NIS2-Richtlinie: Pflichten, Fristen & Risiken für Unternehmen
September 2025
By
Axiom Law
Die EU-weite NIS2-Richtlinie seit 2025 weitreichende Pflichten für Unternehmen mit sich – insbesondere für solche, die kritische oder wichtige Infrastrukturen betreiben. Die Anforderungen an die Cybersicherheit sowie die Verantwortung der Unternehmensleitung sind deutlich gestiegen und der Anwendungsbereich ist massiv erweitert.
Unternehmen, die sich nicht rechtzeitig auf die NIS2-Richtlinie vorbereiten, riskieren hohe Bußgelder und erhebliche Reputationsschäden. In diesem Beitrag erfahren Sie, wer betroffen ist, welche Maßnahmen erforderlich sind und wie Axioms Projektjurist*innen Sie bei der Umsetzung unterstützen können.
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete Fassung der bisherigen EU-Richtlinie zur Netz- und Informationssicherheit (NIS1) aus dem Jahr 2016. Sie ist am 16. Januar 2023 in Kraft getreten und hat die NIS1-Richtlinie am 18. Oktober 2024 vollständig aufgehoben.
Zielsetzung & Hintergrund
Die Bedrohungslage in der Cybersicherheit hat sich in den letzten Jahren stark verschärft. Die EU reagiert darauf mit einer neuen Cyberstrategie und die NIS2-Richtlinie bildet dabei einen zentralen Baustein. Ziel ist es, die Cyberresilienz in Europa zu stärken und den Schutz kritischer Infrastrukturen zu verbessern.
Mit der NIS2-Richtlinie werden erstmals verbindliche Mindeststandards zur Informationssicherheit für eine deutlich größere Zahl an Unternehmen eingeführt. Sie verpflichtet Betreiber wesentlicher und wichtiger Dienste zu konkreten Sicherheits- und Meldepflichten – unabhängig davon, ob es sich um staatliche oder private Organisationen handelt.
Unterschiede zur bisherigen NIS-Richtlinie
Gegenüber NIS1 bringt die NIS2-Richtlinie deutliche Veränderungen mit sich:
- Erweiterter Anwendungsbereich: Nicht nur klassische KRITIS-Betreiber, sondern auch mittlere Unternehmen und Zulieferer sind nun erfasst.
- Sektorenzuwachs: Weitere kritische Sektoren wie Abfallwirtschaft, Raumfahrt, digitale Dienste oder die Herstellung kritischer Produkte wurden aufgenommen.
- Verpflichtende Cybersicherheitsmaßnahmen: Betroffene Unternehmen müssen ein strukturiertes Risiko- und Sicherheitsmanagement einführen.
- Erhöhte Meldepflichten: Sicherheitsvorfälle mit erheblichem Einfluss sind verpflichtend zu melden – inklusive Frühwarnung und Abschlussbericht.
- Haftung des Managements: Die Verantwortung für die Einhaltung liegt beim obersten Leitungsorgan.
- Höhere Strafen: Bußgelder von bis zu 10 Millionen Euro bzw. 2% des weltweiten Jahresumsatzes sind möglich.
Diese Neuerungen verdeutlichen: Die NIS2-Richtlinie ist eine konsequente Weiterentwicklung der NIS1 – mit eindeutig verschärften Anforderungen und klareren Zuständigkeiten.
Wer ist von der NIS2-Richtlinie betroffen?
Ob ein Unternehmen der NIS2-Richtlinie unterliegt, hängt primär von zwei Faktoren ab: Unternehmensgröße und Sektorzugehörigkeit.
