Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist NIS2? EU-Cybersicherheitsrichtlinie erklärt
Cybersecurity 101/Cybersecurity/Was ist NIS2

Was ist NIS2? EU-Cybersicherheitsrichtlinie erklärt

NIS2 verpflichtet EU-Organisationen in 18 kritischen Sektoren zur Umsetzung von 10 Cybersicherheitsmaßnahmen, zur Meldung von Vorfällen innerhalb von 24 Stunden und sieht Strafen von bis zu 10 Mio. € vor.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist NIS2?
NIS2 vs. NIS1: Was hat sich geändert
Wer muss NIS2 einhalten?
NIS2-Geltungsbereich und abgedeckte Sektoren
NIS2-Sanktionen und Durchsetzung
Pflichten zur Vorfallmeldung nach NIS2
NIS2-Governance und Aufsicht
NIS2 und verwandte EU-Regelungen
Wesentliche Vorteile der NIS2-Umsetzung
Herausforderungen bei der Umsetzung von NIS2
NIS2-Checkliste und Best Practices
NIS2-Compliance-Zeitplan und Fristen
NIS2-Richtlinie: Zusammenfassung und wichtigste Erkenntnisse

Verwandte Artikel

  • Was ist ein Secure Web Gateway (SWG)? Netzwerkschutz erklärt
  • Was ist OS Command Injection? Ausnutzung, Auswirkungen & Abwehr
  • Malware-Statistiken
  • Statistiken zu Datenschutzverletzungen
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: May 4, 2026

Was ist NIS2?

Was ist NIS2? NIS2 (Richtlinie (EU) 2022/2555) legt verpflichtende Cybersicherheitsanforderungen in der gesamten EU fest und verpflichtet die Mitgliedstaaten, ihre Fähigkeiten zu stärken und Risikomanagementmaßnahmen in kritischen Sektoren umzusetzen. Die NIS2-Richtlinie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie auf 18 kritische Sektoren, darunter Energie, Transport, Banken, Gesundheitswesen, digitale Infrastruktur, Fertigung und öffentliche Verwaltung.

Ihr Vorstand hat gerade gefragt, ob Sie bereit für NIS2 sind. Sie haben in den Kalender geschaut. Die Umsetzungsfrist am 17. Oktober 2024 ist bereits verstrichen. Sie sind nicht allein: 23 EU-Mitgliedstaaten sahen sich Vertragsverletzungsverfahren wegen Versäumung dieser Frist gegenüber.

Jüngste Angriffe zeigen, warum EU NIS2 relevant ist. Im Mai 2021 erlitt der irische Gesundheitsdienst einen Conti-Ransomware-Angriff, der zur Absage von 80 % der ambulanten Termine führte und über 100 Millionen Euro an Wiederherstellungskosten verursachte. Der NotPetya-Angriff 2017 störte die weltweiten Schiffsoperationen von Maersk, zerstörte 45.000 PCs und 4.000 Server und verursachte Schäden in Höhe von 300 Millionen US-Dollar. Der Ransomware-Vorfall bei Colonial Pipeline im Jahr 2021 unterbrach die Treibstoffversorgung an der US-Ostküste und führte zu einer Lösegeldzahlung von 4,4 Millionen US-Dollar. Die EU fordert als Reaktion auf solche Vorfälle eine stärkere NIS2-Cybersicherheits-Governance in der kritischen Infrastruktur.

Das BSI in Deutschland bestätigte, dass etwa 29.500 Unternehmen unter NIS2 fallen, während Frankreich über 10.000 identifizierte. Sie sind betroffen, wenn Ihr Unternehmen in einem abgedeckten Sektor tätig ist und folgende Schwellenwerte erfüllt: 50 oder mehr Beschäftigte ODER mehr als 10 Millionen Euro Jahresumsatz. Kleine und Kleinstunternehmen mit weniger als 50 Beschäftigten UND 10 Millionen Euro oder weniger Jahresumsatz sind in der Regel ausgenommen, es sei denn, sie werden nach der CER-Richtlinie als kritisch eingestuft.

NIS2 führt ein zweistufiges Klassifizierungssystem ein, das Ihre regulatorische Belastung bestimmt. Wesentliche Einrichtungen operieren in 11 hochkritischen Sektoren, darunter Energie, Transport, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management (B2B), öffentliche Verwaltung und Raumfahrt. Wichtige Einrichtungen sind in 7 weiteren kritischen Sektoren tätig, darunter Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, Fertigung, digitale Anbieter und Forschungseinrichtungen.

