Die NIS-2-Richtlinie oder zweite Richtlinie zur Sicherung von Netz- und Informationssystemen, ausführlich Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, ist eine EU-Richtlinie, die das Niveau der Cyberresilienz in der Union stärken soll.

Sie hebt die Richtlinie (EU) 2016/1148 zur Sicherung von Netz- und Informationssystemen (NIS-Richtlinie)^[1] zum 18. Oktober 2024 auf, die bereits ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union gewährleisten sollte.

Die Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) und die Richtlinie (EU) 2018/1972 (EECC-Richtlinie) werden geändert.

Vor dem Hintergrund einer steigenden Abhängigkeit von digitalen Technologien zeigte die COVID-19-Pandemie auf, wie sensibel digitalisierte Gesellschaften auf unerwartete Risiken reagieren können.^[2] Im Zuge dessen prüfte die Europäische Kommission die bestehende NIS-Richtlinie und stellte folgende Kritikpunkte fest:

• unzureichende Cyberresilienz von Unternehmen, die in der EU tätig sind,
• inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren,
• unzureichendes gemeinsames Verständnis der wichtigsten Bedrohungen und Herausforderungen der Mitgliedstaaten,
• fehlende gemeinsame Krisenreaktion.

Nach diversen Abstimmungsrunden wurde die finale NIS-2-Richtlinie^[3] am 14. Dezember 2022 von der EU-Kommission verabschiedet.

Die Richtlinie verpflichtet die Mitgliedstaaten der Europäischen Union zur Verabschiedung einer nationalen Cybersicherheitsstrategie. Ferner sind nationale Computer Security Incident Response Teams (CSIRTs) zu benennen, die für den Umgang mit Risiken und Störungen zuständig sind. Ein sogenannter Single Point of Contact (SPoC) dient dazu, grenzüberschreitende Zusammenarbeit der Behörden der Mitgliedstaaten sicherzustellen.

Die NIS-2-Richtlinie stellt strengere Anforderungen als die bisherige NIS-Richtlinie an nationale Behörden und vereinheitlicht die Sanktionsmöglichkeiten in den Mitgliedstaaten. Mit der Richtlinie werden strengere Aufsichtsmaßnahmen für die nationalen Behörden, strengere Durchsetzungsanforderungen und eine Harmonisierung der Sanktionsregelungen in allen Mitgliedstaaten eingeführt.

In Österreich mussten die notwendigen nationalen Regelungen in das Netz- und Informationssystemsicherheitsgesetz (NISG) aufgenommen werden.^[4][5] Das NISG 2026 löst das bisherige NISG 2018 ab und erweitert den Anwendungsbereich auf rund 4.000 Unternehmen (Stand 2025) und Einrichtungen ab mittlerer Größe in 18 gesellschaftlich relevanten Sektoren.^[6] Als Aufsichtsbehörde fungiert das neu geschaffene Bundesamt für Cybersicherheit (Cybersicherheitsbehörde)^[7].

Die Richtlinie hätte gemäß Art. 41 bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden müssen. Dazu hat im Juli 2023 das Bundesministerium des Innern und für Heimat einen Referentenentwurf vorgelegt.^[8] Nach einem Werkstattgespräch und einem weiteren Referentenentwurf wurde am 7. Mai 2024 der endgültige Referentenentwurf vorgelegt. Am 24. Juli 2024 wurde der Regierungsentwurf veröffentlicht.^[9]

Deutschland hat die Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten. Durch die Neuwahlen des Bundestags, die am 23. Februar 2025 stattfanden, mussten alle Gesetzentwürfe und andere Vorlagen, die vom alten Bundestag noch nicht beschlossen worden waren, neu eingebracht und verhandelt werden. Der Bundestag verabschiedete das Umsetzungsgesetz am 13. November 2025.^[10] Zeitplan für die Rechtsverordnungen zum Umsetzungsgesetz ist unklar.^[11]

In Deutschland wurde die NIS-2-Richtlinie mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung^[12] umgesetzt. Das Gesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und trat nach seinem Art. 30 am 6. Dezember 2025 in Kraft. Das Artikelgesetz ändert zur Umsetzung der NIS-2-Richtlinie insgesamt 28 bundesdeutsche Gesetze und Verordnungen.^[13] Am 5. Dezember 2025 informierte das Bundesamt für Sicherheit in der Informationstechnik in seiner Pressemitteilung^[14] darüber.

