Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (EU 2022/2555) ist das zentrale europäische Regelwerk zur Stärkung der Cybersicherheit und erweitert die bisherigen Anforderungen deutlich. Sie betrifft nicht mehr nur Betreiber kritischer Infrastrukturen, sondern einen deutlich größeren Kreis von Unternehmen.
Betroffene Organisationen sind verpflichtet, Risiken für ihre Netz- und Informationssysteme systematisch zu managen und geeignete Sicherheitsmaßnahmen umzusetzen. Dabei stehen neben technischen Maßnahmen auch organisatorische Anforderungen im Fokus – insbesondere die Verantwortung der Unternehmensleitung.
Zu den zentralen Anforderungen gehören ein strukturiertes Risikomanagement, klare Meldepflichten bei Sicherheitsvorfällen sowie die Nachweisbarkeit von Sicherheitsmaßnahmen. Unternehmen müssen jederzeit darlegen können, wie sie Risiken identifizieren, bewerten und behandeln.
Damit steigt auch die Bedeutung von IT-Dienstleistern und Managed Service Providern, die häufig Teil der regulatorischen Lieferkette sind und maßgeblich zum Sicherheitsniveau und zur Nachweisbarkeit bei ihren Kunden beitragen.
Was sich seit 2024 verändert hat: aktueller Stand der Umsetzung
Seit Ablauf der ursprünglichen Umsetzungsfrist im Oktober 2024 hat sich die Situation deutlich konkretisiert. Nationale Gesetze wurden verabschiedet oder finalisiert, Behörden haben begonnen, betroffene Unternehmen aktiv zu identifizieren, und die Anforderungen werden zunehmend in Audits, Verträgen und Sicherheitsbewertungen eingefordert.
Parallel dazu wurden auf EU-Ebene konkrete technische Anforderungen und Leitlinien veröffentlicht. Aus einer angekündigten Regulierung ist damit ein operatives Compliance-Thema geworden. Die NIS2-Richtlinie ist am 16. Januar 2023 in Kraft getreten und musste von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In der Praxis zeigt sich jedoch ein uneinheitlicher Umsetzungsstand:
Deutschland
Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Unternehmen müssen die Anforderungen seitdem unmittelbar erfüllen, eine Übergangsfrist besteht nicht.
Registrierungspflicht beim BSI
Betroffene Unternehmen sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Für Unternehmen, die bereits zum Zeitpunkt des Inkrafttretens unter die Richtlinie fielen, endete die ursprüngliche Registrierungsfrist am 6. März 2026. Die Registrierungspflicht besteht jedoch weiterhin: Organisationen, die ihre Betroffenheit erst später feststellen oder neu unter die Richtlinie fallen, müssen sich unverzüglich bzw. innerhalb der gesetzlichen Frist registrieren. Eine unterlassene oder verspätete Registrierung stellt einen Compliance-Verstoß dar und kann mit Bußgeldern geahndet werden.
Österreich
Die Umsetzung erfolgt über das neue Netz- und Informationssystemsicherheitsgesetz (NISG 2026), das voraussichtlich im Herbst 2026 in Kraft tritt.
Welche Unternehmen unter die NIS2-Richtlinie fallen
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Organisationen gegenüber der ursprünglichen NIS-Richtlinie. Während sich die erste Version vor allem auf Betreiber kritischer Infrastrukturen konzentrierte, umfasst NIS2 nun deutlich mehr Unternehmen. Grundsätzlich unterscheidet die Richtlinie zwischen wesentlichen (besonders wichtigen) Einrichtungen und wichtigen Einrichtungen. Beide Gruppen unterliegen verbindlichen Anforderungen an das Cybersicherheits-Risikomanagement sowie Meldepflichten bei Sicherheitsvorfällen.
Wie erfolgt die Einstufung?
Ob ein Unternehmen unter NIS2 fällt und wie es eingestuft wird, hängt von der Sektorzugehörigkeit und der Unternehmensgröße ab. Die Sektoren definieren, welche Unternehmen grundsätzlich erfasst sind. Die Größe entscheidet, ob sie als wesentliche oder wichtige Einrichtung gelten.
