NIS2-Volltext auf EUR-Lex: Wie Sie Artikel 21 und die Anhänge I und II in 5 Minuten finden
Die meisten Compliance-Teams arbeiten mit Zusammenfassungen der NIS2-Richtlinie — mit Beraterübersichten, Blog-Artikeln und Verbandsleitfäden. Das ist nachvollziehbar: Der Originaltext auf EUR-Lex wirkt auf den ersten Blick unübersichtlich. Aber wenn eine Aufsichtsbehörde nachfragt, ein Anwalt ein Gutachten erstellt oder ein Gericht entscheidet, gilt nur eine Quelle: die Richtlinie (EU) 2022/2555 im Amtsblatt der EU.
Dieser Leitfaden zeigt Ihnen genau, wie Sie den NIS2-Volltext auf EUR-Lex finden, die Oberfläche verstehen und gezielt zu Artikel 21 sowie den Anhängen I und II navigieren — in unter fünf Minuten. Außerdem erfahren Sie, welche Version Sie wann nutzen sollten und wie der EU-Richtlinientext mit dem deutschen NIS2-Umsetzungsgesetz (NIS2UmsuCG) zusammenhängt.
Warum der Originaltext der NIS2-Richtlinie entscheidend ist
Sekundärquellen vereinfachen — das ist ihr Wert, aber auch ihre Schwäche. Eine typische Zusammenfassung von Artikel 21 lautet: „Unternehmen müssen zehn Cybersicherheitsmaßnahmen umsetzen.“ Was dabei verloren geht: der rechtliche Spielraum.
Artikel 21 Absatz 1 der Richtlinie verlangt „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ — gemessen am „Stand der Technik“ und unter Berücksichtigung der „Kosten der Umsetzung“. Diese drei Adjektive definieren, wie viel Aufwand für Ihr Unternehmen tatsächlich zumutbar ist. Wer sie nicht kennt, kann seine Compliance-Dokumentation weder richtig formulieren noch gegenüber einem Prüfer begründen.
Konkrete Konsequenz: Das BSI und andere nationale Aufsichtsbehörden zitieren in Prüfberichten den Richtlinientext direkt. Bei der Festsetzung von Bußgeldern nach Artikel 34 — bis zu 10 Mio. Euro oder 2 % des globalen Jahresumsatzes für wesentliche Einrichtungen — ist die Verhältnismäßigkeit gegenüber dem Originaltext zu bewerten, nicht gegenüber vereinfachten Darstellungen.
Der EUR-Lex-Text ist kostenlos, in allen 24 EU-Amtssprachen verfügbar und rechtlich verbindlich.
In drei Schritten zum NIS2-Volltext auf EUR-Lex
Schritt 1: Direkt-URL aufrufen
Der schnellste Weg führt direkt zur deutschen HTML-Version des Volltextes:
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555
Speichern Sie diesen Link als Lesezeichen. Der Parameter CELEX:32022L2555 ist die eindeutige Kennung der NIS2-Richtlinie in der EU-Rechtsdatenbank. Er funktioniert unverändert für alle zukünftigen Abrufe.
Schritt 2: Alternativ über die EUR-Lex-Suche
Wenn Sie über die EUR-Lex-Startseite navigieren: Geben Sie im Suchfeld „32022L2555“ ein. Das erste Treffer führt zur sogenannten ELI-Seite — der Dokumentübersicht mit allen verfügbaren Formaten und Tabs. Die direkte ELI-Adresse für die deutsche Version lautet:
https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=de
Schritt 3: Sprache wählen
EUR-Lex stellt die Richtlinie in allen 24 offiziellen EU-Amtssprachen bereit. Alle Sprachversionen sind rechtlich gleich verbindlich. Die Sprachauswahl erfolgt auf der ELI-Seite über das Sprachmenü oben rechts. Für die tägliche Arbeit in deutschen Unternehmen ist die deutschsprachige Version in der Regel die Referenz; bei Auslegungsfragen kann der Vergleich mit der englischen oder französischen Fassung hilfreich sein.
Der Originaltext wurde am 27. Dezember 2022 im Amtsblatt der EU (L 333, S. 80–152) veröffentlicht.
