Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Januar 2023 in Kraft und wurde in Deutschland im Dezember 2025 durch die Novelle des BSI-Gesetzes (BSIG-neu) in nationales Recht umgesetzt. Sie ist die bisher ambitionierteste Initiative der EU, Cyberresilienz nicht als technisches Nischenthema, sondern als strukturelle Voraussetzung für das Funktionieren moderner Gesellschaften zu verankern.
EU-Richtlinie NIS2 => https://www.recht.bund.de/bgbl/1/2025/301/VO.html
Resilienz als gemeinsame Verantwortung
Mit der NIS2 reagiert der Gesetzgeber darauf, dass digitale Infrastrukturen so tief in Wirtschaft, Versorgung und öffentliches Leben integriert sind, dass Cyberangriffe längst keine isolierten IT-Vorfälle mehr sind. Erfolgreiche Cyberangriffe können Lieferketten unterbrechen, Krankenhäuser lahmlegen, Energieversorgung gefährden und auf vielfältige andere Weise das gesellschaftliche Leben beeinträchtigen.
Daraus folgt auch: Cyberresilienz ist nicht mehr die Aufgabe einzelner Sicherheitsabteilungen, sondern eine gesamtgesellschaftliche Anforderung, die koordiniertes Handeln auf allen Ebenen erfordert.
NIS2 adressiert das strukturell: Cyberresilienz wird zur gemeinsamen Verantwortung, die auf EU-Ebene koordiniert, national umgesetzt, und in den Unternehmen verankert wird. Ein zentrales Element ist dabei der Meldemechanismus: Betroffene Unternehmen sind verpflichtet, erhebliche Vorfälle frühzeitig an die zuständigen Behörden zu melden. Das dient nicht nur der Dokumentation, sondern ermöglicht vor allem Behörden wie dem BSI, andere gefährdete Unternehmen zu warnen, bevor eine Angriffswelle sie erreicht. Aus einer Meldepflicht wird so ein kollektiver Frühwarnmechanismus.
Der Ansatz ist dabei bewusst breit: NIS2 fordert den sogenannten Allgefahren-Ansatz. Die bedeutet, dass bei der Risikobetrachtung nicht nur wenige griffige Angriffsszenarien zu berücksichtigen sind, sondern eine breite Palette von Gefahren, von gezielten Angriffen über technisches oder menschliches Versagen bis hin zu Bedrohungen über die Lieferketten. Auch hybride Angriffe, also solche die sowohl eine Cyber- als auch eine physische Komponente haben, sind zu bedenken.
Harmonisierung mit nationaler Ausgestaltung
Als EU-Richtlinie setzt NIS2 verbindliche Ziele, die in allen Mitgliedstaaten gelten. Die konkrete Ausgestaltung bleibt aber nationale Aufgabe. Dabei gibt es für die nationale Gesetzgebung teils klare Vorgaben und teils erhebliche Gestaltungsspielräume. Auf diese Weise schafft die NIS2 einen einheitlichen europäischen Rahmen, der gleichzeitig Bedürfnisse und Gepflogenheiten der Mitgliedsländer berücksichtigt. Dies ist besonders für Unternehmen mit Standorten oder Lieferbeziehungen in mehreren EU-Ländern relevant: Die Grundlogik ist überall dieselbe, die konkreten Anforderungen können sich im Detail unterscheiden.
Der größere Resilienzrahmen
NIS2 steht nicht allein. Zusammen mit der CER-Richtlinie, die physische Resilienz regelt, bildet sie den europäischen Rahmen für den Schutz kritischer Infrastrukturen. Beide Richtlinien teilen dieselbe Grundüberzeugung: Resilienz entsteht nicht durch isolierte Maßnahmen einzelner Akteure, sondern durch ein abgestimmtes System aus Prävention, Erkennung, Meldung und gegenseitiger Unterstützung. Beide Richtlinien zwingen dabei Unternehmen und Behörden zu enger Zusammenarbeit.
Wer ist betroffen?
NIS2 unterscheidet zwei Kategorien: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Der Unterschied liegt weniger in den inhaltlichen Anforderungen als in der Intensität der Aufsicht und der Höhe möglicher Sanktionen. Beide Kategorien müssen dieselben Grundanforderungen erfüllen.
Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz, die in einem der definierten Sektoren tätig sind, wie etwa Energie, Verkehr, Gesundheit, Trinkwasser, digitale Infrastruktur, Finanzwesen und mehrere weitere. Kleinstunternehmen sind grundsätzlich ausgenommen, es sei denn, sie sind für einen Sektor systemrelevant, dann greift NIS2 unabhängig von der Größe.
Relevant ist NIS2 aber auch für Unternehmen, die nicht selbst unter die Richtlinie fallen: Wer als Lieferant oder Dienstleister für eine wesentliche oder wichtige Einrichtung tätig ist, wird über deren Lieferkettenpflichten miterfasst. Die Vorgaben der NIS2 gelten damit nicht unmittelbar, aber die Pflicht zu Maßnahmen der Cybersicherheit wird z.B. über vertragliche Vereinbarungen, Ausschreibungsbedingungen und andere Marktmechanismen auch für viele weitere Unternehmen relevant.