Sektoren mit hoher Kritikalität
Zu den besonders kritischen Sektoren gemäß Anhang I der Richtlinie zählen unter anderem:
Energie
Verkehr
Bankwesen & Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser und Abwasser
Digitale Infrastruktur (z. B. Internetknoten, DNS-Dienste, Cloud- und Rechenzentrumsanbieter)
Verwaltung von IKT-Diensten (Business-to Business)
Teile der öffentlichen Verwaltung
Weltraum
Sonstige kritische Sektoren
Zu den sonstigen kritischen Sektoren gemäß Anhang II der Richtlinie zählen unter anderem:
Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren
Anbieter digitaler Dienste (z. B. Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
Forschung
Größenkriterien
Die Einstufung eines Unternehmens als wesentlich oder wichtig richtet sich primär nach den Schwellenwerten für Mitarbeiterzahl und Umsatz, wobei die Sektorzugehörigkeit den Rahmen vorgibt.
Beispielhafte Einstufung eines Managed Service Providers (MSP)
Größe des MSP | Einrichtung | Aufsicht & Sanktion |
|---|
Groß (≥ 250 MA oder > 50 Mio. € Umsatz + > 43 Mio. € Bilanz) | Wesentlich (besonders wichtig) | Proaktiv: Regelmäßige Audits ohne Anlass. Bußgeld: bis 10 Mio. € / 2% des Jahresumsatzes. |
Mittel (50–249 MA oder > 10 Mio. € Umsatz + > 10 Mio. € Bilanz) | Wichtig | Reaktiv: Prüfung nur bei Vorfall oder Verdacht.
Bußgeld: bis 7 Mio. € / 1,4% des Jahresumsatzes. |
Klein (< 50 MA und < 10 Mio. € Umsatz/Bilanz) | Teilweise indirekt betroffen | Vertraglich: Keine direkte BSI-Aufsicht, aber Lieferketten-Pflichten durch regulierte Kunden. |
Ein MSP gilt als wesentliche Einrichtung (besonders wichtig), wenn er die Kriterien eines großen Unternehmens erfüllt. Dies ist der Fall, wenn er mindestens 250 Mitarbeiter beschäftigt oder sowohl einen Jahresumsatz von über 50 Millionen Euro als auch eine Bilanzsumme von über 43 Millionen Euro ausweist.
Als wichtige Einrichtung werden hingegen Unternehmen eingestuft, die die Kriterien für mittlere Unternehmen erfüllen, aber unter den Schwellenwerten für Großunternehmen bleiben. Dies trifft zu, wenn ein MSP mindestens 50 Mitarbeiter beschäftigt oder sowohl einen Jahresumsatz als auch eine Jahresbilanzsumme von über 10 Millionen Euro erzielt.
Kleinst- und Kleinunternehmen, die weniger als 50 Mitarbeiter beschäftigen und deren Jahresumsatz sowie Bilanzsumme jeweils unter 10 Millionen Euro liegen, fallen in der Regel nicht unter die direkte Regulierung. Eine Ausnahme besteht nur dann, wenn das BSI sie aufgrund ihrer spezifischen systemischen Bedeutung oder als Alleinanbieter kritischer Dienste explizit als regulierte Einrichtung nachnominiert.
Unterschied zwischen wesentlichen und wichtigen Einrichtungen
Die Anforderungen an Sicherheitsmaßnahmen sind für beide Gruppen grundsätzlich identisch, unterscheiden sich jedoch in der Intensität der Kontrolle und der Höhe möglicher Sanktionen.
Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht. Das bedeutet, das BSI kann jederzeit und ohne konkreten Anlass Nachweise, Audits oder Vor-Ort-Prüfungen verlangen, um die Einhaltung der Standards präventiv sicherzustellen.
Wichtige Einrichtungen werden hingegen lediglich reaktiv kontrolliert: Die Behörde wird hier im Regelfall erst dann aktiv, wenn es Anhaltspunkte für einen Verstoß gibt, beispielsweise nach einem bekannt gewordenen Sicherheitsvorfall.
Neben dieser Prüfdichte unterscheiden sich die Gruppen durch die maximale Höhe der Bußgelder sowie durch weitergehende Durchsetzungsbefugnisse bei den wesentlichen Einrichtungen, wie etwa der vorübergehenden Suspendierung der Geschäftsführung bei massiven Versäumnissen.
Warum NIS2 für “kleine” MSPs trotzdem relevant ist
Viele IT-Dienstleister fallen formal nicht direkt unter die Richtlinie. In der Praxis sind sie jedoch häufig Teil der regulatorischen Lieferkette.
Die von ihnen betriebenen Systeme sind ein zentraler Bestandteil der Sicherheitsarchitektur ihrer Kunden. Damit beeinflussen sie unmittelbar den Sicherheitszustand der Infrastruktur, die Reaktionsfähigkeit bei Sicherheitsvorfällen und die Möglichkeit, gegenüber Behörden oder Auditoren einen nachvollziehbaren Sicherheitsstatus nachzuweisen.
Für Unternehmen, die unter NIS2 fallen, wird daher auch die Sicherheit ihrer Dienstleister zu einem wichtigen Faktor.
Welche Rolle Managed Service Provider für Kunden einnehmen
Mit der NIS2-Richtlinie verändert sich auch die Rolle von Managed Service Providern. Kunden erwarten zunehmend Unterstützung bei der Bewertung ihrer Sicherheitsrisiken und bei der Dokumentation technischer Sicherheitsmaßnahmen.
Das führt dazu, dass MSPs zunehmend mit Fragen konfrontiert werden wie:
Welche Systeme unserer Infrastruktur sind öffentlich erreichbar?
Gibt es bekannte Schwachstellen oder Fehlkonfigurationen?
Welche Risiken sollten priorisiert behoben werden?
Wie können wir unseren Sicherheitsstatus nachvollziehbar dokumentieren?
IT-Dienstleister werden damit stärker zu Sicherheits- und Transparenzpartnern ihrer Kunden. Neben dem Betrieb von Systemen gewinnt die Fähigkeit an Bedeutung, Sicherheitszustände verständlich darzustellen und kontinuierlich zu überwachen.
Zentrale Anforderungen der NIS2
Die Richtlinie fordert eine Reihe technischer Maßnahmen, die den sicheren Betrieb von Netz- und Informationssystemen gewährleisten sollen. Dazu gehören unter anderem ein funktionierendes Schwachstellenmanagement, eine zuverlässige Patch- und Updatefähigkeit, sichere Systemkonfigurationen sowie geeignete Zugriffskontrollen und Identitätsmanagement. Auch Maßnahmen wie Multi-Faktor-Authentifizierung, Backup- und Wiederherstellungsstrategien sowie Monitoring- und Logging-Konzepte sind Teil der Anforderungen.
Entscheidend ist dabei, dass diese Maßnahmen regelmäßig überprüft und nachvollziehbar dokumentiert werden. Ohne Transparenz über den aktuellen Sicherheitszustand der eigenen Systeme wird die praktische Umsetzung dieser Anforderungen schwierig.
Neben technischen Sicherheitsmaßnahmen fordert die NIS2-Richtlinie ausdrücklich auch umfassende organisatorische Risikoanalysen. Dazu gehören beispielsweise Risiken in Geschäftsprozessen, Abhängigkeiten von Dienstleistern, personelle Risiken oder physische Sicherheitsaspekte. Unternehmen müssen somit ein ganzheitliches Risikomanagement etablieren, das über die reine IT-Sicherheit hinausgeht. Darüber hinaus verpflichtet das deutsche Umsetzungsgesetz die Geschäftsleitung ausdrücklich zur Teilnahme an Schulungs- und Sensibilisierungsmaßnahmen im Bereich Cybersicherheit.
Meldepflichten bei Sicherheitsvorfällen
Ein zentraler Bestandteil der NIS2 sind strukturierte Meldeprozesse. Betroffene Unternehmen müssen Sicherheitsvorfälle in mehreren Stufen melden:
Frühwarnung innerhalb von 24 Stunden
Erste Bewertung innerhalb von 72 Stunden
Abschlussbericht innerhalb eines Monats
Diese Anforderungen setzen voraus, dass Unternehmen Sicherheitsvorfälle schnell erkennen, deren Auswirkungen bewerten und alle relevanten Informationen strukturiert dokumentieren können.
Bei Verstößen gegen die Anforderungen drohen erhebliche Sanktionen. Diese können – je nach Einstufung – Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes umfassen. Zusätzlich kann auch die Geschäftsleitung persönlich in die Verantwortung genommen werden.
Krisenmanagement und Business Continuity
Ein zentraler Bestandteil der NIS2-Anforderungen ist ein funktionierendes Krisenmanagement sowie geeignete Business-Continuity- und Wiederanlaufpläne. Unternehmen müssen in der Lage sein, auch bei schwerwiegenden Sicherheitsvorfällen handlungsfähig zu bleiben, kritische Prozesse aufrechtzuerhalten und den Geschäftsbetrieb schnell wiederherzustellen.
Dazu gehören definierte Notfallprozesse, klare Verantwortlichkeiten, Kommunikationspläne sowie regelmäßige Tests und Übungen. Ohne diese Maßnahmen lassen sich die geforderten Melde- und Reaktionszeiten in der Praxis kaum einhalten.
NIS2 in der Praxis: Die größte Herausforderung ist Transparenz
Viele Unternehmen verfügen bereits über einzelne Sicherheitsmaßnahmen. In der Praxis scheitert die Umsetzung der Richtlinie jedoch häufig nicht an fehlenden Tools, sondern an mangelnder Transparenz.
Typische Herausforderungen sind eine unvollständige Übersicht über öffentlich erreichbare Systeme, unbekannte Schwachstellen oder Fehlkonfigurationen sowie fehlende Priorisierung von Risiken. Gleichzeitig ist die Dokumentation von Sicherheitsmaßnahmen häufig aufwendig und erfolgt manuell. Spätestens bei Audits oder Sicherheitsbewertungen zeigt sich dann, dass technische Nachweise fehlen oder nur schwer nachvollziehbar sind.
Wie lywand bei der Umsetzung von NIS2 unterstützt
Lywand unterstützt IT-Dienstleister und Unternehmen dabei, den technischen Sicherheitszustand ihrer IT-Systeme kontinuierlich zu analysieren, Risiken sichtbar zu machen und nachvollziehbar zu dokumentieren. Die Plattform schafft damit eine technische Grundlage für viele Anforderungen der NIS2.
Risikoanalyse und kontinuierliche Schwachstellenbewertung
Ein zentraler Bestandteil der NIS2 ist die kontinuierliche Bewertung von Risiken. Unternehmen müssen regelmäßig prüfen, welche Schwachstellen oder Fehlkonfigurationen ihre Systeme angreifbar machen könnten.
Lywand analysiert dafür sowohl öffentlich erreichbare Systeme wie Domains, IP-Adressen oder Mailserver als auch die interne IT-Infrastruktur. Dabei werden bekannte Schwachstellen (CVEs), veraltete Softwarestände, Fehlkonfigurationen sowie unsichere Protokolle und Dienste erkannt.
Ergänzend dazu kommt der lywand Agent zum Einsatz, der Windows-Clients und -Server direkt analysiert. Er überprüft unter anderem Patchstände, Sicherheitskonfigurationen sowie grundlegende Schutzmechanismen wie Firewall oder Antivirensoftware.
Zusätzlich sorgt eine automatische Asset Discovery für Transparenz im gesamten Netzwerk. Alle erreichbaren Geräte – von Servern und Laptops bis hin zu Druckern oder mobilen Geräten – werden erkannt und inventarisiert. So werden auch unbekannte oder vergessene Systeme sichtbar.
Über einen Netzwerk Check wird die Analyse auf alle weiteren Systeme im Netzwerk ausgeweitet – auch auf solche ohne installierten Agenten, wie etwa Linux- oder macOS-Geräte.
Die Ergebnisse werden zentral zusammengeführt, priorisiert und kontinuierlich überwacht. So entsteht ein vollständiges Bild der tatsächlichen Angriffsfläche, und Risiken können gezielt und nachhaltig reduziert werden.
Sicherheitskonfigurationen und präventive Maßnahmen überprüfen
Neben der Identifikation von Schwachstellen spielt auch die sichere Konfiguration von Systemen eine wichtige Rolle.
Lywand erkennt unter anderem Fehlkonfigurationen bei TLS, fehlende Sicherheitsheader oder unsichere Mail-Sicherheitskonfigurationen wie SPF, DKIM oder DMARC. Auch exponierte Verwaltungsoberflächen oder offene Dienste können identifiziert werden. Dadurch lassen sich typische Angriffsvektoren frühzeitig erkennen und reduzieren.
Empfohlene Maßnahmen können strukturiert geplant und ihr Umsetzungsstatus nachvollzogen werden. Bei der nächsten Überprüfung wird automatisch verifiziert, ob die Maßnahmen wirksam umgesetzt wurden und die identifizierten Schwachstellen tatsächlich behoben sind.
Risiken in der digitalen Lieferkette erkennen
Die NIS2-Richtlinie verlangt ausdrücklich, Risiken innerhalb der digitalen Lieferkette zu berücksichtigen. Unternehmen müssen verstehen, welche externen Dienste oder Anbieter Teil ihrer Infrastruktur sind. Mit lywand können IT-Dienstleister Kundeninfrastrukturen aus externer Perspektive analysieren, Abhängigkeiten zu Hosting-, DNS- oder Mail-Diensten sichtbar machen und Sicherheitszustände objektiv bewerten.
Dokumentation und Nachweisbarkeit
Neben der technischen Sicherheit ist die Dokumentation ein zentraler Bestandteil der Richtlinie.
Lywand unterstützt diesen Prozess durch nachvollziehbare Sicherheitsreports und historische Entwicklungen von Sicherheitsbewertungen. Dadurch entsteht eine technische Grundlage, die bei Audits, internen Reviews oder Kundengesprächen genutzt werden kann.
Was Software leisten kann – und was nicht
Software allein erfüllt keine regulatorischen Anforderungen. Plattformen wie lywand können technische Risikoanalysen durchführen, Transparenz über Sicherheitszustände schaffen und nachvollziehbare Reports liefern. Was sie jedoch nicht ersetzen können, sind Managemententscheidungen, organisatorische Prozesse oder rechtliche Bewertungen. Die Umsetzung der NIS2 erfordert immer das Zusammenspiel aus Technik, Organisation und klaren Verantwortlichkeiten.
Bezug zu bestehenden Standards und Zertifizierungen
Viele der Anforderungen der NIS2-Richtlinie überschneiden sich mit etablierten Standards wie ISO27001 oder branchenspezifischen Frameworks wie TISAX. Unternehmen, die bereits nach solchen Standards zertifiziert sind, verfügen in der Regel über eine solide Grundlage – insbesondere im Bereich Risikomanagement, Dokumentation und organisatorischer Prozesse.
Dennoch ersetzt eine bestehende Zertifizierung nicht automatisch die NIS2-Compliance. Zusätzliche Anforderungen, insbesondere bei Meldepflichten, behördlicher Kommunikation und der Einbindung der Geschäftsleitung, müssen gezielt ergänzt werden.
Quellen, weitere Informationen und Umsetzungshilfen
Für die praktische Umsetzung der NIS2 stehen verschiedene offizielle Ressourcen zur Verfügung. Die europäische Cybersicherheitsagentur ENISA stellt umfangreiche Leitfäden bereit, darunter technische Umsetzungshilfen, Beispiele für Sicherheitsmaßnahmen sowie Empfehlungen für Risikomanagement und Incident Response. Diese helfen dabei, die Anforderungen der Richtlinie in konkrete Maßnahmen zu übersetzen und strukturiert umzusetzen.
Die wichtigsten offiziellen Quellen im Überblick:
Mehr Einblicke zu NIS2 in unserem Webinar
Am 14. April 2026 fand das Webinar “NIS2 für MSSPs: Risiko, Verantwortung oder Wachstumschance” statt. Albert Thurmayr von systemworkx AG und Daniel Reschreiter sprachen praxisnah über die konkreten Auswirkungen der NIS2-Richtlinie.
Im Fokus stand unter anderem Betroffenheit, Haftungsfragen, ISMS, Anforderungen an die Lieferkette sowie typische Herausforderungen in der Umsetzung: Welche Maßnahmen jetzt zählen, wo die größten Risiken liegen und welche Chancen sich für MSPs daraus ergeben.
Fazit
Die NIS2-Richtlinie erhöht europaweit die Anforderungen an Cybersicherheit und verlangt einen dauerhaft nachvollziehbaren Sicherheitsprozess.
Für IT-Dienstleister bedeutet das vor allem mehr Verantwortung, höhere Anforderungen an Transparenz und eine steigende Bedeutung technischer Sicherheitsanalysen. Unternehmen und IT-Dienstleister, die ihre NIS2-Anforderungen fundiert umsetzen möchten, benötigen vor allem eines: Transparenz über ihre tatsächliche Angriffsfläche.
Plattformen wie lywand schaffen die technische Grundlage, um Risiken sichtbar zu machen, Maßnahmen nachvollziehbar zu dokumentieren und Sicherheitszustände kontinuierlich zu überwachen.
Die größte Herausforderung ist meist nicht die Einführung einzelner Maßnahmen, sondern der Aufbau eines konsistenten, nachvollziehbaren und gelebten Sicherheitsprozesses – über Technik, Organisation und Management hinweg.