Erweiterter Anwendungsbereich (KRITIS, Mittelstand, Zulieferer)
Die neue Richtlinie umfasst deutlich mehr Branchen als bisher – neben klassischen KRITIS-Sektoren wie Energie, Verkehr oder Gesundheit sind jetzt auch folgende Bereiche betroffen:
- Digitale Dienste wie Suchmaschinen, Cloud-Anbieter oder soziale Netzwerke
- Herstellung kritischer Produkte wie Medizinprodukte oder Halbleiter
- Post- und Kurierdienste
- Abfall- und Abwasserwirtschaft
- Öffentliche Verwaltung auf zentraler und regionaler Ebene
- Raumfahrt und IKT-Dienstleister
Damit werden nicht nur große Konzerne, sondern auch mittelständische Unternehmen sowie deren Dienstleister und Zulieferer in die Pflicht genommen.
Sektoren & Unternehmensgrößen
Generell gilt die NIS2-Richtlinie für Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von mindestens 10 Millionen Euro. Besonders relevante Sektoren mit „hoher Kritikalität“ sind gemäß Anhang I der Richtlinie:
- Energieversorgung
- Transport & Verkehr
- Bankwesen & Finanzmärkte
- Gesundheitswesen
- Trinkwasserversorgung
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Raumfahrt
Darüber hinaus gelten gemäß Anhang II weitere als wichtig, darunter:
- Chemieindustrie
- Lebensmittelproduktion
- Abfall- und Abwasserwirtschaft
- Digitale Dienste
- Forschungseinrichtungen
- Herstellung kritischer Güter
Schätzungen zufolge sind in Deutschland rund 30.000 Unternehmen von der Umsetzung der NIS2-Richtlinie betroffen – deutlich mehr als unter NIS1.
Pflichten für Unternehmen nach NIS2
Die Einhaltung der NIS2-Richtlinie erfordert umfassende organisatorische, technische und rechtliche Maßnahmen.
Risikomanagement & technische Maßnahmen
Zentral ist ein strukturiertes Cyber-Risikomanagement. Unternehmen müssen:
- Risiken regelmäßig identifizieren und bewerten
- Schutzmaßnahmen wie Verschlüsselung, Zugangskontrollen und Systemhärtung umsetzen
- Lieferketten absichern
- Schwachstellen überwachen und patchen
- Notfallpläne für bessere Business Continuity entwickeln
Diese Anforderungen verlangen ein durchdachtes, dokumentiertes Sicherheitskonzept – idealerweise auf Basis internationaler Normen wie ISO/IEC 27001.
Melde- und Berichtspflichten bei Sicherheitsvorfällen
Die NIS2-Richtlinie verschärft auch die Meldepflichten. Sicherheitsvorfälle mit „erheblicher Auswirkung“ müssen wie folgt gemeldet werden:
- Frühwarnung innerhalb von 24 Stunden
- Zwischenbericht nach spätestens 72 Stunden
- Abschlussbericht nach spätestens einem Monat
- Zusätzliche Fortschrittsberichte bei längerer Störung
Ein erheblicher Vorfall liegt vor, wenn:
- eine schwerwiegende betriebliche Störung droht oder eintritt.
- erhebliche materielle oder immaterielle Schäden entstehen.
- eine große Zahl von Nutzer*innen betroffen ist.
Zuständig für die Entgegennahme der Meldungen sind in Deutschland das BSI und das nationale Reaktionsteam für Ereignisse in der Computersicherheit (Computer Security Incident Response Team, CSIRT).
Governance
Die Verantwortung liegt ausdrücklich beim Top-Management. Es muss:
- die Maßnahmen zur Cybersicherheit billigen und überwachen.
- bei Verstößen haften.
- an verpflichtenden Schulungen teilnehmen.
- regelmäßige Awareness-Programme für Mitarbeitende initiieren.
Damit macht die Richtlinie Schluss mit der „Abschiebung“ von Verantwortung auf die IT-Abteilung.
Fristen & nationale Umsetzung in Deutschland
Die Umsetzung der NIS2-Richtlinie der EU in deutsches Recht erfolgt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Dieses reformiert u. a. das BSI-Gesetz und bringt neue Verpflichtungen für die Wirtschaft. Ziel ist es, die IT-Sicherheit flächendeckend zu stärken und Ausfälle in kritischen Sektoren zu verhindern.
