Was ist NIS2?
NIS2 ist die Abkürzung für „Network and Information Security 2“ und betitelt die schon 2023 in Kraft getretene Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (EU-Richtlinie 2022/2555). Der Fokus von NIS2 liegt auf den Bereichen Cybersecurity und Informationstechnik. Die NIS2-Richtlinie ersetzt vollständig die NIS-Richtlinie von 2016.
Webinar: NIS2 in der Praxis (04.12.2025)
NIS‑2 ist durch – und für Deine Kunden beginnt damit eine neue Realität in Sachen IT‑Sicherheit, Haftung und Compliance. Viele Mittelständler wissen noch gar nicht genau, was auf sie zukommt. Für Systemhäuser ist das die Chance, sich als strategischer Sicherheits‑ und Beratungspartner zu positionieren!
Ja, ich bin ausdrücklich damit einverstanden, dass meine Daten an Vimeo übermittelt werden.
Welches Ziel verfolgt NIS-2?
Mit NIS-2 stellt die Europäische Union Mindestanforderungen zur Stärkung der IT-Sicherheit und der Verbesserung der Resilienz kritischer Wirtschaftsbereiche. So sollen große Teile der europäischen Wirtschaft geschützt und eine einheitliche Umsetzung von Cybersecurity in der Europäischen Union erreicht werden.
Was IT-Dienstleister und Fachhändler über NIS2 wissen sollten
NIS2 bei den Kunden rechtzeitig umzusetzen, ist eine Herausforderung – und eine Chance. Systemhäuser und Fachhändler gehen mit ihrer eigenen Expertise für die IT-Sicherheit bei der Beratung ihrer Kunden voran und sorgen für den notwendigen Schutz.
Unter bestimmten Voraussetzungen können IT-Dienstleister außerdem selbst in den Geltungsbereich der Richtlinie fallen. Welche Aspekte sind dafür von Bedeutung?
In einem Whitepaper haben wir die wichtigsten Informationen zu NIS2 zusammengestellt. Weitere Informationen vermittelt zudem eine Präsentation, die im Rahmen eines Webinars für IT-Dienstleister stattgefunden hat.
Auswahl betroffener Sektoren
NIS-2 betrifft insgesamt 18 Wirtschaftssektoren, darunter die Folgenden.
Für wen gilt NIS2?
Der Anwendungsbereich der NIS2-Richtlinie geht weit über die bisher bekannten kritischen Infrastrukturen (KRITIS) hinaus. Unternehmen fallen dann in den Anwendungsbereich der NIS2, wenn sie
- den definierten Schwellenwerten entsprechen,
- in den in NIS2 aufgeführten 18 Wirtschaftssektoren tätig sind und/oder
- Dienste im Zusammenhang der Netzwerk- und Informationssicherheit erbringen.
Grundsätzlich findet NIS2 Anwendung für mittlere Unternehmen oder für Unternehmen, die die Schwellenwerte für mittlere Unternehmen überschreiten.
Mittleres Unternehmen:
- Mindestens 50 und weniger als 250 Beschäftigte und
- entweder einen Jahresumsatz von mindestens 10 Mio. Euro, aber höchstens 50 Mio. Euro oder
- eine Jahresbilanzsumme von mindestens 10 Mio. Euro, aber höchstens 43 Mio. Euro.
Unabhängig von der Größe der Einrichtungen gilt die NIS2-Richtlinie auch für Einrichtungen, die in einem der in NIS2 aufgeführten 18 Sektoren tätig sind. Dazu zählen z. B. der Sektor Energie oder Verwaltung von IKT-Diensten bzw. Verarbeitendes Gewerbe/Herstellung von Waren oder Anbieter digitaler Dienste.
Wesentliche und wichtige Einrichtungen:
NIS2 unterscheidet darüber hinaus noch „wesentliche Einrichtungen“ und „wichtige Einrichtungen“.
Unternehmen gelten als „wesentliche Einrichtung“, wenn sie in einem Sektor mit hoher Kritikalität tätig sind sowie den Schwellenwert für ein mittleres Unternehmen überschreiten, d. h. mindestens 250 Beschäftigte zählen und entweder über 50 Mio. Jahresumsatz oder eine Bilanzsumme von über 43 Mio. Euro aufweisen.
Unternehmen gelten als „wichtige Einrichtung“, wenn sie in einem der insgesamt aufgeführten 18 Sektoren tätig sind und nicht unter die Definition der „wesentlichen Einrichtungen“ fallen.
Wichtig: Umsetzung für Kleinunternehmen
Klein- und Kleinstunternehmen können ebenfalls unter die Richtlinie fallen, wenn sie in einem der von NIS2 als Sonderfälle benannten Sektoren tätig sind.
Welche Vorgaben macht NIS2?
Zu den einzelnen IT-Sicherheitsmaßnahmen macht NIS2 zahlreiche Vorgaben – angefangen bei einem Konzept für das Risikomanagement über technische Maßnahmen bis hin zu Meldefristen bei Sicherheitsvorfällen.
NIS2 fordert einen präventiven Ansatz für die IT-Sicherheit und ein entsprechendes Risikomanagement. Netz- und Informationssysteme müssen nach dieser Vorgabe abgesichert werden. Folgende Maßnahmen sind nach NIS2 u.a. vorgesehen: Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Bewertung von Risikomanagementmaßnahmen, Schulungen im Bereich der Cybersicherheit.
Was bedeutet Cyberhygiene nach NIS2?
Vor dem Hintergrund der Zunahme von Cyberangriffen und einer hohen Bedrohungslage wird Prävention in der IT-Sicherheit immer wichtiger. Mit der NIS2-Richtlinie wird die bessere Vorbeugung gegen IT-Sicherheitsvorfälle europaweit verankert. Der Grundsatz lautet: Eine zuverlässige Cyberhygiene schützt die Hard- und Software sowie die Geschäfts- und Endnutzerdaten von Unternehmen. Dazu gehören zum Beispiel regelmäßige Updates, ein ordentliches Passwortmanagement, systematische Datensicherungen oder sichere Authentifizierung.