Die NIS2-Richtlinie trat im Januar 2023 in Kraft und löste die ursprüngliche NIS1-Richtlinie von 2016 ab. Das war keine kosmetische Überarbeitung. Wer glaubte, NIS2 sei eine aktualisierte Version des Altbekannten, unterschätzt den Bruch: neue Sektoren, neue Schwellenwerte, konkrete Sicherheitspflichten und persönliche Managerhaftung. Dieser Artikel zeigt, was sich geändert hat und warum die Unterschiede für Ihr Unternehmen entscheidend sind.
NIS1 im Rückblick: Das erste europäische Cybersicherheitsgesetz
Die Richtlinie (EU) 2016/1148 – kurz NIS1 – war die erste gesamteuropäische Regelung für die Cybersicherheit kritischer Infrastrukturen. Sie verpflichtete Betreiber wesentlicher Dienste (OES) in sieben Sektoren sowie digitale Diensteanbieter (DSP) zu angemessenen Sicherheitsmaßnahmen und zur Meldung erheblicher Vorfälle.
Das Problem: NIS1 war zu vage. Was „angemessene Maßnahmen“ bedeuteten, blieb den Mitgliedstaaten überlassen. Das Ergebnis war ein Flickenteppich nationaler Umsetzungen, uneinheitlicher Aufsichtsbehörden und kaum vergleichbarer Anforderungsniveaus. Rund 1.800 Unternehmen galten in Deutschland als OES – eine Handvoll im Vergleich zur digitalen Wirtschaft. Die Lehren aus eskalierenden Cyberangriffen, Ransomware-Wellen und dem Angriff auf SolarWinds machten eine Grundsüberarbeitung unausweichlich.
Was genau NIS1 in Deutschland geregelt hatte und was die Grundlagen der NIS2-Richtlinie heute vorschreiben, zeigt der nächste Abschnitt im Vergleich.
Fünf zentrale Änderungen durch NIS2
1. Der Anwendungsbereich wächst drastisch
NIS1 erfasste sieben Sektoren und einen engen Kreis manuell identifizierter OES. NIS2 bricht damit vollständig: 18 Sektoren, unterteilt in 11 „wesentliche“ (Anhang I) und 7 „wichtige“ (Anhang II). Neu dabei: Lebensmittelproduktion, Weltraum, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft sowie verarbeitendes Gewerbe.
Das Entscheidende: Nicht mehr die Behörde bestimmt, wer betroffen ist – sondern eine objektive Größenschwelle. Mittlere Unternehmen (≥50 Mitarbeiter oder ≥10 Mio. € Umsatz) und große Unternehmen (≥250 Mitarbeiter oder ≥50 Mio. € Umsatz) in den erfassten Sektoren fallen automatisch unter NIS2. Schätzungen gehen von rund 29.000 bis 40.000 Unternehmen in Deutschland aus – gegenüber 1.800 unter NIS1.
Ob Ihr Unternehmen betroffen ist, hängt von Sektor, Größe und Dienstleistungsart ab. Eine detaillierte Analyse bietet die Seite zum NIS2-Anwendungsbereich.
2. Zwei Kategorien statt einer
NIS1 unterschied zwischen OES und DSP – mit unterschiedlichen Regeln und Aufsichtsbehörden. NIS2 vereinheitlicht das System: Es gibt nur noch wesentliche Einrichtungen und wichtige Einrichtungen. Beide unterliegen denselben Sicherheitspflichten nach Artikel 21. Der Unterschied liegt in der Aufsichtsintensität:
- Wesentliche Einrichtungen: proaktive Überwachung durch das BSI – unankündigte Vor-Ort-Prüfungen möglich, Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: reaktive Aufsicht – Prüfungen nur bei konkretem Anlass, Bußgelder bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Das frühere DSP-Regime mit separaten, oft milderen Anforderungen entfällt. Cloud-Anbieter, DNS-Resolver und Marktplätze fallen jetzt als „wichtige Einrichtungen“ unter dieselbe Grundpflicht.
3. Konkrete Sicherheitspflichten statt vager Anforderungen
NIS1 sprach von „geeigneten technischen und organisatorischen Maßnahmen“ – ohne diese zu definieren. NIS2 listet in Artikel 21 zehn Pflichtelemente explizit auf:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Schulung und Sensibilisierung
- Kryptographie und Verschlüsselung
- Personalsicherheit und Zugangssteuerung
- Multi-Faktor-Authentifizierung
- Sicherheit im Bereich Daten und Kommunikation
Für wesentliche Einrichtungen schreibt die EU-Durchführungsverordnung CIR 2024/2690 noch detailliertere technische Anforderungen vor. Die vollständige Übersicht über alle NIS2-Anforderungen zeigt, was davon in der Praxis bedeutet.
4. Dreistufige Meldepflichten mit harten Fristen
NIS1 forderte Meldungen „ohne unangemessene Verzögerung“ – interpretierbar und in der Praxis oft wochenlang hinausgezögert. NIS2 setzt klare Fristen:
| Stufe | Frist | Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden | Art des Vorfalls, erste Einschätzung |
| Meldung | 72 Stunden | Schweregrad, Indikatoren (IoC), erster Lagebericht |
| Abschlussbericht | 1 Monat | Ursache, Auswirkung, Gegenmaßnahmen, forensischer Befund |
Alle Meldungen gehen in Deutschland an das BSI über das Meldeportal MELDP. Die Frist beginnt ab dem Moment der Kenntnisnahme – nicht erst ab der vollständigen internen Analyse.