Am 6. März 2026 endete die gesetzliche Registrierungsfrist für Einrichtungen, die nach dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) als „wichtige“ oder „besonders wichtige“ Einrichtungen eingestuft werden. Diese Organisationen mussten sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) registrieren.^[15]

Nach Medienberichten hatten sich bis zum Ablauf der Frist rund 11.500 Einrichtungen registriert. Schätzungen zufolge sind insgesamt etwa 29.850 Organisationen in Deutschland von der Registrierungspflicht betroffen.^[16] Das Bundesamt für Sicherheit in der Informationstechnik rechnet mit weiteren Nachmeldungen nach Ablauf der Frist.^[17]

Anders als etwa in der aufgrund des deutschen BSI-Gesetzes zum Schutz kritischer Infrastrukturen erlassenen Rechtsverordnung von 2016 (BSI-KritisV)^[18] fallen zwar Kultur und Medien, öffentlicher Nahverkehr und Medizingroßhandel nicht in den Anwendungsbereich der NIS-2-Richtlinie, dafür kommen aber neue Bereiche wie Weltraum, Top-Level-Domain-Registrare und Vertrauensdiensteanbieter hinzu.^[19] Der Zuwachs an betroffenen Institutionen erklärt sich in erster Linie damit, dass die aus der BSI-KritisV bekannten Schwellenwerte hier keine Anwendung mehr finden. Zudem gibt es mehrere Abstufungen: Man unterscheidet nun sogenannte wesentliche Einrichtungen von wichtigen Einrichtungen, vornehmlich aufgrund der Mitarbeiterzahl oder des Umsatzes. Wie bisher gibt es auch noch kritische Einrichtungen.^[20]

Die Umsetzung der Richtlinie verpflichtet betroffene Institutionen dazu, sich bei der European Union Agency for Cybersecurity zu registrieren, die nationale Cyber-Security-Behörde unverzüglich über signifikante Störungen, Vorfälle und Cyber Threats ihrer kritischen Dienstleistungen unterrichten, ein Risikomanagement einzurichten und den Stand der Technik in IT-Sicherheit zu implementieren.

Die NIS2-Richtlinie verpflichtet Unternehmen zu strengen Cybersicherheitsmaßnahmen. Haftbar sind in erster Linie die Geschäftsführer bzw. Mitglieder der obersten Leitungsebene. Sie tragen die Verantwortung für Risikomanagement, Sicherheitsmaßnahmen, Meldepflichten und Schulungen. Bei Verstößen drohen behördliche Sanktionen und je nach nationaler Umsetzung, auch persönliche Haftung.^[21][22]

Am 19. November 2025 veröffentlichte die Europäische Kommission einen Vorschlag zur umfassenden Novellierung des europäischen Datenschutzrechts (Digital-Omnibus-Verordnung). Von den vorgeschlagenen Änderungen ist auch die NIS-2-Richtlinie umfasst: Wesentliche und wichtige Einrichtungen sollen Vorfälle künftig über die zentrale Anlaufstelle der Agentur der Europäischen Union für Cybersicherheit an die zuständige nationale Behörde melden.^[23]

Am 20. Januar 2026 veröffentlichte die Europäische Kommission einen weiteren Vorschlag für eine Novelle der NIS-2-Richtlinie (Vorschlag für eine Verordnung zum EU-Rechtsakt zur Cybersicherheit).^[24]

• Melde- und Informationsportal des BSI. Bundesamt für Sicherheit in der Informationstechnik, abgerufen am 3. Oktober 2023. 
• Schwellenwerte aus der BSI-KritisV. Insignals GmbH, abgerufen am 3. Oktober 2023. 
• Ulrich Plate: Cybersicherheit: Was Unternehmen über die NIS2-Richtlinie wissen müssen. In: heise online. Abgerufen am 7. Juni 2024. 
• Prof. Dr. Dennis-Kenji Kipker erklärt NIS2 beim IDW Digital Summit 2024 live aus Köln auf YouTube, 22. November 2024, abgerufen am 1. Dezember 2024.

1. ↑ Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union. In: Amtsblatt der Europäischen Union. L. Nr. 194, 19. Juli 2016, S. 1.
2. ↑ Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS-2-Richtlinie) – FAQ. Abgerufen am 3. Oktober 2023. 
3. ↑ NIS-2-Richtlinie, abgerufen am 3. Oktober 2023
4. ↑ Netz- und Informationssystemsicherheitsgesetz (NISG). Abgerufen am 22. Mai 2024. 
5. ↑ Begutachtungsentwürfe zum Netz- und Informationssystemsicherheitsgesetz 2024. Abgerufen am 22. Mai 2024. 
6. ↑ Cybersicherheits-Richtlinie NIS 2 und NISG 2026. Abgerufen am 16. Januar 2026 (österreichisches Deutsch). 
7. ↑ § 3a NISG 2026
8. ↑ Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) vom 3. Juli 2023. (PDF) Abgerufen am 3. Oktober 2023. 
9. ↑ Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. Bundesministerium des Innern und für Heimat, archiviert vom Original am 14. Februar 2025; abgerufen am 4. März 2025 (deutsch). 
10. ↑ heise online: Kritische Infrastruktur: Bundestag verabschiedet NIS2-Gesetz. 13. November 2025, abgerufen am 14. November 2025. 
11. ↑ https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html#roadmap
12. ↑ Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung - Wortlaut, Änderungen und Begründungen (BGBl. 2025 I Nr. 301, PDF)
13. ↑ Änderungen durch das NIS-2-Richtlinie-Umsetzungsgesetz
14. ↑ Pressemitteilung vom BSI: Cybersicherheitsrecht: NIS-2-Umsetzungsgesetz ab morgen in Kraft. Bundesamt für Sicherheit in der Informationstechnik (BSI), 5. Dezember 2025 Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter. 
15. ↑ Bundesamt für Sicherheit in der Informationstechnik (BSI): Anleitung zur Registrierung für NIS-2-regulierte Unternehmen. https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Registrierung/Anleitung-Registrierung_node.html (abgerufen am 11. März 2026).
16. ↑ „NIS-2: Nur 38,5 % der Unternehmen im BSI-Portal registriert“. Security Insider (dpa), 10. März 2026. https://www.security-insider.de/nis-2-registrierung-bsi-portal-frist-abgelaufen-a-2ceb7fa44eb00c5930848ef965765437/ (abgerufen am 11. März 2026).
17. ↑ Swiss GRC: „Nach der NIS2-Deadline: Zwei Drittel aller Pflichtigen im Verzug – was jetzt?“. https://swissgrc.com/nach-der-nis2-deadline-zwei-drittel-aller-pflichtigen-im-verzug-was-jetzt/ (abgerufen am 11. März 2026).
18. ↑ Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) vom 22. April 2016. Abgerufen am 3. Oktober 2023. 
19. ↑ NIS-2 - Anforderungen und Auswirkungen auf Unternehmen. Abgerufen am 3. Oktober 2023. 
20. ↑ EU NIS 2 Cybersecurity. openkritis.de, abgerufen am 3. Oktober 2023. 
21. ↑ VETOSEC: Haftung nach NIS2: Geschäftsführerhaftung und rechtliche Risiken. Abgerufen am 3. Dezember 2025 (österreichisches Deutsch). 
22. ↑ Richtlinie - 2022/2555 - DE - EUR-Lex. Abgerufen am 16. Januar 2026. 
23. ↑ Vorschlag zur Digital-Omnibus-Verordnung. 19. November 2025, abgerufen am 23. Februar 2026. 
24. ↑ Vorschlag für eine Verordnung zum EU-Rechtsakt zur Cybersicherheit. 20. Januar 2026, abgerufen am 23. Februar 2026. 

Bitte den Hinweis zu Rechtsthemen beachten!