Die NIS2-Richtlinie ist seit Januar 2023 in Kraft, doch viele Unternehmen kennen den Originaltext noch nicht aus erster Hand. Der NIS2-Volltext – offiziell „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates“ – ist auf EUR-Lex kostenfrei in allen EU-Amtssprachen verfügbar. Dieser Beitrag zeigt Ihnen, wo Sie die deutsche Fassung finden, wie die Richtlinie aufgebaut ist und welche ergänzenden Dokumente Sie für eine solide Compliance-Grundlage benötigen.
Was ist der NIS2-Volltext?
Der NIS2-Volltext ist das amtliche EU-Rechtsdokument mit der CELEX-Nummer 32022L2555. Es wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen.
Deutschland hat die Umsetzung mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vorgenommen, das das BSI-Gesetz (BSIG) weitgehend neu gefasst hat. Wenn Sie also rechtssicher argumentieren wollen, lesen Sie sowohl den EU-Volltext als auch das deutsche BSIG in seiner aktuellen Fassung.
Der Volltext umfasst 46 Artikel in sieben Kapiteln sowie zwei Anhänge, die die betroffenen Sektoren festlegen. Hinzu kommen 145 Erwägungsgründe, die als Auslegungshilfe dienen. Mehr zu den rechtlichen Grundlagen der NIS2-Richtlinie finden Sie in unserem Grundlagen-Leitfaden.
Den offiziellen NIS2-Volltext auf EUR-Lex finden
EUR-Lex ist das offizielle Rechtsportal der Europäischen Union und die einzige verbindliche Quelle für den NIS2-Volltext. Die deutsche Fassung steht hier kostenfrei zum Download:
→ NIS2-Richtlinie (EU) 2022/2555 – Deutsche Fassung auf EUR-Lex
So navigieren Sie auf EUR-Lex:
- Klicken Sie oben rechts auf „HTML“ für die Browser-Ansicht oder „PDF“ für den Download als Datei.
- Das Inhaltsverzeichnis am linken Rand führt Sie direkt zu einzelnen Kapiteln und Artikeln.
- Die CELEX-Nummer 32022L2555 identifiziert das Dokument eindeutig – nutzen Sie sie, wenn Sie in Datenbanken, Zitationstools oder internen Dokumenten auf den Volltext verweisen.
- Die Volltextsuche im Browser (Strg+F) ist für die tägliche Arbeit unverzichtbar: Suchen Sie nach Artikelnummern (z. B. „Art. 21″), Sektorbegriffen (z. B. „Energie“, „Gesundheit“) oder Schlüsselbegriffen (z. B. „Meldepflicht“, „Leitungsorgan“).
Hinweis zur Verbindlichkeit: Alle Sprachfassungen einer EU-Richtlinie sind gleichermaßen verbindlich. Für die Auslegung in Deutschland hat die deutsche Fassung Vorrang vor inoffiziellen Übersetzungen, die im Internet kursieren.
Die Struktur der Richtlinie: Was Sie wo finden
Um den NIS2-Volltext effizient zu nutzen, hilft ein Überblick über die Kapitelstruktur:
| Kapitel | Inhalt | Wichtigste Artikel |
|---|---|---|
| I – Allgemeine Bestimmungen | Zweck, Geltungsbereich, Definitionen | Art. 1–6 |
| II – Koordinierungsrahmen | NIS-Kooperationsgruppe, CSIRT-Netz, ENISA-Rolle | Art. 7–19 |
| III – Risikomanagement und Meldepflichten | Kernpflichten: Sicherheitsmaßnahmen, Vorfallmeldung | Art. 20–26 |
| IV – Berichterstattung | Länder-Reviews, ENISA-Berichte | Art. 27–31 |
| V – Zuständige Behörden und Aufsicht | BSI-Äquivalente, Durchsetzungsbefugnisse, Bußgelder | Art. 32–38 |
| VI – Informationsaustausch | Freiwillige Meldungen, Informationsplattformen | Art. 39–40 |
| VII – Schlussbestimmungen | Übergangsfristen, Aufhebung NIS1 | Art. 41–46 |
Für die Compliance-Praxis sind vor allem diese Artikel relevant:
- Art. 3: Wer gilt als wesentliche bzw. wichtige Einrichtung? (Einrichtungskategorien)
- Art. 20: Verantwortung der Leitungsorgane – Schulungspflichten des Managements
- Art. 21: Die 10 Sicherheitsmaßnahmen im Risikomanagement
- Art. 23: Meldepflichten bei Sicherheitsvorfällen (24h/72h/30 Tage)
- Anhang I: Sektoren für wesentliche Einrichtungen (Energie, Verkehr, Gesundheit, Banken u. a.)
- Anhang II: Sektoren für wichtige Einrichtungen (Maschinenbau, Chemie, Lebensmittel, Postdienste u. a.)
Einen strukturierten Überblick über die technischen und organisatorischen Anforderungen nach Art. 21 NIS2 bietet unser Anforderungsleitfaden.
CIR 2024/2690: Die technische Durchführungsverordnung
Parallel zum NIS2-Volltext ist die Durchführungsverordnung (EU) 2024/2690 der Kommission (kurz: CIR 2024/2690) ein unverzichtbares Dokument. Sie konkretisiert die technischen und methodischen Anforderungen aus Art. 21 NIS2 für bestimmte Anbietertypen und gilt seit dem 7. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten – ohne nationalen Umsetzungsspielraum. Als EU-Verordnung überlagert sie abweichende nationale Regelungen.