Das Umsetzungsverfahren ist jedoch verzögert – die Frist zur Umsetzung am 17.10.2024 konnte nicht eingehalten werden. Die Ampelkoalition konnte sich nicht auf eine finale Fassung einigen, weshalb mit einem neuen Gesetzesentwurf frühestens im Herbst 2025 zu rechnen ist.
Übergangsfristen & Anpassungsbedarf
Trotz der Verzögerung gilt: Betroffene Unternehmen sollten jetzt handeln. Eine Umsetzung dauert in der Regel 6 bis 18 Monate. Da keine grundlegenden Änderungen mehr erwartet werden, ist es ratsam, bereits jetzt mit der Vorbereitung auf die bekannten Anforderungen zu beginnen.
Ab dem 17. Oktober 2027 prüft die EU-Kommission regelmäßig, ob die Richtlinie wirksam ist – alle drei Jahre. Diese Überprüfungen könnten künftig auch zu einer Nachschärfung führen.
Risiken bei Nicht-Einhaltung der NIS2-Richtlinie
Unternehmen, die die NIS2-Vorgaben nicht umsetzen, riskieren gravierende Konsequenzen: hohe Bußgelder, persönliche Haftung der Geschäftsführung, operative Störungen und Reputationsschäden. Die Verantwortung liegt klar auf Führungsebene – rechtzeitiges Handeln ist daher essenziell.
Bußgelder & Haftung
Die NIS2-Richtlinie sieht drastische Sanktionen vor:
- Bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen
- Bis zu 7 Mio. € oder 1,4 % des Umsatzes für wichtige Einrichtungen
Zudem droht wie bereits erwähnt die persönliche Haftung des Managements. Das BSI kann im Falle schwerwiegender Verstöße sogar Leitungspersonen abberufen.
Reputationsschäden & operative Risiken
Neben finanziellen Schäden ist auch der Reputationsverlust bei Sicherheitsvorfällen erheblich. Öffentlich gewordene Sicherheitslücken untergraben das Vertrauen von Kund*innen, Partner*innen und Investor*innen. Durch NIS2 wird Cybersicherheit zum strategischen Thema – und zur Führungsaufgabe.
Wie Axioms Projektjurist*innen Unternehmen bei der Einhaltung unterstützen können
Die Umsetzung der NIS2-Richtlinie in Deutschland stellt viele Unternehmen vor juristische, technische und organisatorische Herausforderungen. Axioms Projektjurist*innen begleiten Sie umfassend bei der Vorbereitung auf NIS2 – praxisnah, rechtskonform und mit klarer Struktur.
Unsere Leistungen:
- Risikobewertung und GAP-Analysen
- Entwicklung von Sicherheitsrichtlinien und Prozessen
- Aufbau rechtskonformer Meldeketten
- Schulungen für Management und Mitarbeitende
- Vertragsprüfung mit Dienstleistern
- Unterstützung im Umgang mit Behörden wie dem BSI
Weitere Informationen finden Sie auf unseren Seiten zu Compliance sowie Datenschutz & Cybersicherheit.
Fazit
Die NIS2-Richtlinie ist ein Meilenstein für die Cybersicherheit in Europa. Unternehmen in kritischen und wichtigen Sektoren stehen in der Pflicht, IT-Risiken systematisch zu managen, Sicherheitsvorfälle zu melden und die Verantwortung auf Vorstandsebene zu verankern.
Die verspätete Umsetzung in Deutschland bietet eine einmalige Gelegenheit: Unternehmen können sich jetzt strategisch aufstellen und Compliance-Risiken gezielt minimieren. Axioms Jurist*innen stehen Ihnen dabei als kompetente Partner*innen zur Seite.
FAQs
-
Was ist das Ziel der NIS2-Richtlinie?