Die EUR-Lex-Oberfläche verstehen — Tabs, Formate und die Sprachauswahl
Wer zum ersten Mal auf der ELI-Seite der Richtlinie landet, sieht fünf Tabs. Jeder hat eine spezifische Funktion:
| Tab | Inhalt und Verwendung |
|---|---|
| Text | Volltext in HTML oder PDF — Ihr primäres Ziel. Klick auf „HTML“ öffnet den Fließtext; „PDF“ lädt die Druckversion. |
| Dokumenteninformation | CELEX-Nummer, Fundstelle im Amtsblatt, Datum des Inkrafttretens, Beziehungen zu anderen Rechtsakten (Vorgänger, Änderungen). |
| Verfahren | Gesetzgebungsverfahren: beteiligte Ausschüsse, Lesungen, Stellungnahmen. |
| Nationale Umsetzung | Welche EU-Mitgliedstaaten die Richtlinie bereits in nationales Recht umgesetzt haben — mit Links zu den Umsetzungsgesetzen. Für Deutschland erscheint hier das NIS2UmsuCG. |
| Dokumentzusammenfassungen | EUR-Lex-eigene Kurzfassung des Inhalts — ein guter Einstieg, ersetzt aber nicht den Volltext. |
Besonders nützlich für Compliance-Teams: Der Tab „Nationale Umsetzung“ zeigt auf einen Blick, ob und wie Deutschland und andere EU-Länder die Richtlinie umgesetzt haben. So sehen Sie, welches nationale Gesetz welche Richtlinienartikel umsetzt — ohne separate Suche.
HTML oder PDF?
Beide Formate enthalten denselben rechtlich verbindlichen Text. Der Unterschied liegt im Verwendungszweck:
- HTML-Version: Optimal für die Navigation. Die Browsersuche (Strg+F / Cmd+F) funktioniert direkt — damit springen Sie in Sekunden zu jedem Artikel. Links auf bestimmte Textstellen sind möglich.
- PDF-Version: Ideal für Offline-Archivierung, Ausdrucke und die Weitergabe an Management oder externe Berater, die keine Internetverbindung benötigen.
Aufbau der Richtlinie (EU) 2022/2555 — 46 Artikel in 9 Kapiteln
Die Richtlinie ist kein monolithischer Block, sondern klar strukturiert. Sie besteht aus einer umfangreichen Präambel (Erwägungsgründe), 46 Artikeln in 9 Kapiteln und drei Anhängen. Für Compliance-Zwecke ist vor allem Kapitel IV relevant.
| Kapitel | Artikel | Inhalt |
|---|---|---|
| I | 1–6 | Allgemeine Bestimmungen: Anwendungsbereich, Definitionen, Ausnahmen |
| II | 7–12 | Nationale Cybersicherheitsrahmen: Strategien, CSIRTs, nationale Koordinierung |
| III | 13–19 | Zusammenarbeit auf EU-Ebene: CyCLONe-Netzwerk, Peer Reviews |
| IV | 20–26 | Risikomanagement und Meldepflichten ← Kernkapitel für Compliance |
| V | 27–28 | Zuständigkeit und Registrierung betroffener Einrichtungen |
| VI | 29 | Freiwilliger Informationsaustausch zwischen Einrichtungen |
| VII | 30–36 | Aufsicht und Durchsetzung: Befugnisse der Behörden, Sanktionen |
| VIII | 37–39 | Delegierte Rechtsakte und Durchführungsrechtsakte der Kommission |
| IX | 40–46 | Übergangs- und Schlussbestimmungen |
Kapitel IV enthält die für Unternehmen unmittelbar handlungsrelevanten Artikel:
- Artikel 20: Governance — persönliche Haftung der Geschäftsleitung
- Artikel 21: Die 10 Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- Artikel 22: Koordinierte Risikobewertungen kritischer Lieferketten
- Artikel 23: Meldepflichten bei erheblichen Sicherheitsvorfällen
- Artikel 24: Verwendung europäischer Sicherheitszertifizierungssysteme
- Artikel 25: Technische und methodische Anforderungen (Durchführungsrechtsakte)
- Artikel 26: Spezifische Anforderungen an DNS-Diensteanbieter
Zur Präambel: Die Erwägungsgründe sind nicht bindend, erläutern aber den Gesetzgebungszweck und werden von Behörden und Gerichten zur Auslegung herangezogen. Lesen Sie insbesondere die Erwägungsgründe zu Artikel 21 — sie erläutern, was „Stand der Technik“ im Kontext der Richtlinie bedeutet.
Direktzugang zu Artikel 21 — die 10 Risikomanagementmaßnahmen
In der HTML-Version: Drücken Sie Strg+F (Windows) oder Cmd+F (Mac) und suchen Sie nach „Artikel 21“. Da die Richtlinie viele Querverweise enthält, erscheint der Begriff mehrfach — springen Sie zum Treffer unter der Überschrift „Kapitel IV“.
Artikel 21 Absatz 1 definiert den allgemeinen Maßstab: Maßnahmen müssen geeignet, verhältnismäßig und dem Stand der Technik entsprechend sein — unter Berücksichtigung der Kosten der Umsetzung. Dieser Verhältnismäßigkeitsgrundsatz ist der zentrale Spielraum, den das Gesetz lässt.
Artikel 21 Absatz 2 listet 10 spezifische Mindestanforderungen, die im Rahmen eines gefahrenübergreifenden Ansatzes umgesetzt werden müssen:
| Art. 21(2) | Anforderung | Compliance-Implikation |
|---|---|---|
| (a) | Konzepte zur Risikoanalyse und IT-Sicherheit | Schriftliche Risikoanalyse und Sicherheitskonzept erforderlich |
| (b) | Bewältigung von Sicherheitsvorfällen | Dokumentierter Incident-Response-Plan |
| (c) | Aufrechterhaltung des Betriebs, Backup, Disaster Recovery, Krisenmanagement | BCP und DR-Plan mit Wiederanlaufzielen (RTO/RPO) |
| (d) | Sicherheit der Lieferkette inkl. Dienstleister | Sicherheitsklauseln in Lieferantenverträgen |
| (e) | Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen; Schwachstellenmanagement | Secure Development Life Cycle, Patch-Management-Prozess |
| (f) | Bewertung der Wirksamkeit der Maßnahmen | Regelmäßige Audits, Penetrationstests, KPI-Tracking |
| (g) | Grundlegende Cyber-Hygiene und Cybersicherheitsschulungen | Pflichtschulungen für alle Mitarbeitenden nachweisbar durchführen |
| (h) | Kryptografie und Verschlüsselung | Schriftliche Verschlüsselungsrichtlinie |
| (i) | Personalsicherheit, Zugangssteuerung, Asset-Management | IAM-Konzept, Onboarding/Offboarding-Prozess |
| (j) | Multi-Faktor-Authentifizierung, kontinuierliche Authentifizierung, gesicherte Kommunikation | MFA für alle kritischen Systeme und privilegierten Zugänge |
Wichtig für Deutschland: Artikel 21 der EU-Richtlinie ist im deutschen Recht durch § 30 BSIG (NIS2UmsuCG) umgesetzt. Wenn Ihr Rechtsberater § 30 BSIG zitiert, meint er inhaltlich denselben Maßnahmenkatalog wie Artikel 21(2)(a)–(j). Das BSI bietet mit der Publikationsreihe #nis2know und dem BSI-Standard 200-3 konkrete Orientierung zur Umsetzung dieser Anforderungen.
Mehr zu den konkreten Umsetzungsanforderungen finden Sie in unserem Leitfaden zu den NIS2-Anforderungen.
Anhang I und II auf EUR-Lex finden — welche Sektoren betroffen sind
Die Anhänge befinden sich am Ende des HTML-Dokuments. Drücken Sie Strg+F und suchen Sie nach „ANHANG I“. Die Anhänge sind in Großbuchstaben gesetzt und damit leicht auffindbar.