Artikel 20 macht Leitungsorgane persönlich verantwortlich für die Genehmigung von Cybersicherheitsmaßnahmen, die Überwachung der Umsetzung und die Durchführung von Schulungen. Sie können die Verantwortung nicht nach oben delegieren oder mangelnde technische Kenntnisse als Verteidigung anführen. Diese Anforderungen an die Verantwortlichkeit stellen eine wesentliche Abweichung von der ursprünglichen Richtlinie dar.

What Is NIS2 - Featured Image | SentinelOne

NIS2 vs. NIS1: Was hat sich geändert

Die ursprüngliche NIS-Richtlinie von 2016 umfasste etwa 7 Sektoren und ließ den Mitgliedstaaten erhebliche Umsetzungsspielräume. Diese Flexibilität führte zu einer fragmentierten Regulierungslandschaft, in der identische Organisationen je nach Land unterschiedlichen Anforderungen unterlagen. Die NIS2-Verordnung adressiert diese Schwächen durch grundlegende strukturelle Änderungen.

Die Erweiterung des Geltungsbereichs ist die sichtbarste Änderung. NIS2 umfasst 18 Sektoren im Vergleich zur begrenzten Abdeckung von NIS1 und unterwirft Fertigung, Lebensmittelproduktion, Abfallwirtschaft, Postdienste und öffentliche Verwaltung verbindlichen Anforderungen. Die Richtlinie führt zudem klare Größenschwellen (50+ Beschäftigte oder 10 Mio. €+ Umsatz) ein, die die Anwendbarkeit eindeutig regeln.

Die Durchsetzung wurde vollständig überarbeitet. NIS1 fehlten harmonisierte Sanktionen, was zu uneinheitlichen Konsequenzen in den Mitgliedstaaten führte. NIS2 legt Mindestschwellen für Bußgelder fest (10 Mio. € oder 2 % Umsatz für wesentliche Einrichtungen) und gibt Aufsichtsbehörden explizite Befugnisse, Leitungsorgane bei Verstößen zu suspendieren. Die Richtlinie führt zudem persönliche Verantwortlichkeit für Leitungsorgane ein, eine Regelung, die in NIS1 völlig fehlte.

Die Meldefristen für Vorfälle wurden deutlich verschärft. NIS1 verlangte eine Benachrichtigung „ohne unangemessene Verzögerung“ ohne konkrete Frist. NIS2 schreibt eine 24-stündige Frühwarnung, eine 72-stündige Detailmeldung und einen Abschlussbericht nach einem Monat mit definierten Inhaltsanforderungen vor. Diese Zusammenfassung der NIS2-Richtlinie unterstreicht den Wandel hin zu strikterer Verantwortlichkeit und schnellerer Reaktion.

Wer muss NIS2 einhalten?

NIS2-Compliance ist verpflichtend für Organisationen, die in abgedeckten Sektoren tätig sind und bestimmte Größenschwellen erfüllen. Die Richtlinie gilt für mittlere und große Unternehmen, definiert als Einrichtungen mit 50 oder mehr Beschäftigten ODER einem Jahresumsatz von mehr als 10 Millionen Euro. Organisationen, die eine dieser Schwellen in einem abgedeckten Sektor erfüllen, unterliegen den NIS2-Anforderungen.

Kleine und Kleinstunternehmen mit weniger als 50 Beschäftigten UND einem Jahresumsatz von 10 Millionen Euro oder weniger sind in der Regel ausgenommen. Bestimmte Einrichtungen unterliegen jedoch unabhängig von ihrer Größe der Pflicht zur Einhaltung. Dazu gehören Anbieter öffentlicher elektronischer Kommunikationsnetze, Vertrauensdiensteanbieter, Register für Top-Level-Domains, DNS-Diensteanbieter und nach der CER-Richtlinie als kritisch eingestufte Einrichtungen.

Die Mitgliedstaaten behalten das Recht, auf Basis von Kritikalitätsbewertungen weitere Einrichtungen als wesentlich oder wichtig einzustufen. Ihre nationale zuständige Behörde veröffentlicht offizielle Listen, die den Geltungsbereich für Ihre Jurisdiktion verbindlich festlegen. Das BSI in Deutschland, die ANSSI in Frankreich und entsprechende Behörden in anderen Mitgliedstaaten betreiben Registrierungsportale, auf denen Sie Ihren Klassifizierungsstatus überprüfen können.

Organisationen mit mehreren Standorten in verschiedenen Ländern stehen vor zusätzlichen Herausforderungen. Wenn Sie in mehreren EU-Mitgliedstaaten tätig sind, müssen Sie NIS2 in jeder Jurisdiktion einhalten, in der Sie Dienstleistungen in abgedeckten Sektoren erbringen. Die Richtlinie sieht Kooperationsmechanismen zwischen den nationalen Behörden zur Koordination der Aufsicht über grenzüberschreitende Einrichtungen vor.

