (Sprache, Video, Text)
• Notfallkommunikation

Betreiber kritischer Anlagen unterliegen strengeren Anforderungen:

• Höhere Maßstäbe bei der Auswahl von Sicherheitsmaßnahmen
• Verpflichtender Einsatz von Systemen zur Angriffserkennung (SzA)
• Regelmäßige Nachweise durch Audits, Prüfungen oder Zertifizierungen (alle 3 Jahre)

Ein zentraler Bestandteil der NIS-2-Richtlinie ist ein dreistufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI):

1. Erstmeldung – innerhalb von 24 Stunden: Nach Kenntniserlangung eines erheblichen Sicherheitsvorfalls muss unverzüglich eine erste Meldung erfolgen, die dem BSI eine schnelle Lageeinschätzung ermöglicht.
2. Folgemeldung – innerhalb von 72 Stunden: Die Erstmeldung muss um detaillierte Informationen ergänzt werden: erste Ursachenanalyse, betroffene Systeme, Bewertung der Schwere und potenzielle Auswirkungen.
3. Abschlussbericht – innerhalb von 1 Monat: Ein umfassender Bericht mit Maßnahmen zur Schadensbegrenzung, vertiefter Analyse des Vorfalls und abgeleiteten Präventionsmaßnahmen.

Eine der deutlichsten Neuerungen der NIS-2-Richtlinie ist die direkte Verantwortung der Geschäftsleitung für Cybersicherheit. Nach §38 des deutschen BSI-Gesetzes müssen Geschäftsleitungen:

• Die erforderlichen Sicherheitsmaßnahmen genehmigen und aktiv überwachen
• Sich regelmäßig schulen lassen (mindestens alle 3 Jahre), um Cyberrisiken sachgerecht beurteilen zu können
• Ihre Entscheidungen dokumentieren

Betroffen sind nicht nur Vorstände und Geschäftsführer, sondern auch CFOs, Komplementäre und andere Führungskräfte mit strategischer Entscheidungsbefugnis.

Diese Regelung hat weitreichende Konsequenzen:

• Geschäftsverteilungspläne und Ressortzuschnitte müssen überprüft werden
• Geschäftsführerverträge und Satzungen sollten angepasst werden
• D&O-Versicherungen müssen im Hinblick auf Cybersicherheit geprüft werden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde für die Umsetzung der NIS-2-Richtlinie in Deutschland. Das neu gefasste BSI-Gesetz bildet die konkrete Rechtsgrundlage für Aufsicht, Meldewege, Prüfungen und Sanktionen.

Aufgaben des BSI im Kontext von NIS-2:

• Zentrale Meldestelle für Sicherheitsvorfälle
• Registrierungsstelle für betroffene Einrichtungen
• Durchführung von Stichproben und Prüfungen
• Erteilung von Anordnungen und Durchsetzung von Maßnahmen
• Verhängung von Bußgeldern

Das BSI arbeitet dabei eng mit anderen Behörden zusammen, etwa der Bundesnetzagentur (BNetzA) für Telekommunikation und Energie oder dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für kritische Infrastrukturen.

Es gibt keine generelle Übergangsfrist! Die Pflichten gelten grundsätzlich seit dem 6. Dezember 2025. Das BSI hat allerdings signalisiert, dass es nicht sofort mit flächendeckenden repressiven Maßnahmen beginnen wird. Erwartet wird jedoch ein nachweisbarer Umsetzungsfortschritt ab Inkrafttreten.

Zeitplan im Überblick:

Alle betroffenen Einrichtungen müssen sich innerhalb von 3 Monaten beim BSI registrieren. Der Registrierungsprozess ist zweistufig:

• Basiert auf der bekannten ELSTER-Technologie (Zertifikatsdatei + Passwort)
• Dient als Authentifizierungsebene
• Empfohlen: Einrichtung bis Ende 2025
• Website: www.mein-unternehmenskonto.de

• Verfügbar ab 6. Januar 2026
• Erforderliche Angaben: Name, Rechtsform, Kontaktdaten, IP-Adressbereiche, Sektor/Teilsektor, EU-Geschäftsaktivitäten
• Das Portal dient künftig auch als Meldestelle für Sicherheitsvorfälle
• Änderungen der registrierten Daten müssen jährlich aktualisiert werden, wesentliche Änderungen innerhalb von 2 Wochen.

