NIS2 – Was die Richtlinie für Sie bedeutet (Update 2026)
In Deutschland sind zwischen 30.000 und 40.000 Unternehmen von den Vorgaben der NIS-2-Richtlinie betroffen. Etwa 80% davon sind sich darüber nicht bewusst, und das, obwohl bei Nichtbeachtung empfindliche Strafen drohen. Erfahren Sie in diesem Blogartikel, was NIS2 ist, welche aktuellen Änderungsvorschläge die EU-Kommission 2026 vorgelegt hat und wie Sie Ihr Unternehmen auf die Richtlinie vorbereiten können.
Was ist NIS2?
NIS2 steht für Network and Information Systems Directive 2 und ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in Europa. Insbesondere soll die Sicherheit kritischer Infrastrukturen verbessert werden, indem Mindeststandards für die Cybersicherheit kritischer Infrastrukturen definiert werden. Die Richtlinie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie und hat zum Ziel, Organisationen und kritische Infrastrukturen besser vor Cyberbedrohungen zu schützen und ein hohes, EU-weites Sicherheitsniveau zu ermöglichen.
Seit dem 6. Dezember 2025 sind die Vorgaben der NIS2-Richtlinie in deutsches Recht umgesetzt – über ein NIS2-Umsetzungsgesetz, das insbesondere das BSI-Gesetz (BSIG) und KRITIS-Regelungen anpasst.
Was sind kritische Infrastrukturen?
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Welche Ziele hat NIS2?
NIS2 definiert genau wie NIS eine Reihe von Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union. Mit der Richtlinie wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten der Europäischen Union sowie Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen geschaffen.
Was ist der Unterschied zwischen NIS1 und NIS2?
NIS1 verpflichtete die Betreiber kritischer Infrastrukturen, verschiedene Maßnahmen zur Gewährleistung der Cybersicherheit umzusetzen. NIS1 war allerdings recht abstrakt und wurde nicht einheitlich umgesetzt. Es fehlte zudem an spezifischen Anforderungen für die Offenlegung von Cyberrisiken.
Wegen der erhöhten Bedrohungslage und den steigenden Anforderungen an die Cybersicherheit während der Corona-Pandemie wurde schließlich NIS2 entwickelt.
NIS2 beschreibt, welche Unternehmen oder Organisationen den kritischen Diensten zugeordnet sind und in welchen Sektor sie fallen. Die Richtlinie betrifft mehr Unternehmen, schreibt ein verbessertes Risikomanagement vor und sieht mehr Pflichten und strengere Sanktionen vor. Außerdem werden in NIS2 die Verfahren, Inhalte und Fristen für die Meldung von Sicherheitsvorfällen sowie deren Umsetzung in nationales Recht klar definiert.
Welche Änderungen in NIS2 gibt es seit 2026?
Seit Januar 2026 liegt ein Vorschlag der EU-Kommission vor, mit dem NIS2 an mehreren Stellen angepasst werden soll, um die Anwendung zu vereinfachen und eine bessere Abstimmung mit anderen EU-Regelwerken zu erreichen. Die Grundstruktur von NIS2 bleibt erhalten, wird aber “feinjustiert”. Die hier genannten Anpassungen sind derzeit lediglich ein Vorschlag der EU-Kommission. Sie werden erst wirksam, wenn sie vom Parlament, dem Rat und den Mitgliedstaaten angenommen und umgesetzt werden.
Präzisierter Anwendungsbereich
- Einführung einer Untergrenze von 1 Megawatt für Stromerzeugungsanlagen, damit sehr kleine Stromerzeuger – etwa viele PV-Kleinstanlagen – nicht unter NIS2 fallen.
- Neue Kategorie “strategische Dual-Use-Infrastruktur” für Infrastrukturen, die zivil und militärisch genutzt werden und größenunabhängig als besonders kritisch eingestuft werden können.
- Sektor-Feinjustierungen, beispielsweise im Chemiesektor (Fokus auf Herstellung/Produktion statt Herstellung und Distribution), sowie eine genauere Erfassung von DNS-Anbietern anhand der üblichen NIS2-Größenschwellen.