NIS2-Geltungsbereich und abgedeckte Sektoren

NIS2 unterteilt die abgedeckten Sektoren in zwei Kategorien, die die Intensität der Aufsicht und das Sanktionsrisiko bestimmen. Wesentliche Einrichtungen operieren in 11 hochkritischen Sektoren, während wichtige Einrichtungen in 7 weiteren kritischen Sektoren tätig sind.

Sektoren wesentlicher Einrichtungen umfassen:

  • Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme und -kühlung)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheit (Gesundheitsdienstleister, EU-Referenzlabore, Hersteller medizinischer Geräte, Pharmazeutika)
  • Trinkwasserversorgung und -verteilung
  • Abwassererfassung, -entsorgung und -behandlung
  • Digitale Infrastruktur (Internet-Knotenpunkte, DNS-Anbieter, TLD-Register, Cloud-Computing, Rechenzentren, CDNs, Vertrauensdienste, öffentliche elektronische Kommunikation)
  • ICT-Service-Management (B2B Managed Service Provider und Managed Security Service Provider)
  • Öffentliche Verwaltung (zentrale Regierungsstellen)
  • Raumfahrt (Betreiber bodengestützter Infrastrukturen zur Unterstützung weltraumgestützter Dienste)

Sektoren wichtiger Einrichtungen umfassen:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie (Herstellung, Produktion, Vertrieb)
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Fertigung (medizinische Geräte, Computer, Elektronik, Maschinen, Kraftfahrzeuge, Transportausrüstung)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Dieser sektorbasierte Ansatz stellt sicher, dass die NIS2-Cybersicherheitsanforderungen entsprechend der potenziellen gesellschaftlichen Auswirkungen skalieren und gleichzeitig regulatorische Klarheit für die Bestimmung des Geltungsbereichs bieten.

NIS2-Sanktionen und Durchsetzung

Die NIS2-Richtlinie macht Cybersicherheit von einer technischen Funktion zu einer Governance-Pflicht auf Vorstandsebene mit durchsetzbaren Konsequenzen. Wesentliche Einrichtungen drohen Verwaltungsstrafen von bis zu 10 Millionen Euro oder mindestens 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen drohen maximal 7 Millionen Euro oder mindestens 1,4 % des Umsatzes, je nachdem, welcher Betrag höher ist.

Nationale zuständige Behörden verfügen über weitreichende Durchsetzungsbefugnisse, die weit über finanzielle Sanktionen hinausgehen. Nach  Artikel 29 können Aufsichtsbehörden:

  • Warnungen bei Nichteinhaltung aussprechen
  • Verbindliche Anordnungen zur Einhaltung bestimmter Cybersicherheitsmaßnahmen erlassen
  • Verbindliche Anweisungen zur Umsetzung von Risikomanagementmaßnahmen erteilen
  •  Sicherheitsaudits auf Kosten der Einrichtungen anordnen
  • Fristen für die Umsetzung von Abhilfemaßnahmen festlegen

Diese Durchsetzungsmechanismen stellen sicher, dass Organisationen die NIS2-Verpflichtungen ernst nehmen und erforderliche Kontrollen umsetzen.

Pflichten zur Vorfallmeldung nach NIS2

NIS2 legt strenge  Meldefristen für Vorfälle fest, die für viele Organisationen eine erhebliche operative Herausforderung darstellen. Die Richtlinie schreibt einen dreistufigen Meldeprozess für erhebliche Vorfälle bei betroffenen Einrichtungen vor.

Die erste Stufe verlangt eine Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls. Diese Meldung muss angeben, ob der Vorfall vermutlich durch rechtswidrige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte. Die 24-Stunden-Frist beginnt, sobald Ihre Organisation vom Vorfall Kenntnis erlangt, nicht erst nach Abschluss der Untersuchung.

Die zweite Stufe verlangt eine detaillierte Meldung innerhalb von 72 Stunden. Dieser Bericht muss eine erste Bewertung der Auswirkungen, Indicators of Compromise und alle ergriffenen oder geplanten Reaktionsmaßnahmen enthalten. Sie müssen diese Meldung aktualisieren, sobald im Verlauf der laufenden Untersuchung neue Informationen verfügbar werden.

Die dritte Stufe verlangt einen Abschlussbericht innerhalb eines Monats nach der Vorfallmeldung. Dieses umfassende Dokument muss eine detaillierte Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen, Art der Bedrohung oder Ursache, ergriffene und laufende Abhilfemaßnahmen sowie eine Bewertung der grenzüberschreitenden Auswirkungen enthalten.

