NIS 2 Richtlinie: Leitfaden für betroffene Unternehmen
Die NIS-2-Richtlinie der EU verpflichtet tausende Unternehmen in Deutschland und Österreich zu konkreten Cybersicherheitsmaßnahmen. Dieser Artikel erklärt, wen NIS 2 betrifft, welche Pflichten entstehen und wie die Umsetzung gelingt.
Was ist die NIS-2-Richtlinie?
NIS 2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die am 16. Januar 2023 in Kraft getreten ist. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert deren Anwendungsbereich erheblich.
Ziel ist es, ein einheitliches, hohes Cybersicherheitsniveau in der gesamten EU zu schaffen. Dazu legt NIS 2 verbindliche Mindestanforderungen für Risikomanagement, Meldepflichten und technische Schutzmaßnahmen fest.
▶︎ Mehr lesen: Einsatzgebiete von safeREACH
1.666 Alarme pro Sekunde
safeREACH als Ihr leistungsstarkes Alarmierungssystem mit bis zu 100.000 Alarmen pro Minute. Erfolgreich im Einsatz bei multinationalen Konzernen, mittelständischen Unternehmen & Behörden. ISO-zertifizierte Server-Infrastruktur.
Nationale Umsetzung: Deutschland und Österreich
| Land | Gesetz | In Kraft | Maßnahmenparagraph |
|---|---|---|---|
| Deutschland 🇩🇪 | NIS2UmsuCG | Dezember 2025 | § 30 NIS2UmsuCG |
| Österreich 🇦🇹 | NISG 2026 | Oktober 2026 | § 33 NISG 2026 |
Deutschland: NIS2UmsuCG
Deutschland hat NIS 2 mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das seit Dezember 2025 in Kraft ist. Die Umsetzungspflichten für betroffene Unternehmen sind in § 30 NIS2UmsuCG geregelt, die persönliche Governance-Verantwortung der Geschäftsführung in § 38 BSIG.
Österreich: NISG 2026
Österreich setzt NIS 2 mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) um, voraussichtlich ab Oktober 2026. Zuständige Aufsichtsbehörde wird das neu errichtete Bundesamt für Cybersicherheit. Die Risikomanagementpflichten sind in § 33 NISG 2026 geregelt, die Governance-Verantwortung der Leitungsorgane in § 31, die Meldepflichten in § 34. Österreich verzichtet bewusst auf ein Gold Plating und orientiert sich eng an den EU-Mindestvorgaben.
▶︎ Mehr lesen: KRITIS Dachgesetz
Wen betrifft NIS 2?
NIS 2 unterscheidet zwischen zwei Kategorien betroffener Einrichtungen:
Wesentliche Einrichtungen (Essential Entities)
Große Unternehmen (ab 250 Mitarbeiter oder über 50 Mio. EUR Umsatz) in besonders kritischen Sektoren: Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt.
Wichtige Einrichtungen (Important Entities)
Mittlere Unternehmen (ab 50 Mitarbeiter oder über 10 Mio. EUR Umsatz) in weiteren Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, Anbieter digitaler Dienste und mehr.
Wichtig:
In Deutschland sind laut Schätzungen des BSI rund 29.500 Unternehmen neu von NIS 2 betroffen – das ist eine 15-fache Ausweitung gegenüber der bisherigen KRITIS-Regulierung. Viele Unternehmen im Mittelstand wissen noch nicht, dass sie betroffen sind.
▶︎ Mehr zum Thema: Warum war die Anpassung von NIS auf NIS 2 nötig?
Mehr als 20 Jahre Erfahrung beim Alarmieren
IT-Alarmierung, Brandalarm, Betriebliche Ersthelfer alarmieren und vieles mehr. ISO-zertifizierte Server-Infrastruktur. Im Einsatz bei KMUs, Konzernen, Behörden und öffentlichen Organisationen.
Welche Pflichten entstehen?
Risikomanagementmaßnahmen (§ 30 NIS2UmsuCG)
Betroffene Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um Risiken für ihre Netz- und Informationssysteme zu beherrschen. § 30 NIS2UmsuCG definiert dafür einen Mindeststandard aus 10 Maßnahmenbereichen.
Meldepflicht bei Sicherheitsvorfällen (Art. 23 NIS2)
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige nationale Behörde (in Deutschland: BSI) gemeldet werden. Innerhalb von 72 Stunden folgt ein detaillierter Bericht.
Persönliche Haftung der Geschäftsführung (§ 38 BSIG)
Besonders relevant für Entscheider: § 38 BSIG verpflichtet Geschäftsführer und Vorstände, die Umsetzung der NIS2-Maßnahmen persönlich zu billigen und zu überwachen. Bei Verstößen haften sie mit ihrem Privatvermögen – ein Haftungsausschluss ist nicht möglich.
▶︎ Mehr lesen: Warum ist ein effektives IT-Incident-Management für Unternehmen so wichtig?
§ 30 NIS2UmsuCG: Die 10 Maßnahmen im Überblick
§ 30 Abs. 2 NIS2UmsuCG listet konkret, welche technischen und organisatorischen Maßnahmen Unternehmen umsetzen müssen. Besonders relevant für die Notfallkommunikation ist Maßnahme 9:
§ 30 Abs. 2 Nr. 9 NIS2UmsuCG
"Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung."