Die NIS2-Richtlinie verfolgt das Ziel, die Cybersicherheit innerhalb der Europäischen Union zu stärken. Sie verpflichtet Unternehmen in kritischen und wichtigen Sektoren dazu, geeignete technische und organisatorische Maßnahmen zu ergreifen, um IT-Systeme und Netzwerke gegen Sicherheitsvorfälle abzusichern. Dabei soll auch die Resilienz gegenüber Angriffen und Störungen verbessert werden – zum Schutz von Gesellschaft, Wirtschaft und staatlicher Infrastruktur.
-
Welche Unternehmen sind von NIS2 betroffen?
Von der NIS2-Richtlinie sind grundsätzlich alle mittleren und großen Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Millionen Euro Umsatz betroffen, sofern sie in einem der in der Richtlinie genannten Sektoren tätig sind. Dazu gehören unter anderem Energieversorger, Gesundheitsdienstleister, Verkehrsbetriebe, Anbieter digitaler Dienste sowie Teile der öffentlichen Verwaltung. Auch Zuliefernde und Dienstleistende kritischer Infrastrukturen sind einbezogen.
-
Welche Pflichten entstehen durch die NIS2-Richtlinie?
Betroffene Unternehmen müssen ein umfassendes Risikomanagement einführen, regelmäßige Sicherheitsbewertungen vornehmen und technische sowie organisatorische Schutzmaßnahmen umsetzen. Hinzu kommen strenge Meldepflichten bei erheblichen Sicherheitsvorfällen, Schulungsverpflichtungen für Führungskräfte sowie eine klare Governance-Struktur, bei der das Management die Verantwortung trägt. Die Einhaltung dieser Pflichten muss dokumentiert und gegenüber den Behörden nachgewiesen werden.
-
Welche Fehler können bei der Umsetzung der NIS2-Richtlinie auftreten?
Mögliche Fehler sind eine verspätete oder unzureichende Umsetzung der Anforderungen, fehlende Zuständigkeiten innerhalb des Unternehmens, unklare Meldeketten und eine mangelhafte Dokumentation. Auch wird das Thema Cybersicherheit oft ausschließlich der IT-Abteilung überlassen, obwohl die Richtlinie explizit die Verantwortung des Managements betont. Ohne rechtliche und organisatorische Expertise drohen hier schnell Compliance-Lücken.
-
Was droht bei Verstößen gegen NIS2?
Verstöße gegen die NIS2-Richtlinie können mit erheblichen Geldbußen geahndet werden – bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen. Zudem kann die Unternehmensleitung persönlich haftbar gemacht werden und in gravierenden Fällen ihre Position verlieren. Zusätzlich zu den rechtlichen Konsequenzen drohen Reputationsverluste, Betriebsunterbrechungen sowie der Vertrauensverlust bei Kund*innen und Partner*innen.
Veröffentlicht von
Axiom Law
Related Content
Axiom: Die besten Juristen für eine bessere Rechtspraxis
Eines unserer Gründungsziele ist, Juristen eine interessante Alternative zu den traditionellen Kanzleien zu bieten und Ihnen die Möglichkeit zu geben, ihren Beruf flexibler und freier auszuüben.
Lisa Angelo: Datenschutz-Pionierarbeit für Axiom
Datenschutz ist der wichtigste berufliche Schwerpunkt der Axiom-Anwältin Lisa Angelo. Im vergangenen Jahr hat sie sich mit einem bekannten, großen Einzelhändler beschäftigt, um ihm bei der Einhaltung des kalifornischen Verbraucherschutzgesetzes und den Herausforderungen des Datenschutzes in der E-Commerce-Branche zu helfen.
Branchenstudie: Vielfalt in der Rechtsbranche
Wie Axiom neue Maßstäbe für Diversität und Integration setzt – und was Unternehmen tun können, um Vielfalt in der Rechtsabteilung aktiv zu fördern.