Ein Vorfall gilt als erheblich, wenn er zu einer schwerwiegenden Betriebsunterbrechung von Diensten oder zu finanziellen Verlusten für Ihre Einrichtung geführt hat oder führen kann ODER wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen kann. Dieser zweistufige Test bedeutet, dass auch kundenbezogene Vorfälle mit begrenzten internen Auswirkungen meldepflichtig sein können, wenn sie externen Schaden verursachen.

NIS2-Governance und Aufsicht

Die NIS2-Verordnung funktioniert durch EU-weite Koordination (ENISA), nationale zuständige Behörden (wie das BSI in Deutschland, die ANSSI in Frankreich) und die Umsetzung auf Einzelebene. Wesentliche Einrichtungen unterliegen einer kontinuierlichen Aufsicht gemäß  Artikel 32, einschließlich regelmäßiger Vor-Ort-Inspektionen, Offsite-Audits, verpflichtender Sicherheitsaudits und Penetrationstests. Wichtige Einrichtungen unterliegen einer nachträglichen Aufsicht gemäß  Artikel 33, die ausgelöst wird, wenn Behörden Hinweise auf Nichteinhaltung erhalten.

Ein Vorfall gilt als erheblich, wenn er zu einer schwerwiegenden Betriebsunterbrechung von Diensten oder zu finanziellen Verlusten für die Einrichtung geführt hat oder führen kann ODER wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen kann.

NIS2 und verwandte EU-Regelungen

Diese EU-NIS2-Verordnung steht nicht isoliert. NIS2 überschneidet sich mit mehreren anderen EU-Regelungen, und das Verständnis dieser Zusammenhänge verhindert Compliance-Lücken und doppelte Aufwände.

  • Der Digital Operational Resilience Act (DORA) gilt speziell für Unternehmen des Finanzsektors, darunter Banken, Versicherungen und Investmentfirmen. DORA legt Anforderungen an das ICT-Risikomanagement fest, die sich mit NIS2 überschneiden, aber sektorspezifische Vorgaben für Third-Party Risk Management und Resilienztests enthalten. Finanzunternehmen, die DORA unterliegen, erfüllen die Risikomanagementanforderungen von NIS2 durch DORA-Compliance nach dem Lex-specialis-Prinzip, d. h. die speziellere Regelung hat Vorrang.
  • Die Critical Entities Resilience (CER)-Richtlinie adressiert die physische Sicherheit kritischer Infrastrukturen und ergänzt den Cybersicherheitsfokus von NIS2. Organisationen, die nach CER als kritische Einrichtungen eingestuft sind, unterliegen sowohl physischen Resilienzanforderungen als auch den Cybersicherheitsverpflichtungen von NIS2.
  • Der Cyber Resilience Act (CRA) richtet sich an Produkte mit digitalen Elementen und verpflichtet Hersteller, Sicherheit über den gesamten Produktlebenszyklus hinweg zu implementieren. Während NIS2 organisatorische Cybersicherheitspraktiken regelt, stellt CRA sicher, dass die von Organisationen beschafften Produkte grundlegende Sicherheitsstandards erfüllen.

Die DSGVO regelt weiterhin den Schutz personenbezogener Daten unabhängig von den Cybersicherheitsanforderungen von NIS2. Ein einzelner Vorfall kann Meldepflichten nach beiden Regelungen mit unterschiedlichen Fristen, Empfängern und Inhaltsanforderungen auslösen.

Wesentliche Vorteile der NIS2-Umsetzung

Trotz der regulatorischen Komplexität bietet NIS2 greifbare Vorteile für Organisationen, die Compliance erreichen.