Neue Größenkategorie “small mid-caps”
Ergänzend zu den Kategorien “wesentlich” und “wichtig” soll eine neue Kategorie sogenannter “small mid-caps” eingeführt werden. Sie erfasst Unternehmen mit weniger als 750 Mitarbeitenden und einem Jahresumsatz von weniger als 150 Mio. Euro, die in NIS2-Sektoren tätig sind. Diese Unternehmen sollen grundsätzlich wie “wichtige Einrichtungen” behandelt werden, jedoch mit etwas geringerer Aufsichtsschärfe als “wesentliche Einrichtungen”.
Mehr Harmonisierung und Abstimmung
- Nationale Sonderwege sollen eingeschränkt werden, damit Sicherheitsmaßnahmen und Meldeprozesse in der EU einheitlicher angewendet werden.
- NIS2 wird enger mit DORA, der CER-Richtlinie und dem Cyber Resilience Act verzahnt, um Doppelregulierung zu vermeiden.
Zertifizierungen und Lieferkette
- Bestimmte NIS2-Pflichten sollen sich künftig über EU-Cybersicherheitszertifizierungen und etablierte Standards nachweisen lassen.
- Leitlinien und ein stärkerer Fokus auf Zertifikate sollen die “Fragebogenflut” in der Lieferkette eindämmen.
Für wen gilt NIS2?
Die folgenden Sektoren sind laut NIS2 als hochkritisch beziehungsweise kritisch definiert:
Sektoren mit hoher Kritikalität
- Energie:
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
Sonstige kritische Sektoren
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Ein Angriff auf die Energieinfrastruktur könnte beispielsweise zu Stromausfällen und erheblichen Störungen führen.
Vorgaben und Fristen zur Meldung von Sicherheitsvorfällen
- Frühwarnung innerhalb von 24 Stunden ab Kenntnis: Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob er grenzüberschreitend ist.
- Ausführlicher Bericht innerhalb von 72 Stunden ab Kenntnis: Erste Bewertung des Sicherheitsvorfalls inklusive Schweregrad, Auswirkungen und gegebenenfalls Kompromittierungsindikation.
- Fortschritts-/Abschlussbericht einen Monat nach Meldung: Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, gegebenenfalls die grenzüberschreitenden Auswirkungen.
Was bedeutet NIS2 für Unternehmen?
Für die betroffenen Unternehmen bringt NIS2 eine Reihe von Verpflichtungen mit sich, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedstaat, die Offenlegung von Kontaktdaten und die Meldung erheblicher Sicherheitsvorfälle, d. h. von Vorfällen, die zu schweren Betriebsstörungen führen können. Die größte Veränderung für die Unternehmen werden jedoch die zusätzlichen Sicherheitsanforderungen sein, die durch NIS2 auferlegt werden.
NIS2 dehnt den ursprünglichen Anwendungsbereich von NIS1 auf neue wesentliche Einrichtungen aus und umfasst jetzt auch Institutionen der öffentlichen Verwaltung. Unternehmen müssen in Zukunft sämtliche sicherheitsrelevanten Vorfälle innerhalb ihrer IT-Infrastrukturen unverzüglich melden und bestimmten Kontrollmechanismen der nationalen Aufsichtsbehörden zustimmen.
Auf diese Weise sollen sich mögliche Sicherheitsrisiken besser vorhersehen und gezieltere Gegenmaßnahmen anstoßen lassen. Werden die Bestimmungen nicht konsequent eingehalten, drohen Geldstrafen und Bußgelder, die sich mit NIS2 weiter verschärft haben.
Stand der Technik ist Pflicht
Durch die NIS2-Richtlinie sind Unternehmen und Institutionen verpflichtet, adäquate technische und organisatorische Sicherheitsmaßnahmen zu implementieren, welche die jeweiligen Risiken adressieren. Unabdingbar hierfür ist ein Wissen um die typischen Gefahren der neuen Technologien und die Möglichkeiten und Angriffsmethoden – gerade auch von Cyberkriminellen: NIS2 verlangt von Unternehmen beispielsweise eine regelmäßige Risikobewertung bezüglich der Cybersicherheit. Außerdem müssen Unternehmen und Institutionen vorbeugende Maßnahmen zum Schutz vor Sicherheitsvorfällen umsetzen.