5. Persönliche Haftung der Geschäftsführung
Dies ist die schärfste Neuerung für viele Unternehmen: NIS2 verpflichtet in Artikel 20 die Leitungsebene, Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen. Geschäftsführer und Vorstandsmitglieder können bei grobem Verschulden persönlich haftbar gemacht werden – das BSIG setzt dies in §38 um. Unter NIS1 war das keine europäische Vorgabe; die Umsetzung blieb den Mitgliedstaaten überlassen, die mehrheitlich keine persönliche Managerhaftung einführten.
Die Konsequenz: Cybersicherheit ist keine IT-Angelegenheit mehr, sondern Chefsache.
NIS1 vs. NIS2 im direkten Vergleich
| Kriterium | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Betroffene Unternehmen (DE) | ~1.800 OES | ~30.000–40.000 |
| Sektoren | 7 + 3 DSP | 18 (11 wesentlich + 7 wichtig) |
| Betroffenheit | Behörde benennt OES | Selbstidentifikation nach Schwellenwert |
| Sicherheitspflichten | Vage „angemessene Maßnahmen“ | 10 Pflichtelemente (Art. 21) |
| Meldepflicht | „Ohne unangem. Verzögerung“ | 24 h / 72 h / 1 Monat |
| Managerhaftung | Kein EU-Standard | Persönliche Haftung (Art. 20, §38 BSIG) |
| Bußgelder (wesentliche) | National unterschiedlich | Bis 10 Mio. € oder 2 % Weltumsatz |
| Lieferkettensicherheit | Keine explizite Pflicht | Pflicht gemäß Art. 21 Abs. 2(d) |
| Registrierungspflicht | Nein | Ja – BSI-Meldeportal MELDP |
Warum dieser Wandel unausweichlich war
NIS1 scheiterte nicht an der Idee, sondern an der Ausführung. Cyberangriffe nahmen zwischen 2016 und 2022 exponentiell zu: Ransomware wie WannaCry (2017) und NotPetya (2017) legten Krankenhäuser, Reedereien und Logistikkonzerne lahm. SolarWinds (2020) zeigte, wie gefährlich Lieferketten sind. Gleichzeitig entwickelten sich nationale NIS1-Umsetzungen auseinander – Unternehmen, die grenzüberschreitend arbeiteten, navigierten durch 27 unterschiedliche Anforderungsprofile.
NIS2 antwortet darauf mit einem klaren Rahmen: einheitliche Begriffe, harmonisierte Mindeststandards, EU-weit koordinierte Aufsicht über kritische Einrichtungen. Die Durchführungsverordnung CIR 2024/2690 geht noch einen Schritt weiter und schreibt für besonders kritische Sektoren technische Details vor, die kein Mitgliedstaat eigenmächtig abschwächen kann.
Fazit
Der Unterschied zwischen NIS1 und NIS2 ist nicht graduell – er ist strukturell. NIS1 war ein erster Schritt, der den Mitgliedstaaten viel Spielraum ließ und damit wenig Verbindlichkeit schuf. NIS2 schließt diese Lücken: mehr Unternehmen, klar definierte Pflichten, härtere Fristen, höhere Bußgelder und – erstmals – persönliche Verantwortung der Unternehmensleitung. Wer noch auf dem Niveau von NIS1 denkt, ist nicht auf NIS2-Niveau.
Häufige Fragen
Galt NIS1 auch für mein Unternehmen?
Nur wenn Ihr Unternehmen von einer nationalen Behörde als Betreiber wesentlicher Dienste (OES) benannt wurde oder als digitaler Diensteanbieter (Online-Marktplatz, Cloud, DNS) tätig war. Die meisten mittelständischen Unternehmen waren nicht betroffen.
Wann wurde NIS2 in Deutschland umgesetzt?
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 18. Oktober 2024 in Kraft und aktualisierte das BSIG. Seither gelten die neuen Pflichten unmittelbar.
Muss ich mich beim BSI registrieren, auch wenn ich schon unter NIS1 gemeldet war?
Ja. NIS2 führt eine eigenständige Registrierungspflicht ein. OES-Benennungen unter NIS1 ersetzen diese nicht. Die Registrierung erfolgt über das BSI-Meldeportal MELDP und ist laufend zu pflegen.
Was passiert, wenn ein Unternehmen die NIS2-Anforderungen ignoriert?
Wesentliche Einrichtungen riskieren Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Hinzu kommen mögliche Betriebsaussetzungen, Lizenzentzug und persönliche Haftung der Geschäftsführung nach §38 BSIG.
Quellen
- Europäisches Parlament und Rat. Richtlinie (EU) 2022/2555 (NIS2). EUR-Lex, Januar 2023.
- Europäisches Parlament und Rat. Richtlinie (EU) 2016/1148 (NIS1). EUR-Lex, Juli 2016.
- Bundesamt für Sicherheit in der Informationstechnik (BSI). Informationen zur NIS-2-Richtlinie. BSI.bund.de, 2024.
- European Union Agency for Cybersecurity (ENISA). NIS2 Directive. ENISA.europa.eu, 2023.