  1. Harmonisierte Anforderungen in 27 Mitgliedstaaten. Die Richtlinie schafft gleiche Wettbewerbsbedingungen im NIS2-Cybersicherheitsumfeld. Organisationen, die in mehreren Mitgliedstaaten tätig sind, profitieren von harmonisierten Basisanforderungen, anstatt sich mit 27 unterschiedlichen nationalen  Cybersicherheits-Frameworks auseinandersetzen zu müssen.
  2. Verantwortlichkeit auf Vorstandsebene fördert Investitionen. Die Richtlinie etabliert explizite persönliche Verantwortlichkeit für Leitungsorgane bei der  Cybersicherheits-Compliance. Wenn Ihr CEO und Ihre Vorstandsmitglieder durch dokumentierte Schulungen und formale Genehmigungen direkt für Cybersicherheitsentscheidungen verantwortlich sind, verschieben sich Budgetgespräche hin zu proaktiven Investitionen.
  3. Kaskadierende Resilienz in der Lieferkette. Lieferkettensicherheitsanforderungen schaffen kaskadierende Resilienz in kritischen Sektoren. Wenn Sie Schwachstellen spezifisch für jeden direkten Lieferanten bewerten müssen, geraten Ihre Anbieter unter Druck, ihre eigene Cybersicherheitslage zu verbessern. Dies führt zu Verbesserungen im gesamten Ökosystem über einzelne Organisationen hinaus.
  4. Kollektive Verteidigung durch schnellen Informationsaustausch. Die 24-Stunden-Meldepflicht für Vorfälle ermöglicht schnellen Informationsaustausch bei aktiven Bedrohungen. Dieser dreistufige Meldeprozess stellt sicher, dass zuständige Behörden und nationale CSIRTs schnell Einblick in neue Bedrohungen erhalten und eine schnellere Analyse sowie grenzüberschreitende Koordination ermöglichen.

Herausforderungen bei der Umsetzung von NIS2

Diese Vorteile gehen mit erheblichen Umsetzungsherausforderungen einher.

  1. Management-Engagement bleibt schwierig. Die Umfrage der European Cyber Security Organisation ergab, dass nur  66 % der Organisationen von Managementbeteiligung berichten, obwohl eine verpflichtende Verantwortlichkeit der Leitung gefordert ist. Über die Hälfte (53 %) haben Schwierigkeiten, ausreichendes Management-Engagement zu sichern, selbst nach Ablauf der Umsetzungsfrist.
  2. Komplexität der Lieferkette schafft kaskadierende Risiken. Lieferketten-Schwachstellen stellen das kritischste systemische Hindernis für Organisationen bei der NIS2-Umsetzung dar.  Peer-Review-Forschung in MDPI nutzte die DEMATEL-Methode zur Identifikation kausaler Zusammenhänge und zeigte, dass Organisationen oft keine Kontrolle über Drittparteirisiken haben, was zu kaskadierenden Ausfällen in anderen Compliance-Bereichen führt.
  3. 24-Stunden-Meldung erfordert ständige Einsatzbereitschaft. Die 24-Stunden-Frühwarnfrist stellt operative Herausforderungen für Organisationen ohne 24/7-SOC-Betrieb oder Echtzeit-Bedrohungserkennung dar. Die Einhaltung dieser Anforderung erfordert vorab etablierte Workflows und autonome Reaktionsfähigkeiten.
  4. Dokumentationspflichten belasten knappe Teams. Dokumentationsanforderungen schaffen Audit-Vorbereitungsaufwand für ohnehin ausgelastete Teams. Sie müssen dokumentierte Cybersicherheitsrichtlinien, Risikobewertungen, Nachweise zur Umsetzung von Sicherheitskontrollen und NIS2-Checklisten für jede der 10 verpflichtenden Maßnahmen nach Artikel 21 vorhalten.
  5. Ressourcenknappheit erzwingt schwierige Priorisierungen. Finanzielle Ressourcenknappheit verschärft die Umsetzungsprobleme. Organisationen müssen gleichzeitig neue Sicherheitskontrollen, Compliance-Dokumentationssysteme, Mitarbeiterschulungen, Lieferantenbewertungen und ggf. externe Sicherheitsaudits finanzieren.

NIS2-Checkliste und Best Practices

Um diese Fallstricke zu vermeiden, ist ein strukturierter Ansatz erforderlich. Nutzen Sie diese NIS2-Checkliste zur Orientierung bei der Umsetzung:

  1. Beginnen Sie mit ENISA-Leitlinien. Verwenden Sie die  ENISA Technical Implementation Guidance als maßgebliche technische Grundlage. Dieses 170-seitige, unverbindliche Dokument bietet praktische Umsetzungshinweise, Nachweisbeispiele und Zuordnungen zu ISO 27001, NIST und IEC 62443.
  2. Sichern Sie frühzeitig die Unterstützung der Geschäftsleitung. Sichern Sie sich die Unterstützung auf Führungsebene, bevor die technische Umsetzung beginnt.  Artikel 29 Absatz 6 macht Mitglieder von Leitungsorganen persönlich für die Einhaltung von NIS2 verantwortlich. Dokumentieren Sie Management-Genehmigungen, absolvierte Schulungen und Überwachungsaktivitäten als Compliance-Nachweis.
  3. Bauen Sie auf bestehenden Frameworks auf. Wenn Sie eine ISO 27001-Zertifizierung haben, führen Sie eine Gap-Analyse gegenüber den 10 verpflichtenden Maßnahmen durch. Die ENISA Technical Implementation Guidance bietet eine explizite Zuordnung, welche bestehenden Kontrollen NIS2-Anforderungen erfüllen und wo zusätzliche Maßnahmen erforderlich sind.
  4. Implementieren Sie autonome Reaktionsfähigkeiten. Setzen Sie zentrale Sichtbarkeit und autonome Reaktionsfähigkeiten ein, die eine 24-Stunden-Vorfallmeldung ermöglichen. Sie benötigen  Log-Management gemäß Aufbewahrungspflichten, verhaltensbasierte KI zur Erkennung neuer Bedrohungen, Response-Automatisierung zur Reduzierung der Reaktionszeit und 24/7-Überwachungsabdeckung.
  5. Individualisieren Sie Lieferantenbewertungen. Priorisieren Sie die Lieferkettensicherheit mit individuellen Bewertungen, die Schwachstellen spezifisch für jeden direkten Lieferanten und Dienstleister erfassen. Nehmen Sie Sicherheitsklauseln in alle Lieferantenverträge auf, die Pflichten, Audit-Rechte, Meldepflichten und Verfahren zur Compliance-Überprüfung festlegen.
  6. Zentralisieren Sie Dokumentation und Workflows. Etablieren Sie digitale Dokumentationssysteme mit Echtzeit-Nachweiserfassung, Versionskontrolle und Freigabeketten sowie definierten KPIs zur Wirksamkeit von Sicherheitskontrollen. Erstellen Sie vorkonfigurierte Meldeworkflows, die bei Vorfallklassifizierung und Eskalationskriterien automatisch aktiviert werden.

Organisationen, die diesem strukturierten Ansatz folgen, positionieren sich nicht nur für die NIS2-Compliance, sondern verbessern auch ihre gesamte Sicherheitslage. Die für die Compliance erforderlichen Investitionen bringen operative Vorteile, die weit über die regulatorischen Anforderungen hinausgehen.

NIS2-Compliance-Zeitplan und Fristen

Die NIS2-Verordnung folgt einem klaren Zeitplan, der durch die Annahme der Richtlinie und die Umsetzungsanforderungen der Mitgliedstaaten festgelegt ist. Das Verständnis dieser Fristen hilft Organisationen, Umsetzungsaktivitäten zu priorisieren und Ressourcen angemessen zuzuweisen.

Die Richtlinie trat am 16. Januar 2023 in Kraft und gab den Mitgliedstaaten 21 Monate Zeit, die Anforderungen in nationales Recht umzusetzen. Die Umsetzungsfrist war der 17. Oktober 2024. Ab diesem Datum unterliegen alle betroffenen Einrichtungen den NIS2-Anforderungen gemäß den jeweiligen nationalen Umsetzungen.

Der Umsetzungsfortschritt variierte jedoch erheblich zwischen den Mitgliedstaaten. Bis zur Frist im Oktober 2024 sahen sich  23 EU-Mitgliedstaaten Vertragsverletzungsverfahren wegen unvollständiger Umsetzung gegenüber. Dies führte zu einer fragmentierten Compliance-Landschaft, in der Organisationen mit grenzüberschreitender Tätigkeit je nach Jurisdiktion unterschiedlichen Umsetzungsständen begegneten.

Die Mitgliedstaaten müssen bis zum 17. April 2025 Listen der wesentlichen und wichtigen Einrichtungen erstellen. Diese Registrierungsfrist verpflichtet betroffene Organisationen, den nationalen zuständigen Behörden die erforderlichen Informationen zur Klassifizierung bereitzustellen. Wenn Sie sich noch nicht bei Ihrer nationalen Behörde registriert haben, priorisieren Sie diese Maßnahme, um eine korrekte Klassifizierung und Zuweisung der Aufsicht sicherzustellen.

Die Europäische Kommission wird die Funktionsweise von NIS2 bis zum 17. Oktober 2027 und danach alle 36 Monate überprüfen. Diese Überprüfungen können zu Änderungen der Richtlinie führen, die Auswirkungen auf die Compliance-Anforderungen haben. Organisationen sollten regulatorische Entwicklungen beobachten und ihre Compliance-Programme flexibel halten, um auf mögliche Änderungen reagieren zu können.

