Definition: NIS2
NIS2 (Richtlinie (EU) 2022/2555) ist das Cybersicherheitsgesetz der EU, das Organisationen in kritischen Sektoren zu Risikomanagementmassnahmen und zur Meldung erheblicher Sicherheitsvorfälle innerhalb fester Fristen verpflichtet.
Kernmerkmale von NIS2
NIS2 löst die NIS-Richtlinie von 2016 ab und verdreifacht deren Geltungsbereich auf 18 statt 7 Sektoren.
- Erfasst mittlere (50+ Mitarbeitende) und grosse (250+ Mitarbeitende) Unternehmen nach Grösse oder Umsatz
- Teilt Organisationen in “besonders wichtige” und “wichtige” Einrichtungen mit unterschiedlicher Aufsichtsintensität
- Verlangt dokumentierte Massnahmen zu Lieferkettensicherheit, Zugriffskontrolle und Vorfallbehandlung
- Schreibt Verantwortung der Geschäftsleitung vor, inklusive nicht delegierbarer Schulungspflicht und persönlicher Haftung
NIS2 vs. EU-KI-Verordnung
NIS2 und die EU-KI-Verordnung regeln unterschiedliche Dinge, gelten aber oft gleichzeitig für dasselbe Unternehmen. NIS2 regelt die Sicherheit von Netz- und Informationssystemen unabhängig davon, ob sie KI betreiben, und konzentriert sich auf Meldepflichten und Risikomanagement. Die EU-KI-Verordnung regelt Design und Aufsicht von KI-Systemen nach Risikostufe. Ein Hersteller, der ein KI-gestütztes Prüfsystem betreibt, muss beide Pflichten gleichzeitig erfüllen.
Bedeutung von NIS2 im Enterprise-KI-Umfeld
NIS2 ist für Enterprise-KI relevant, weil KI-Agenten, die mit ERP, CRM und Produktionssystemen verbunden sind, Teil der Infrastruktur werden, die NIS2 schützt. Bitkoms Analyse von 2026 beziffert rund 29.500 deutsche Unternehmen unter BSI-Aufsicht - viele Mittelstandsunternehmen sehen sich damit erstmals mit formalen Cybersicherheitspflichten konfrontiert.
Methoden und Verfahren für NIS2
Die Umsetzung stützt sich auf drei strukturierte Arbeitsschritte.
Betroffenheitsprüfung
Der erste Schritt ist die Prüfung, ob das Unternehmen überhaupt in den Geltungsbereich fällt, da Sektor- und Grössenschwellen auf nicht immer offensichtliche Weise zusammenwirken.
- Mitarbeiterzahl und Umsatz gegen die Schwellenwerte abgleichen
- Geschäftstätigkeiten gegen die 18 erfassten Sektoren prüfen
- Die Einstufungsentscheidung schriftlich dokumentieren
Umsetzung des Risikomanagements
NIS2 verlangt festgelegte technische und organisatorische Massnahmen statt einer allgemeinen Sicherheitsrichtlinie, insbesondere zu Vorfallbehandlung, Betriebskontinuität und Zugriffskontrolle. Registrierte Unternehmen müssen diese dem BSI auf Anfrage nachweisen.
Meldeworkflow bei Vorfällen
NIS2 legt einen gestaffelten Zeitplan fest: eine Frühwarnung binnen 24 Stunden, eine detaillierte Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats. Wer diesen Workflow vor einem Vorfall aufbaut statt währenddessen, hält die Frist auch unter Druck ein.
Wichtige Kennzahlen für NIS2
Die NIS2-Bereitschaft lässt sich anhand von Dokumentation, Reaktionsgeschwindigkeit und Lieferantenabdeckung messen.
Operative Bereitschaftskennzahlen
- BSI-Registrierungsstatus: abgeschlossen vs. ausstehend
- Risikomanagement-Dokumentation: Anteil abgeschlossen gemäss Paragraph 30 BSIG
- Häufigkeit von Vorfallübungen: mindestens jährlich
- Geprüfte kritische Lieferanten: Anteil bewertet
Governance- und Verantwortungskennzahlen
Forresters Untersuchung von 2026 ergab, dass 81 % der europäischen Unternehmen wegen NIS2 und DORA höhere Cybersicherheitsbudgets erwarten - ein Grund, den Abschluss der Geschäftsleitungsschulung als führenden Bereitschaftsindikator zu verfolgen.
Qualität der Vorfallreaktion
Über den 24/72/30-Stunden-Zeitplan auf dem Papier hinaus sollten Unternehmen die tatsächliche Zeit von der Erkennung bis zu jeder Meldestufe in Übungen sowie die Vollständigkeit des Abschlussberichts verfolgen.
Risikofaktoren und Kontrollen bei NIS2
Unterschätzter Geltungsbereich
Der häufigste Fehler ist die Annahme, NIS2 gelte nur für klassische kritische Infrastruktur, während viele Fertigungs- und Logistikunternehmen mit 50 oder mehr Mitarbeitenden ebenfalls betroffen sind.
- Geltungsbereich bei Änderungen von Mitarbeiterzahl oder Tätigkeiten neu prüfen
- Tochtergesellschaften und Konzernstrukturen einbeziehen
- Unsicherheit als Anlass zur Prüfung behandeln, nicht als Grund zur Annahme der Befreiung
Lücken in der Lieferkettensicherheit
NIS2 erweitert Risikomanagementpflichten auf Lieferanten, sodass Compliance teils von Anbietern abhängt, die das Unternehmen nicht kontrolliert, und viele Verträge die nötigen Sicherheitsklauseln nicht enthalten.