Anhang I — Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
| Sektor | Beispiele aus Anhang I |
|---|---|
| Energie | Strom, Fernwärme/-kälte, Öl, Gas, Wasserstoff |
| Verkehr | Luftfahrt, Eisenbahn, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Hersteller kritischer Medizinprodukte |
| Trinkwasser und Abwasser | Wasserversorgung und -entsorgung |
| Digitale Infrastruktur | DNS-Anbieter, TLD-Register, Cloud, Rechenzentren, CDN, Vertrauensdiensteanbieter |
| IKT-Dienstemanagement (B2B) | Managed Service Provider, Managed Security Service Provider |
| Öffentliche Verwaltung | Zentral- und Regionalverwaltungen |
| Weltraum | Erdgestützte Infrastrukturen für weltraumgestützte Dienste |
Anhang II — Sonstige kritische Sektoren (wichtige Einrichtungen)
| Sektor |
|---|
| Post- und Kurierdienste |
| Abfallbewirtschaftung |
| Herstellung, Erzeugung und Vertrieb von Chemikalien |
| Herstellung, Verarbeitung und Vertrieb von Lebensmitteln |
| Verarbeitendes Gewerbe / Herstellung von Waren (neun Subsektoren, darunter Maschinenbau, Fahrzeugbau, Elektronik) |
| Digitale Anbieter (Online-Marktplätze, Suchmaschinen, Social-Media-Plattformen) |
| Forschungseinrichtungen |
Die Zugehörigkeit zu Anhang I oder II entscheidet über Ihre Einordnung als „wesentliche“ oder „wichtige“ Einrichtung — mit unterschiedlichen Bußgeldobergrenzen und Intensität der Aufsicht. Eine detaillierte Analyse dieser Unterscheidung finden Sie in unserem Beitrag über den Anwendungsbereich der NIS2-Richtlinie.
Anhang III enthält die Korrelationstabelle zwischen der alten NIS1-Richtlinie (2016/1148) und der NIS2 — nützlich für Organisationen, die bereits unter NIS1 reguliert waren und den Übergang dokumentieren müssen.
EU-Richtlinie vs. NIS2UmsuCG — was sich für Deutschland ändert
Eine EU-Richtlinie richtet sich an die Mitgliedstaaten, nicht direkt an Unternehmen. Erst durch nationales Umsetzungsgesetz werden die Pflichten unmittelbar bindend. In Deutschland ist das das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das am 6. Dezember 2025 in Kraft getreten ist und rund 29.500 Unternehmen betrifft — verglichen mit rund 4.500 unter dem alten BSI-Gesetz.
Auf EUR-Lex sehen Sie unter dem Tab „Nationale Umsetzung“, welche deutschen Gesetze die Richtlinie umsetzen. Das deutsche Recht geht in einigen Punkten über die EU-Mindestvorgaben hinaus — etwa bei den Registrierungsfristen und dem Umfang der betroffenen Sektoren.
Drei zentrale Pflichten für deutsche Unternehmen laut NIS2UmsuCG:
- Registrierung beim BSI (über „Mein Unternehmenskonto“ und das BSI-Portal)
- Meldepflicht erheblicher Sicherheitsvorfälle beim BSI (Frühwarnung innerhalb von 24 Stunden)
- Risikomanagementmaßnahmen gemäß § 30 BSIG implementieren und dokumentieren
Das BSI bringt es auf den Punkt: „Die NIS-2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache.“ Geschäftsführung und Vorstand haften persönlich für die Umsetzung — Artikel 20 der Richtlinie regelt diese Governance-Pflicht explizit. Eine praktische Schritt-für-Schritt-Anleitung zur deutschen Umsetzung finden Sie in unserem NIS2-Umsetzungsleitfaden.
Wann welche Version? HTML, PDF und der konsolidierte Text
EUR-Lex stellt die Richtlinie in mehreren Versionen bereit. Welche Sie wählen, hängt vom Zweck ab:
| Version | Beste Verwendung |
|---|---|
| HTML-Original | Navigation, interne Verlinkung, Strg+F-Suche nach Artikeln |
| PDF-Original | Offline-Archivierung, Ausdrucke, Management-Berichte |
| Konsolidierter Text | Für Compliance-Dokumentation — enthält alle Berichtigungen (Corrigenda) |
Was ist der konsolidierte Text? Neben dem Originaltext veröffentlicht EUR-Lex eine konsolidierte Fassung, in die alle Berichtigungen eingearbeitet wurden. Für die Richtlinie (EU) 2022/2555 gibt es mehrere Corrigenda — Korrekturen von Formulierungsfehlern im Originaltext. Für Compliance-Dokumentation empfiehlt sich stets der konsolidierte Text, da er alle Korrekturen bereits enthält. Sie finden ihn auf der ELI-Seite unter dem Tab „Dokumenteninformation“ oder direkt über:
https://eur-lex.europa.eu/eli/dir/2022/2555/2022-12-27/eng
Hinweis: Der konsolidierte Text auf EUR-Lex ist inoffiziell — rechtlich bindend ist stets der im Amtsblatt veröffentlichte Originaltext. Für Gerichtsverfahren immer die Originalfassung (L 333/2022) zitieren.