→ CIR 2024/2690 – Durchführungsverordnung zur NIS2 – Deutsche Fassung auf EUR-Lex
Wen betrifft die CIR direkt? Die Durchführungsverordnung gilt für:
- DNS-Resolver, TLD-Registries und Domain-Registrare
- Anbieter von Cloud-Computing-Diensten (IaaS, PaaS, SaaS)
- Anbieter von Rechenzentrumsdiensten
- Anbieter von CDN-Diensten (Content Delivery Networks)
- Managed Security Service Provider (MSSP)
- Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerke
Für diese Kategorien gilt die CIR als lex specialis – sie geht allgemeineren nationalen Regelungen vor. Unser Leitfaden zur NIS2-Durchführungsverordnung CIR 2024/2690 erklärt die Anforderungen und Anhänge im Detail.
ENISA-Leitfäden als Auslegungshilfe
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) veröffentlicht Auslegungshilfen und Best-Practice-Dokumente, die bei der praktischen Umsetzung der NIS2-Anforderungen unterstützen. Diese Dokumente sind keine verbindlichen Rechtsakte, spiegeln aber den anerkannten Stand der Technik und die Erwartungen der Aufsichtsbehörden wider.
→ ENISA – NIS2-Guidance und Publikationen (enisa.europa.eu)
Besonders relevante ENISA-Publikationen für die Praxis:
- ENISA Threat Landscape (jährlich): Aktuelle Bedrohungen und Angriffsmuster – Grundlage für die Risikoanalyse nach Art. 21 NIS2
- Guidelines on Security Measures: Auslegung der 10 Sicherheitsbereiche aus Art. 21 mit konkreten Implementierungsempfehlungen
- Good Practices for Security of Smart Hospitals: Sektor Gesundheit
- Cloud Security Guide for SMEs: Orientierungshilfe für kleinere Unternehmen ohne eigene IT-Sicherheitsabteilung
Hinweis: Die ENISA-Webseite ist primär in englischer Sprache. Viele Kernpublikationen sind jedoch als PDF mit deutschen Zusammenfassungen oder über den EUR-Lex-Querverweis zugänglich.
Von der Lektüre zur Umsetzung
Den NIS2-Volltext zu kennen ist der erste Schritt – die anspruchsvollere Aufgabe ist die Übersetzung abstrakter Anforderungen in konkrete Maßnahmen. Die Artikel der Richtlinie beschreiben Pflichten auf einer generellen Ebene; was technisch und organisatorisch umzusetzen ist, erschließt sich erst in der Zusammenschau mit:
- Den nationalen Regelungen (NIS2UmsuCG, BSIG): Deutschland hat bestimmte Anforderungen konkretisiert, etwa die BSI-Registrierungspflicht und die Bußgeldhöhen.
- Der CIR 2024/2690: Für betroffene Digitaldienstleister unmittelbar bindend und dem nationalen Recht vorrangig.
- BSI-Technischen Richtlinien: Konkrete Umsetzungsvorgaben für spezifische Maßnahmen (z. B. TR-03116 für Kryptographie).
- Sektorspezifischen Regelungen: Energie (EnWG), Gesundheit (SGB V, MDR), Finanzen (DORA) – NIS2 gilt parallel zu bestehenden Sektorregelungen, nicht anstelle davon.
Empfohlene Reihenfolge für den Einstieg:
- Betroffenheit klären: Sektor prüfen (Anhang I oder II), Schwellenwerte prüfen (≥50 Mitarbeiter oder ≥10 Mio. € Umsatz für wichtige Einrichtungen; ≥250 Mitarbeiter oder ≥50 Mio. € für wesentliche Einrichtungen)
- Art. 21 als Checkliste verwenden: 10 Sicherheitsbereiche systematisch durcharbeiten
- CIR-Relevanz für Ihren Anbietertyp prüfen
- BSI-Registrierung einleiten (Pflicht seit 1. April 2026 für wesentliche Einrichtungen)
- Risikoanalyse aufsetzen – z. B. nach ISO 27001 oder BSI-Grundschutz
Häufige Fragen zum NIS2-Volltext
Ist der NIS2-Volltext auf Deutsch verfügbar?
Ja. EUR-Lex stellt die verbindliche deutsche Amtsblattfassung kostenfrei zum Download bereit. Die CELEX-Nummer lautet 32022L2555.
Gilt die Richtlinie direkt oder muss sie erst umgesetzt werden?
EU-Richtlinien gelten nicht unmittelbar – Mitgliedstaaten müssen sie in nationales Recht überführen. Deutschland hat dies mit dem NIS2UmsuCG getan. Die CIR 2024/2690 ist hingegen als EU-Verordnung seit dem 7. Januar 2025 direkt anwendbar.
Welche Version ist aktuell?
Stand Juni 2026 ist die Richtlinie (EU) 2022/2555 in ihrer Ursprungsfassung in Kraft. Änderungsverfahren sind bisher nicht eingeleitet worden. Verfolgen Sie Aktualisierungen direkt auf EUR-Lex.
Muss ich als Unternehmen den Volltext lesen?
Rechtlich verpflichtend ist die Compliance – nicht die Lektüre des Originaltexts. Dennoch empfiehlt es sich, zumindest Art. 3 (Betroffenheit), Art. 20–21 (Pflichten) sowie Anhang I und II (Sektoreinteilung) zu kennen. Alles weitere lässt sich mit kommentierenden Leitfäden erschließen.
Gibt es eine kommentierte Fassung auf Deutsch?
Eine offizielle kommentierte Fassung existiert nicht. EUR-Lex verknüpft jedoch Erwägungsgründe mit dem Normtext, was die Auslegung erleichtert. Fachverlage (z. B. Beck, Nomos) bieten kostenpflichtige Kommentare zum BSIG an.
