Was ist NIS 2 – und warum betrifft es (fast) alle?

/von

Die neue EU-Richtlinie NIS 2 verändert die Spielregeln für IT-Sicherheit in Europa. Seit Oktober 2024 müssen Mitgliedstaaten sie in nationales Recht umgesetzt haben. Sie verpflichtet Unternehmen und Behörden, ihre Cyber-Sicherheit systematisch zu organisieren – mit klaren Prozessen, Meldepflichten und Verantwortung auf Management-Ebene.

Für viele Organisationen kommt das einer Zeitenwende gleich: Was früher „Best Practice“ war, wird jetzt Pflicht. Und betroffen sind weit mehr Einrichtungen als bisher – von Energieversorgern über Stadtwerke und Krankenhäuser bis hin zu IT-Dienstleistern und Gemeinden.

Was steckt hinter NIS 2?

NIS 2 steht für „Network and Information Security Directive 2“. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und verfolgt ein klares Ziel:

Ein hohes, einheitliches Cyber-Sicherheitsniveau in der gesamten EU.

Neu ist der deutlich erweiterte Anwendungsbereich und die verbindliche Haftung für das Management. NIS 2 soll sicherstellen, dass nicht nur technische Abwehrmaßnahmen vorhanden sind, sondern auch Governance, Risikomanagement und Lieferkettenkontrolle gelebt werden.

Die Richtlinie ist seit 16. Jänner 2023 in Kraft.

  • In Deutschland wurde das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) im Sommer 2025 beschlossen.
  • In Österreich verzögerte sich die Novelle des NIS-Gesetzes (NISG); eine neue Fassung ist für 2025 in Vorbereitung.

Selbst wenn nationale Gesetze noch in Arbeit sind, gilt: Die Anforderungen stehen fest. Organisationen, die jetzt handeln, sichern sich wertvolle Zeit und Compliance-Vorsprung.

Was verlangt NIS 2 konkret?

Der Kern der Richtlinie besteht aus zehn verpflichtenden Sicherheits- und Organisationsmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen:

  1. Risikoanalyse & Sicherheitsstrategie
  2. Incident-Handling – Erkennung, Reaktion, Wiederherstellung
  3. Business Continuity & Backup-Management
  4. Lieferkettensicherheit
  5. Sichere Entwicklung & Wartung (inkl. Schwachstellenmanagement)
  6. Wirksamkeitsbewertung der Sicherheitsmaßnahmen
  7. Cyber-Hygiene & Schulungen
  8. Zugriffs- und Identitätsmanagement
  9. Kryptographie & Verschlüsselungsrichtlinien
  10. Richtlinien für System- und Netzwerksicherheit

Hinzu kommt eine strenge Meldepflicht bei Sicherheitsvorfällen, die sogenannte 24/72/30-Regel:

  • Innerhalb von 24 Stunden: „Early Warning“ an Behörde oder CSIRT
  • Innerhalb von 72 Stunden: Incident-Meldung mit Erstbewertung
  • Spätestens nach 30 Tagen: Abschluss- oder Fortschrittsbericht

Management in der Verantwortung

Eine der gravierendsten Änderungen betrifft die Geschäftsleitung.

Nach Artikel 20 NIS 2 muss das Management:

  • das Sicherheits-Risikomanagement genehmigen und überwachen,
  • geeignete Maßnahmen einführen und
  • regelmäßig an Schulungen teilnehmen.

Bei Verstößen drohen empfindliche Geldstrafen – und persönliche Haftung der Leitungsebene:

  • Essential Entities: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
  • Important Entities: bis 7 Mio. € oder 1,4 % des Umsatzes

Damit wird Cybersicherheit zur Chefsache – vergleichbar mit Arbeitssicherheit oder Datenschutz.

Bin ich betroffen? – Der schnelle Selbstcheck

  1. Tätig in einem der 18 Sektoren laut NIS 2?
  2. Mehr als 50 Mitarbeitende oder > 10 Mio. € Umsatz?
  3. Erbringe ich kritische Dienstleistungen für Bürger:innen oder Wirtschaft?
  4. Bin ich Lieferant eines betroffenen Unternehmens oder einer Behörde?
  5. Habe ich dokumentierte Prozesse für Risiko- und Incident-Management?

Wenn Sie eine dieser Fragen mit Ja beantworten, ist Ihre Organisation höchstwahrscheinlich im Scope von NIS 2.

Was jetzt zu tun ist

  1. Gap-Analyse durchführen: Welche Anforderungen sind bereits erfüllt, welche fehlen?
  2. Governance anpassen: Rollen, Verantwortlichkeiten, Freigabeprozesse.
  3. Incident-Playbook erstellen: klare Meldewege und Eskalationsstufen.
  4. Lieferantenverträge prüfen: Cyber-Sicherheitsanforderungen verankern.
  5. Management & Mitarbeitende schulen: Bewusstsein schaffen, Haftung vermeiden.

Fazit

NIS 2 ist weit mehr als ein Regulierungsthema – es ist ein Impuls für professionelles Sicherheits- und Risikomanagement.

Organisationen, die heute beginnen, gewinnen nicht nur Rechtssicherheit, sondern auch Vertrauen und Resilienz in einer zunehmend digitalen Welt.

NIS 2 ist gekommen, um zu bleiben – wer jetzt startet, ist im Vorteil.

Ihr erster Schritt

NIS-2 Readiness-Check

Unsere Expert:innen analysieren den Reifegrad Ihrer Organisation – konkret, praxisnah und vertraulich.