Häufige Fragen zum NIS2-Volltext auf EUR-Lex
Ist der EUR-Lex-Text kostenlos?
Ja. EUR-Lex ist vollständig kostenlos und ohne Registrierung zugänglich. Die Richtlinie (EU) 2022/2555 steht in allen 24 EU-Amtssprachen als HTML und PDF zum kostenlosen Download bereit.
Welche Sprachversion ist rechtlich maßgeblich?
Alle 24 Sprachversionen sind gleich verbindlich. Bei Auslegungsfragen kann der Vergleich zwischen der deutschen, englischen und französischen Fassung hilfreich sein. Im Streitfall entscheidet der Europäische Gerichtshof — auf Basis aller Sprachversionen.
Was ist der Unterschied zwischen CELEX 32022L2555 und dem konsolidierten Text?
CELEX 32022L2555 ist der Originaltext vom 27. Dezember 2022, genau so wie er im Amtsblatt veröffentlicht wurde. Der konsolidierte Text enthält denselben Inhalt, aber mit eingearbeiteten Berichtigungen. Für die tägliche Compliance-Arbeit verwenden Sie den konsolidierten Text; für gerichtliche Referenzen zitieren Sie den Originaltext mit Amtsblattfundstelle.
Wo finde ich das deutsche NIS2-Umsetzungsgesetz?
Das NIS2UmsuCG ist auf dem Bundesgesetzblatt-Portal unter Bundesgesetzblatt 2025 I Nr. 301 verfügbar. Es ist seit dem 6. Dezember 2025 in Kraft. Die Zuordnung zur EU-Richtlinie sehen Sie auch im Tab „Nationale Umsetzung“ der EUR-Lex-Seite.
Gibt es eine offizielle Kurzfassung der Richtlinie?
Ja — EUR-Lex selbst bietet unter dem Tab „Dokumentzusammenfassungen“ eine strukturierte Übersicht der wichtigsten Inhalte. Diese Zusammenfassung ist nicht rechtlich bindend, aber ein guter Einstieg vor der Lektüre des Volltextes.
Hat sich der Richtlinientext nach der Veröffentlichung inhaltlich geändert?
Nein. Inhaltliche Änderungen der Richtlinie setzen ein neues Gesetzgebungsverfahren auf EU-Ebene voraus. Die veröffentlichten Berichtigungen (Corrigenda) korrigieren ausschließlich Formulierungsfehler und Druckfehler aus dem Originaltext — keine inhaltlichen Anforderungen.
Dieser Artikel stellt allgemeine Informationen bereit und ist keine Rechts- oder Compliance-Beratung. Die Anforderungen können je nach Rechtsordnung und Unternehmenstyp variieren. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.
Quellen
- Richtlinie (EU) 2022/2555 — Volltext HTML (Deutsch) — EUR-Lex
- Richtlinie (EU) 2022/2555 — ELI-Übersichtsseite — EUR-Lex
- Richtlinie (EU) 2022/2555 — PDF (Deutsch) — EUR-Lex
- Cybersicherheit von Netz- und Informationssystemen — Zusammenfassung — EUR-Lex
- Richtlinie (EU) 2022/2555 — Konsolidierter Text — EUR-Lex
- NIS-2-Umsetzungsgesetz ab 06.12.2025 in Kraft — BSI
- NIS-2-regulierte Unternehmen — BSI
- Artikel 21 NIS2 — Risikomanagementmaßnahmen im Bereich der Cybersicherheit — buzer.de