Dieser Paragraph ist die direkte gesetzliche Grundlage für den Einsatz eines Notfallkommunikationssystems. Er verlangt ausdrücklich gesicherte Kommunikationswege, die unabhängig von der regulären IT-Infrastruktur funktionieren.
| Maßnahme nach § 30 NIS2UmsuCG | safeREACH-Beitrag |
|---|---|
| 1. Risikoanalyse & Sicherheit für Informationssysteme | Dokumentation von Vorfällen via Audit-Log |
| 2. Bewältigung von Sicherheitsvorfällen (Incident Handling) | Strukturierter Alarmprozess mit Eskalationslogik |
| 3. Aufrechterhaltung des Betriebs (Business Continuity) | Alarmierung funktioniert unabhängig von interner IT |
| 4. Sicherheit der Lieferkette | - |
| 5. Sicherheit bei Erwerb, Entwicklung und Wartung | - |
| 6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen | Audit-Log als Grundlage für Wirksamkeitsprüfung |
| 7. Grundlegende Cyberhygiene und Schulungen | - |
| 8. Kryptografie und Verschlüsselung | - |
| 9. Gesicherte Notfallkommunikationssysteme | Kernfunktion von safeREACH: gesicherte, unabhängige Notfallkommunikation mit Bestätigungsfunktion |
| 10. Multi-Faktor-Authentifizierung | - |
Hinweis: safeREACH adressiert 5 der 10 Maßnahmenbereiche direkt. Eine vollständige NIS2-Compliance erfordert zusätzlich Maßnahmen in den Bereichen Kryptografie, Lieferkettensicherheit, Beschaffung, Cyberhygiene-Schulungen und MFA - diese liegen in anderen Produktkategorien.
▶︎ Mehr lesen: Wie eine Alarmierungssoftware wie safeREACH wertvolle Zeit spart
1.666 Alarme pro Sekunde
safeREACH als Ihr leistungsstarkes Alarmierungssystem mit bis zu 100.000 Alarmen pro Minute. Erfolgreich im Einsatz bei multinationalen Konzernen, mittelständischen Unternehmen & Behörden. ISO-zertifizierte Server-Infrastruktur.
Bußgelder und Sanktionen
NIS 2 sieht empfindliche Strafen vor, die sich nach der Kategorie der Einrichtung richten:
- Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
- Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
- Zusätzlich: persönliche Haftung der Geschäftsführung nach § 38 BSIG
▶︎ Mehr lesen: Notfallmanagement Unternehmen: Die 3 wichtigsten Aspekte
Wie setzen Unternehmen NIS 2 um?
Eine strukturierte Umsetzung folgt typischerweise diesen Schritten:
- Betroffenheitsprüfung: Sektor und Unternehmensgröße prüfen
- Gap-Analyse: Welche der 10 Maßnahmen nach § 30 sind bereits erfüllt, welche nicht?
- Maßnahmenplanung: Priorisierung nach Risiko und Aufwand
- Technische Umsetzung: z.B. Einführung eines Notfallkommunikationssystems für Maßnahme 9
- Dokumentation: Alle Maßnahmen müssen nachweisbar sein – für Audits und die 24h-Meldepflicht
- Schulung: Mitarbeiter und Führungskräfte müssen die Prozesse kennen
▶︎ Mehr lesen: Digitale Alarmierung einfach erklärt
Notfallkommunikation als NIS2-Maßnahme: safeREACH
Für die Umsetzung von Maßnahme 9 - gesicherte Notfallkommunikationssysteme - setzen Unternehmen auf dedizierte Alarmierungssysteme, die unabhängig von der regulären IT-Infrastruktur funktionieren.
safeREACH ist ein Notfallkommunikationssystem mit definierter Eskalationslogik und Rückfallebenen, das unabhängig von der internen IT-Infrastruktur funktioniert. Bestätigungen der Empfänger werden dokumentiert und in einem vollständigen Audit-Log festgehalten. Dieser Audit-Log bildet zugleich die technische Dokumentationsgrundlage für die 24h-Meldepflicht nach Art. 23 NIS2.
▶︎ Mehr lesen: IT-Alarmierung mit safeREACH
Mehr als 20 Jahre Erfahrung beim Alarmieren
IT-Alarmierung, Brandalarm, Betriebliche Ersthelfer alarmieren und vieles mehr. ISO-zertifizierte Server-Infrastruktur. Im Einsatz bei KMUs, Konzernen, Behörden und öffentlichen Organisationen.
Fazit
NIS 2 ist keine abstrakte EU-Regulierung mehr. In Deutschland gilt das Gesetz seit Dezember 2025, in Österreich ab Oktober 2026. Für über 30.000 Unternehmen allein in Deutschland entstehen konkrete Pflichten, persönliche Haftungsrisiken für die Geschäftsführung und empfindliche Bußgelder bei Verstößen.
Der erste Schritt ist die Prüfung der eigenen Betroffenheit. Der zweite ist eine ehrliche Gap-Analyse gegenüber den 10 Maßnahmen des § 30. Wer jetzt handelt, hat Zeit für eine strukturierte Umsetzung. Wer wartet, riskiert sowohl regulatorische Strafen als auch reale Sicherheitslücken.
▶︎ Mehr lesen: Wie funktioniert safeREACH
Digitale Alarmierung für jede Notsituation - mit safeREACH
Erleben Sie, wie das digitale Alarmierungssystem von safeREACH Ihre Notfallkommunikation schneller, zuverlässiger und einfacher macht. Ob technische Störung, Cyberangriff oder Evakuierung. Wir zeigen Ihnen, wie Sie auf jede Lage vorbereitet sind.