Unkontrollierte KI-Agenten-Deployments
Shadow AI-Tools, die Mitarbeitende ausserhalb der IT-Aufsicht einsetzen, schaffen genau den unüberwachten Netzwerkzugriff, den NIS2 verhindern soll. Jeder KI-Agent mit Schreibzugriff auf Unternehmenssysteme braucht dieselbe Protokollierung und Vorfallbehandlung wie jede andere kritische Systemkomponente.
Praxisbeispiel
Ein 160-Personen-Speditionsunternehmen in Nordrhein-Westfalen stellte bei seiner Betroffenheitsprüfung fest, dass es als wichtige Einrichtung unter NIS2 galt, obwohl es sich nie als kritische Infrastruktur betrachtet hatte - ohne formalen Meldeprozess und ohne dokumentierte Risikomassnahmen. Innerhalb von vier Monaten baute das Unternehmen ein Compliance-Programm auf der bestehenden IT-Sicherheitsstruktur auf, statt einen kostspieligen Neuaufbau zu starten.
- BSI-Registrierung mit dokumentierter Einstufung abgeschlossen
- Meldeworkflow durch Planübungen erprobt
- Verträge mit kritischen Lieferanten um Sicherheitsklauseln ergänzt
- Schulung der Geschäftsleitung zur Haftung nach Paragraph 38 BSIG abgeschlossen
Aktuelle Entwicklungen und Auswirkungen
Registrierung und anlaufende Durchsetzung
Deutschlands NIS2UmsetzungsG trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft, und betroffene Unternehmen mussten sich innerhalb von drei Monaten beim BSI registrieren.
- BSI-Registrierungsportal seit Januar 2026 aktiv
- Keine Übergangsfrist für Risikomanagementmassnahmen
- Frühe Durchsetzung fokussiert auf Registrierungsvollständigkeit statt tiefe Prüfungen
Abstimmung mit dem KRITIS-Dachgesetz
Ein paralleles Gesetz, das KRITIS-Dachgesetz, adressiert die physische Resilienz kritischer Infrastrukturbetreiber und überschneidet sich teilweise mit NIS2. Unternehmen in beiden Geltungsbereichen brauchen ein gemeinsames Governance-Programm statt zwei getrennter Spuren.
KI-Agenten als neue NIS2-relevante Systemklasse
Da Unternehmen KI-Agenten mit Kernsystemen verbinden, müssen KI-Governance-Programme zunehmend NIS2s Protokollierungspflichten einbeziehen. Eine KI-Agenten-Plattform wie Superkind, die Agenten mit Systemen wie CRM und ERP verbindet und jede Aktion protokolliert, liefert genau den Prüfpfad, den die NIS2-Aufsicht erwartet.
Fazit
NIS2 ist vom Richtlinientext zu bindendem deutschem Recht geworden, und sein Geltungsbereich reicht weit über die klassischen Infrastrukturbetreiber hinaus, die viele Mittelstandsführungskräfte mit Cybersicherheitsregulierung verbinden. Die Prioritäten sind klar: Betroffenheit klären, Risikomanagementmassnahmen dokumentieren und den Meldeworkflow einüben, bevor er unter Druck gebraucht wird. Unternehmen, die NIS2 als strukturiertes Sicherheitsupgrade statt als Papierkram behandeln, gewinnen Resilienz unabhängig von der Durchsetzung, und da KI-Agenten mehr operative Arbeit übernehmen, hält dieselbe Governance-Disziplin diese Deployments prüfbar.
Häufig gestellte Fragen
Gilt NIS2 auch für Unternehmen mit weniger als 250 Mitarbeitenden?
Ja. NIS2 nutzt eine Mittelunternehmens-Schwelle von 50 oder mehr Mitarbeitenden oder mehr als 10 Millionen Euro Umsatz, sodass die meisten Mittelstandsunternehmen in den 18 erfassten Sektoren auch die niedrigere Schwelle prüfen müssen.
Wie verhält sich NIS2 zur DSGVO-Compliance?
Beide gelten parallel. Die DSGVO regelt die Verarbeitung personenbezogener Daten, während NIS2 die Systemsicherheit unabhängig von den verarbeiteten Daten regelt. Eine Datenschutz-Folgenabschätzung deckt Datenschutzrisiken für Einzelpersonen ab, NIS2s Massnahmen decken die Systemresilienz ab.
Was kostet NIS2-Compliance für ein Unternehmen mit rund 200 Mitarbeitenden?
Die Kosten variieren mit der bestehenden Sicherheitsreife, aber Mittelstandsunternehmen berichten häufig von anfänglichen Programmen im niedrigen bis mittleren sechsstelligen Eurobereich. Unternehmen mit bestehendem ISO-27001- oder ISO-42001-System geben in der Regel weniger aus.
Brauchen wir dafür eigene IT-Sicherheitsressourcen?
Nicht zwingend ein volles internes Team. Viele Mittelstandsunternehmen kombinieren bestehende IT-Mitarbeitende mit einem externen Sicherheitspartner für die Erstbewertung und pflegen das Programm danach intern weiter, auch wenn NIS2 einen benannten Verantwortlichen verlangt.
Wie lange dauert es, NIS2-bereit zu werden?
Ein fokussiertes Programm dauert typischerweise drei bis sechs Monate von der Betroffenheitsprüfung bis zum erprobten Meldeworkflow, schneller für Unternehmen mit bestehendem Sicherheitsmanagementsystem.
Gibt es Förderung für NIS2-Compliance im Mittelstand?
Einige Bundesländer und KfW-Digitalisierungsprogramme bieten Cybersicherheitsförderung, die auf NIS2-bezogene Massnahmen angerechnet werden kann, auch wenn NIS2-Compliance selten als eigenständiges Projekt gefördert wird - regionale Digitalisierungsförderung sollte vorab geprüft werden.