Für Organisationen, die noch an ihren Compliance-Programmen arbeiten, bedeutet das Verstreichen der Umsetzungsfrist, dass sofortiges Handeln erforderlich ist. Priorisieren Sie Risikobewertungen, die Einrichtung von Incident-Response-Workflows und die Bewertung der Lieferkettensicherheit. Dokumentieren Sie alle Compliance-Aktivitäten, um Aufsichtsbehörden eine gutgläubige Umsetzung nachzuweisen.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

NIS2-Richtlinie: Zusammenfassung und wichtigste Erkenntnisse

EU NIS2 legt verpflichtende Anforderungen für 18 kritische Sektoren fest, führt die Verantwortlichkeit der Leitungsorgane ein und sieht Sanktionen von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen vor. Die Richtlinie verlangt die Umsetzung von 10 spezifischen Risikomanagement-Maßnahmen, eine dreistufige Vorfallmeldung beginnend mit einer 24-Stunden-Frühwarnfrist sowie Lieferkettensicherheitsbewertungen für jeden direkten Lieferanten und Dienstleister.

Der Umsetzungserfolg erfordert die Unterstützung auf Vorstandsebene von Beginn des Projekts an, eine strukturierte Gap-Analyse anhand des 13-Themen-Bereich-Rahmens von ENISA und autonome Sicherheitsfähigkeiten, die trotz Ressourcenknappheit die strengen Meldefristen einhalten können. Organisationen sollten Lieferantenbewertungen und Incident-Response-Workflows priorisieren, da diese die größten Compliance-Lücken für Einrichtungen darstellen, die von der ursprünglichen NIS-Richtlinie auf NIS2 umstellen.

FAQs

Das Verständnis von NIS2 beginnt mit seiner formalen Bezeichnung: NIS2 (Richtlinie (EU) 2022/2555) ist die aktualisierte Cybersicherheitsrichtlinie der Europäischen Union, die verbindliche Sicherheitsanforderungen für Organisationen in 18 kritischen Sektoren festlegt. Die EU hat NIS2 eingeführt, um Schwachstellen der ursprünglichen NIS-Richtlinie von 2016 zu beheben, die zu einer fragmentierten Umsetzung in den Mitgliedstaaten und fehlenden wirksamen Durchsetzungsmechanismen geführt hatte. 

Aufsehenerregende Angriffe auf kritische Infrastrukturen, darunter der HSE Ransomware-Vorfall und die Auswirkungen von NotPetya auf die Schifffahrt und Logistik, verdeutlichten die Notwendigkeit einer stärkeren, harmonisierten Cybersicherheits-Governance. NIS2 erweitert die Sektorabdeckung, führt eine explizite Managementverantwortung ein, legt Mindestschwellen für Sanktionen fest und schreibt spezifische Meldefristen für Vorfälle vor, um die kollektive Resilienz in der EU zu stärken.

Die EU NIS2 ist am 16. Januar 2023 in Kraft getreten, wobei die Mitgliedstaaten verpflichtet sind, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Ab diesem Umsetzungsstichtag unterliegen alle betroffenen Einrichtungen den NIS2-Anforderungen gemäß ihrer jeweiligen nationalen Umsetzung. 

Die Mitgliedstaaten müssen bis zum 17. April 2025 Listen der wesentlichen und wichtigen Einrichtungen erstellen. Organisationen, die in den betroffenen Sektoren tätig sind, sollten bereits Compliance-Maßnahmen umsetzen, da die Zusammenfassung der NIS2-Richtlinie bestätigt, dass die Durchsetzung nun in der gesamten EU aktiv ist.

Beginnen Sie damit, Ihren Klassifizierungsstatus bei Ihrer nationalen zuständigen Behörde zu überprüfen, um festzustellen, ob NIS2 für Ihre Organisation gilt. Verwenden Sie die Technische Umsetzungshilfe von ENISA als maßgeblichen Rahmen sowie die NIS2-Checkliste zur Umsetzung der 10 verpflichtenden Risikomanagementmaßnahmen. Führen Sie eine Gap-Analyse im Hinblick auf die Anforderungen aus Artikel 21 durch, mit Fokus auf Incident-Response-Workflows, Bewertungen der Lieferkettensicherheit und Dokumentationssysteme. 

Sichern Sie sich frühzeitig die Unterstützung der Geschäftsleitung, da Artikel 20 die persönliche Verantwortlichkeit von Leitungsorganen festlegt. Implementieren Sie autonome Reaktionsfähigkeiten, die eine 24-Stunden-Incident-Benachrichtigung ermöglichen, und etablieren Sie vorkonfigurierte Meldeworkflows, bevor ein Vorfall eintritt.

Organisationen, die in 18 abgedeckten Sektoren tätig sind, darunter Energie, Transport, Banken, Gesundheitswesen, digitale Infrastruktur und Fertigung, müssen die Anforderungen erfüllen, wenn sie die Schwellenwerte von 50 oder mehr Beschäftigten ODER mehr als 10 Millionen € Jahresumsatz erreichen. 

