TroutTrout
Back to Blog
NIS2

NIS2-Richtlinie erklärt: Anforderungen, Geltungsbereich und wer 2026 zur Einhaltung verpflichtet ist

Trout Team4 min read

Die NIS2-Richtlinie verstehen

Die NIS2-Richtlinie ist die bedeutendste EU-Cybersicherheitsgesetzgebung seit der ursprünglichen NIS-Richtlinie von 2016. Sie erweitert den Anwendungsbereich auf mehr Sektoren, führt strengere Sanktionen ein (bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes) und schreibt eine Meldepflicht für Vorfälle innerhalb von 24 Stunden vor. Für Hersteller, Energieunternehmen und Anbieter digitaler Infrastrukturen, die bisher nicht erfasst waren, ist dies Neuland mit verbindlichen Fristen.

Was sind die Anforderungen?

Sicherheitsmaßnahmen

Nach NIS2 sind Organisationen verpflichtet, spezifische Cybersicherheitsmaßnahmen umzusetzen, die ihrem Risiko angemessen sind. Diese Maßnahmen müssen bewährten Praktiken entsprechen und Folgendes umfassen:

  • Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme.
  • Behandlung von Sicherheitsvorfällen (Prävention, Erkennung, Reaktion und Wiederherstellung).
  • Geschäftskontinuität und Krisenmanagement.
  • Sicherheit in der Lieferkette.
  • Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen.
  • Richtlinien und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheits-Risikomanagementmaßnahmen.

Meldung von Sicherheitsvorfällen

Die Meldung von Sicherheitsvorfällen ist ein zentrales Element von NIS2 und soll eine zeitnahe Wahrnehmung von und Reaktion auf Cyberbedrohungen sicherstellen. Organisationen müssen:

  1. Vorfälle melden, die erhebliche Auswirkungen auf die Erbringung ihrer Dienste haben.
  2. Zuständige Behörden oder CSIRTs (Computer Security Incident Response Teams) innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls benachrichtigen.
  3. Detaillierte Vorfallsberichte innerhalb von 72 Stunden vorlegen.

Governance und Verantwortlichkeit

Die Richtlinie legt großen Wert auf Governance und verpflichtet Einrichtungen dazu:

  • Klare Zuständigkeiten für das Cybersicherheits-Risikomanagement festzulegen.
  • Die Verantwortlichkeit des Top-Managements bei der Überwachung der NIS2-Compliance sicherzustellen.
  • Regelmäßige Schulungs- und Sensibilisierungsprogramme für Mitarbeitende bereitzustellen.

Anwendungsbereich von NIS2

Erweiterter Sektorenumfang

NIS2 weitet den Anwendungsbereich auf weitere Sektoren aus, die als wesentlich für Wirtschaft und Gesellschaft eingestuft werden. Dazu gehören:

  • Energie
  • Verkehr
  • Bank- und Finanzmarktinfrastrukturen
  • Gesundheit
  • Trinkwasserversorgung und -verteilung
  • Digitale Infrastruktur
  • Öffentliche Verwaltung

Wesentliche und wichtige Einrichtungen

Einrichtungen werden je nach ihrer gesellschaftlichen und wirtschaftlichen Bedeutung als wesentlich oder wichtig eingestuft. Diese Klassifizierung bestimmt den Umfang ihrer Pflichten nach NIS2, wobei wesentliche Einrichtungen strengeren Anforderungen unterliegen.

Wer muss die Anforderungen erfüllen?

Bestehende und neue Pflichten

NIS2 gilt für:

  • Bestehende Einrichtungen, die bereits unter die ursprüngliche NIS-Richtlinie fielen.
  • Neue Einrichtungen innerhalb der erweiterten Sektoren sowie solche, die als kritisch wichtig eingestuft wurden.

Schwellenwerte für die Einbeziehung

Die Richtlinie legt spezifische Schwellenwerte für die Einbeziehung fest, die sich an Faktoren wie diesen orientieren:

  • Größe und Umsatz.
  • Marktbedeutung.
  • Die Kritikalität der erbrachten Dienste.

Vorbereitung auf die NIS2-Compliance

Gap-Analyse durchführen

Führen Sie eine detaillierte Gap-Analyse durch, um die aktuellen Cybersicherheitspraktiken mit den NIS2-Anforderungen zu vergleichen. Diese Analyse zeigt Bereiche auf, in denen Verbesserungen oder zusätzliche Maßnahmen erforderlich sind.

Cybersicherheits-Framework implementieren

Übernehmen Sie ein Cybersicherheits-Framework wie NIST SP 800-171 oder ISO/IEC 27001, um einen strukturierten Ansatz für das Informationssicherheitsmanagement zu schaffen. Dies erleichtert die wirksame Ausrichtung an den NIS2-Anforderungen.

Incident-Response-Pläne stärken

Entwickeln und verfeinern Sie Incident-Response-Pläne, um Cybersicherheitsvorfälle schnell erkennen und eindämmen zu können. Testen Sie diese Pläne regelmäßig durch Simulationen und Übungen.

Lieferkettensicherheit verbessern

Angesichts des Schwerpunkts auf Lieferkettensicherheit sollten Sie die Cybersicherheitslage Ihrer Lieferkette bewerten und stärken. Dazu gehören Risikobewertungen sowie die Aufnahme von Cybersicherheitspflichten in Lieferantenverträge.

Schulung und Sensibilisierung

Führen Sie regelmäßig Schulungen für Mitarbeitende durch, um das Bewusstsein für Cyberbedrohungen und die Bedeutung der Einhaltung der NIS2-Anforderungen zu stärken.

Fazit

Die Frist 2026 ist gesetzt. Wer noch keine Gap-Analyse begonnen hat, sollte dies als unmittelbaren nächsten Schritt angehen. Stellen Sie fest, in welche Einrichtungskategorie Sie fallen (wesentlich oder wichtig), gleichen Sie Ihre bestehenden Kontrollen mit den Anforderungen aus Artikel 21 ab, und erstellen Sie einen Sanierungsplan. Priorisieren Sie die Vorfallsmeldungsbereitschaft (das 24-Stunden-Meldefenster überrascht die meisten Organisationen) sowie die Pflichten zur Lieferkettensicherheit. Wer jetzt beginnt, wird compliant sein – wer wartet, wird unter Druck geraten.

Weitere NIS2-Ressourcen, Optionen für souveräne Bereitstellung und Compliance-Leitfäden finden Sie im NIS2 Compliance for On-Premise OT hub.

Other Articles

CMMCCompliance

What the CMMC Enduring Exception Actually Requires You to Document

The Enduring Exception is not a waiver. It requires specific documentation, compensating controls with evidence, and an Affirming Official signature. Miss any of it and you face False Claims Act exposure.

OT SecurityZero Trust

Why Your OT Network Has No Identity Layer (And What Happens When an Attacker Notices)

The moment an attacker reaches your OT network, they stop having to prove who they are. Flat Layer 2, PLCs that can't do MFA, trust-by-location — it's a lateral movement playground. The fix isn't rewiring the plant. It's putting an identity layer in front of the assets that can't enforce one themselves.

Zero TrustOT Security

Zero Trust for Legacy PLCs: The Lollipop Architecture Explained

Legacy PLCs cannot authenticate users, log sessions, or encrypt traffic. The lollipop architecture puts a proxy in front of each asset, enforcing Zero Trust at the network layer without modifying the device.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles