Die NIS2-Richtlinie (EU 2022/2555) ist eine europäische Vorgabe, welche die Cybersicherheit in der EU stärken soll. „NIS“ steht für Netz- und Informationssicherheit. Die Richtlinie ist seit Anfang 2023 in Kraft und ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016.

Seit Oktober 2024 müssen alle Mitgliedsstaaten NIS2 in nationalen Gesetzen umsetzen. In Deutschland geschieht dies mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (ehemals NIS2UmsuCG), welches seit Dezember 2025 in Kraft ist.

Ziel von NIS2 ist es, Unternehmen und öffentliche Stellen besser vor Cyberangriffen und IT-Störungen zu schützen – vor allem in Bereichen, die für das öffentliche Leben besonders wichtig sind (z. B. Energie, Gesundheit, Transport, IT, Wasser, Finanzen).

Was bedeutet das für Unternehmen?
Unternehmen, welche kritische Dienstleistungen in der EU in einem von insgesamt 18 Sektoren erbringen, werden abhängig vom Umsatz reguliert. Sind Unternehmen betroffen, müssen laut NIS2 Maßnahmen zum Schutz ihrer IT-Systeme treffen, Sicherheitsvorfälle melden und ein Risikomanagement einführen. 

Wichtig: Auch kleine und mittlere Unternehmen (KMU) können betroffen sein wenn sie einen Umsatz von >10 Mio. EUR erzielen und wenn sie z.B. digitale Dienste anbieten oder wichtige Lieferanten in kritischen Branchen sind.