Die NIS-2-Richtlinie sieht ein deutlich verschärftes Sanktionsregime vor. Die Bußgelder orientieren sich am weltweiten Konzernumsatz des vorangegangenen Geschäftsjahres:

• Bis zu 10 Millionen EUR oder
• 2% des weltweiten Jahresumsatzes
• Es gilt der höhere Betrag

• Bis zu 7 Millionen EUR oder
• 1,4% des weltweiten Jahresumsatzes
• Es gilt der höhere Betrag

• Cybersicherheitsmaßnahmen nicht oder nicht richtig umgesetzt
• Dokumentation der Maßnahmen fehlt
• Meldungen nicht oder nicht rechtzeitig übermittelt
• Unterrichtung von Kunden/Öffentlichkeit versäumt
• Registrierung beim BSI nicht erfolgt

• Anordnungen des BSI zur Umsetzung von Maßnahmen
• Entzug von Genehmigungen
• Untersagung der Leitungsaufgaben für Geschäftsführung
• Vor-Ort-Kontrollen und Tiefenprüfungen

• Sektorzugehörigkeit anhand der Anlagen 1 und 2 des BSIG prüfen
• Größenkriterien bewerten (Mitarbeiter, Umsatz, Bilanzsumme)
• Einstufung dokumentieren: besonders wichtig / wichtig / nicht betroffen

• Mein Unternehmenskonto (MUK) einrichten
• Ab Januar 2026: Registrierung im BSI-Portal
• Alle erforderlichen Angaben zusammenstellen

• Geschäftsverteilungspläne überprüfen
• Verantwortlichkeiten für Cybersicherheit festlegen
• Berichtswege zur Geschäftsleitung einrichten
• D&O-Versicherungen prüfen

• Bestandsaufnahme bestehender Sicherheitsmaßnahmen
• Gap-Analyse zu §30 BSIG-Anforderungen
• Bewertung der Lieferkette

• Umsetzung der 13 Mindestmaßnahmen nach §30 BSIG
• Dokumentation aller Maßnahmen und Entscheidungen
• Regelmäßige Wirksamkeitsbewertung

• Incident-Response-Prozesse definieren
• Eskalationswege für 24h/72h/1 Monat festlegen
• Verantwortlichkeiten klären

• Geschäftsleitungsschulungen (alle 3 Jahre)
• Awareness-Schulungen für Mitarbeiter
• Dokumentation aller Schulungen

• Verträge mit Dienstleistern anpassen
• Sicherheitspflichten vereinbaren
• Regelmäßige Überprüfung durchführen

Die sichere digitale Kommunikation und Dokumentation ist ein entscheidender Baustein der NIS-2-Compliance. Elektronische Signaturen spielen dabei eine Schlüsselrolle, insbesondere bei der Umsetzung mehrerer Anforderungen:

Qualifizierte elektronische Signaturen (QES) wie die von Yousign nutzen hochsichere kryptographische Verfahren gemäß eIDAS-Verordnung. Alle sensiblen Dokumente werden mit modernsten Verschlüsselungsstandards geschützt.

Jede Signatur wird mit einem manipulationssicheren Dossier de preuve (Beweisdokument) versehen – essentiell für Compliance-Nachweise gegenüber dem BSI. Die lückenlose Audit-Trail erfüllt die Dokumentationspflichten der NIS-2-Richtlinie.

Yousign integriert starke Authentifizierungsmethoden direkt in den Signaturprozess und erfüllt damit die MFA-Anforderungen der Richtlinie.

Verträge mit Dienstleistern werden rechtssicher, nachvollziehbar und DSGVO-konform abgeschlossen. Die elektronische Signatur gewährleistet Integrität und Authentizität bei allen Vertragsabschlüssen in der Lieferkette.

Als qualifizierter Vertrauensdiensteanbieter ist Yousign selbst von der NIS-2-Richtlinie betroffen und erfüllt höchste Sicherheitsstandards.

Unsere Lösungen bieten:

• eIDAS-Zertifizierung und volle Konformität mit EU-Verordnung 910/2014
• BSI-konforme Sicherheitsarchitektur mit regelmäßigen Audits
• DSGVO-Compliance mit Hosting in der EU und strengem Datenschutz
• 80% schnellere Signaturprozesse – Durchschnittliche Zeitersparnis bei unseren 15.000+ Kunden

Yousign ermöglicht Unternehmen, ihre Signaturprozesse zu digitalisieren, ohne Kompromisse bei Sicherheit oder Compliance einzugehen. Unsere Plattform unterstützt Sie aktiv bei der Erfüllung der NIS-2-Anforderungen im Bereich sichere Kommunikation und Dokumentenmanagement.

Die NIS-2-Richtlinie stellt einen Wendepunkt für die Cybersicherheit in Deutschland und Europa dar. Mit rund 30.000 betroffenen Unternehmen allein in Deutschland wird Cybersicherheit zur Pflichtaufgabe für weite Teile der Wirtschaft. Die direkte Verantwortung und persönliche Haftung der Geschäftsleitung unterstreichen die strategische Bedeutung des Themas.

Unternehmen sollten jetzt handeln: Betroffenheit prüfen, beim BSI registrieren, Sicherheitsmaßnahmen umsetzen und die Geschäftsleitung einbinden. Wer frühzeitig beginnt, vermeidet nicht nur Sanktionen, sondern positioniert sich auch als resilienter, vertrauenswürdiger Partner in einer zunehmend digitalisierten Welt.