Welche Maßnahmen fordert NIS2?
Einige der wichtigsten Anforderungen, die NIS2 mit sich bringt sind:
Sind wegen der Änderungen 2026 zusätzliche Maßnahmen nötig?
Die vorgeschlagenen Anpassungen von 2026 verändern die grundlegenden Pflichten aus NIS2 nicht, sondern präzisieren vor allem Geltungsbereich, Kategorien und Nachweiswege. Für Unternehmen, die sich bereits mit NIS2 beschäftigen, ergeben sich daher in erster Linie Feinanpassungen – keine völlig neuen Maßnahmepakete. Praktisch heißt das: Die beschriebenen Maßnahmen
- Risikomanagement,
- technische und organisatorische Schutzmaßnahmen,
- Meldeprozesse,
- Governance und
- Lieferketten‑Kontrollen
bleiben der zentrale Maßstab, ergänzt um eine genauere Prüfung der eigenen Einstufung (siehe “small mid‑cap”) und eine strategische Nutzung von Zertifizierungen als Nachweisweg.
Für den Bereich der E-Mail-Sicherheit bedeutet dies den Einsatz von Kryptographie und Verschlüsselung bei der E-Mail-Kommunikation, um den Schutz kritischer Daten sicherzustellen. Inzwischen haben viele Mitgliedstaaten Umsetzungsgesetze vorbereitet oder beschlossen. Zusätzlich arbeitet die EU-Kommission an gezielten Änderungen, um Pflichten zu harmonisieren und Zertifizierungen als Nachweisweg zu stärken. Es zeigt sich also, dass wirkungsvolle E-Mail-Verschlüsselung ein elementarer Teil bei der Erfüllung der NIS2-Richtlinie ist.
Was bedeutet NIS2 für die E-Mail-Sicherheit?
Im Kontext von NIS2 sind E-Mail-Dienstleister verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen, um ihre Dienste vor Cyberangriffen zu schützen und die Vertraulichkeit, Integrität und Verfügbarkeit von E-Mail-Kommunikation sicherzustellen. Der Schutz vor Malware, Phishing und Spam ist hier das Ziel.
Dies kann die Umsetzung von Sicherheitsstandards, die Überwachung von Sicherheitsvorfällen und die Zusammenarbeit mit den zuständigen Behörden bei der Meldung von Sicherheitsvorfällen umfassen.
Was passiert bei Nichtbeachtung von NIS2?
Hier unterscheidet NIS2 wieder zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.
Sektoren mit hoher Kritikalität
NIS2 meint hier große Unternehmen mit mehr als 249 Beschäftigten oder mehr als 50 Millionen Euro Umsatz und mehr als 43 Millionen Euro Bilanz. Hinzu kommen einige größenunabhängige Sonderfälle.
Bei Nichtbeachtung drohen diesen Unternehmen Strafen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist.
Sonstige kritische Sektoren
NIS 2 meint hier große Unternehmen mit mehr als 249 Beschäftigten oder mehr als 50 Millionen Euro Umsatz und mehr als 43 Millionen Euro Bilanz. Hinzu kommen mittlere Unternehmen aus beiden oben genannten Sektoren mit mindestens 50 Beschäftigten oder 10 Millionen Euro Umsatz und mehr als 10 Millionen Euro Bilanz sowie größenunabhängige Sonderfälle wie beispielsweise Einrichtungen, die vom Staat als “wichtig” eingestuft werden (zum Beispiel alleinige Anbieter). Zusätzlich könnte die geplante Kategorie “small mid‑caps” dazu führen, dass weitere mittelgroße Unternehmen explizit als “wichtige Einrichtungen” eingeordnet werden.
Bei Nichtbeachtung drohen diesen Unternehmen Strafen bis zu einem Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist.
Cybersicherheit erhöhen – mit NoSpamProxy.
Gehen Sie wichtige Schritte in Richtung NIS2-Konformität, indem Sie Ihre IT-Infrastruktur absichern und Ihre E-Mail-Kommunikation schützen. Testen Sie NoSpamProxy jetzt kostenfrei!