Kleine und Kleinstunternehmen mit weniger als 50 Beschäftigten UND 10 Millionen € oder weniger Umsatz sind in der Regel ausgenommen. Ihre nationale zuständige Behörde veröffentlicht offizielle Unternehmenslisten, die den endgültigen Geltungsbereich für Ihre Jurisdiktion festlegen.

Die Sanktionen für wesentliche Einrichtungen nach NIS2 erreichen 10 Millionen € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen müssen mit 7 Millionen € oder 1,4 % des Umsatzes rechnen, je nachdem, welcher Betrag höher ist. Die höchste Stufe der DSGVO erreicht 20 Millionen € oder 4 % des Umsatzes. 

NIS2-Sanktionen richten sich gegen Versäumnisse im Management von Cyberrisiken gemäß Artikel 21 sowie gegen Verstöße bei der Vorfallmeldung gemäß Artikel 23, während die DSGVO Verstöße gegen den Datenschutz adressiert.

Ein Vorfall ist erheblich, wenn er erhebliche betriebliche Störungen oder finanzielle Verluste für Ihr Unternehmen verursacht hat oder verursachen kann ODER wenn er andere Personen betroffen hat oder betreffen kann, indem er erhebliche materielle oder immaterielle Schäden verursacht.

Sie müssen sowohl die internen Auswirkungen auf Ihre Betriebsabläufe als auch die Folgewirkungen auf Kunden oder Dritte bewerten. Dieser zweistufige Test bedeutet, dass vorfallbezogene Ereignisse mit begrenzten internen Auswirkungen dennoch meldepflichtig sein können, wenn sie externen Schaden verursachen.

ISO 27001 bietet eine solide Grundlage, erfüllt jedoch nicht automatisch alle NIS2-Anforderungen. Die technische Anleitung von ENISA bietet eine praktische Zuordnung zwischen den ISO 27001-Kontrollen und den 10 verpflichtenden Maßnahmen der NIS2 und zeigt auf, wo Zertifizierungen übereinstimmen und wo Lücken bestehen. 

Führen Sie eine strukturierte Gap-Analyse durch, indem Sie Ihre ISO 27001-Implementierung mit Artikel 21 vergleichen, mit Fokus auf Meldefristen für Vorfälle, Spezifizität der Lieferkettensicherheit und Regelungen zur Verantwortlichkeit des Managements.

Das Versäumen von Meldefristen verstößt gegen die Meldepflichten gemäß Artikel 23 und setzt Sie dem Risiko von Verwaltungsgeldern von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen aus. Die nationalen zuständigen Behörden berücksichtigen bei der Festlegung von Sanktionen die Schwere des Verstoßes, ob dieser vorsätzlich oder fahrlässig erfolgte, das Maß der Kooperation sowie frühere Verstöße. 

Behörden können zudem verbindliche Anordnungen zur Einhaltung erlassen und Sicherheitsüberprüfungen auf Ihre Kosten anordnen.

Erfahren Sie mehr über Cybersecurity

DDoS-AngriffsstatistikenCybersecurity

DDoS-Angriffsstatistiken

DDoS-Angriffe werden immer häufiger, kürzer und schwerer zu ignorieren. Unser Beitrag zu DDoS-Angriffsstatistiken zeigt Ihnen, wer aktuell ins Visier genommen wird, wie Kampagnen ablaufen und mehr.

Mehr lesen
Insider-BedrohungsstatistikenCybersecurity

Insider-Bedrohungsstatistiken

Erhalten Sie Einblicke in Trends, Updates und mehr zu den neuesten Insider-Bedrohungsstatistiken für 2026. Erfahren Sie, welchen Gefahren Organisationen aktuell ausgesetzt sind, wer betroffen ist und wie Sie sich schützen können.

Mehr lesen
Was ist ein Infostealer? Funktionsweise von Anmeldedaten-stehlender MalwareCybersecurity

Was ist ein Infostealer? Funktionsweise von Anmeldedaten-stehlender Malware

Infostealer extrahieren unbemerkt Passwörter, Sitzungscookies und Browserdaten von infizierten Systemen. Gestohlene Anmeldedaten begünstigen Ransomware, Kontenübernahmen und Betrug.

Mehr lesen
Cyber-VersicherungsstatistikenCybersecurity

Cyber-Versicherungsstatistiken

Cyber-Versicherungsstatistiken für 2026 zeigen einen schnell wachsenden Markt. Es gibt veränderte Schadenmuster, strengere Risikoprüfungen und wachsende Deckungslücken zwischen Großunternehmen und kleineren Firmen.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch