NIS2-Richtlinie: Was sie ist, Anforderungen, Fristen und wie man sie einhält

Blog

Erfahren Sie, was die NIS2-Richtlinie ist, welche Anforderungen sie in Bezug auf Cybersicherheit und Berichterstattung stellt, welche wichtigen Fristen im Jahr 2026 für europäische Unternehmen gelten und wie Sie sich mithilfe praktischer Kontrollmaßnahmen wie DMARC auf die Einhaltung der Vorschriften vorbereiten können.

von AyanBhuiya

Zuletzt aktualisiert:
6 Lesezeit: 2 Minuten
NIS2-Richtlinie: Was sie ist, Anforderungen, Fristen und wie man sie einhält
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • Für die meisten „wesentlichen“ Unternehmen läuft am 30. Juni 2026 eine wichtige Frist ab, bis zu der sie ihre erste formelle Konformitätsprüfung abschließen müssen.
  • NIS2 betrifft nicht nur Technologieunternehmen, sondern umfasst nun auch Branchen wie die Lebensmittelindustrie, das verarbeitende Gewerbe und die Abfallwirtschaft. Wenn Sie mehr als 50 Mitarbeiter beschäftigen und
  • Bei einem Umsatz von 10 Millionen Euro stehen Sie wahrscheinlich auf der Liste.
  • Sie haben nur 24 Stunden Zeit, um die Behörden zu „warnen“, nachdem Sie einen schwerwiegenden Cybervorfall entdeckt haben.
  • Führungskräfte von Unternehmen können nun persönlich für Sicherheitsmängel zur Verantwortung gezogen werden.
  • Sie sind nicht nur für Ihren eigenen Shop verantwortlich; Sie müssen auch nachweisen, dass Ihre Anbieter und Lieferanten sicher sind.
  • Protokolle wie DMARC sind unerlässlich, um Phishing und Spoofing zu verhindern, und helfen Ihnen dabei, die strengen Risikomanagementstandards der Richtlinie zu erfüllen.

Die NIS2-Richtlinie ist nicht mehr nur ein Ziel für IT-Abteilungen, sondern eine vollwertige gesetzliche Vorschrift mit echtem Durchsetzungsgewicht. Wenn Sie ein Unternehmen in der EU betreiben oder Dienstleistungen für ein solches erbringen, sind die Zeiten vorbei, in denen man sich „irgendwann einmal darum kümmern“ konnte. Die Übergangsfrist ist abgelaufen, und der Fokus liegt nun auf Audits und der Durchsetzung.

Man kann sich NIS2 als den Ansatz der EU vorstellen, die Messlatte für die Cybersicherheit höher zu legen. Es geht nicht nur darum, Datenlecks zu vermeiden, sondern sicherzustellen, dass nicht das gesamte System zusammenbricht, wenn ein Teil der digitalen Lieferkette ausfällt.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Abkürzung für die aktualisierte Richtlinie über Netz- und Informationssicherheit (NIS2)) ist ein Gesetz der Europäischen Union zur Cybersicherheit, das darauf abzielt, die Sicherheit von Netzwerken und Informationssystemen in allen Mitgliedstaaten zu stärken.

Ziel ist es, ein hohes einheitliches Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Union zu gewährleisten. Die Richtlinie verpflichtet die EU-Mitgliedstaaten, sie in nationales Recht umzusetzen, wodurch Unternehmen gezwungen sind, einen „Multi-Risiko“-Ansatz zu verfolgen. Das bedeutet, dass alle Aspekte berücksichtigt werden müssen – von grundlegenden Maßnahmen zur Passwort-Sicherheit und Verschlüsselung bis hin zum Umgang mit einem vollständigen Systemausfall.

Wer muss die NIS2-Vorschriften einhalten?

Eine der größten Änderungen bei NIS2 ist, dass nun deutlich mehr Unternehmen darunter fallen. Das Gesetz unterteilt Organisationen in zwei Hauptgruppen:

  • Systemrelevante Unternehmen: Dabei handelt es sich um die großen Akteure in Branchen wie Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung sowie digitale Infrastruktur wie Cloud-Anbieter und Rechenzentren. Wenn Ihr Unternehmen mehr als 250 Mitarbeiter beschäftigt oder einen Umsatz von über 50 Millionen Euro erzielt, fallen Sie wahrscheinlich in diese Kategorie.
  • Wichtige Unternehmen: Dies umfasst ein breiteres Spektrum, darunter die Lebensmittelproduktion, Postdienste, Abfallwirtschaft sowie das verarbeitende Gewerbe, wie beispielsweise die Chemieindustrie und die Medizintechnik. Die meisten Unternehmen mit mindestens 50 Beschäftigten und einem Umsatz von 10 Millionen Euro sind hierin enthalten.

Selbst wenn Sie ein kleineres Unternehmen sind, könnten Sie dennoch betroffen sein, wenn Sie ein wichtiger Lieferant für eines dieser größeren Unternehmen sind oder wenn eine Unterbrechung Ihres Betriebs ein systemisches Risiko verursachen würde.

Wesentliche Anforderungen der NIS2-Richtlinie

Das Gesetz konzentriert sich auf einige wenige Kernbereiche. Sie müssen nachweisen können, dass diese aktive Bestandteile Ihres Tagesgeschäfts sind, falls einmal ein Prüfer bei Ihnen vorstellig wird.

Risikomanagement im Bereich Cybersicherheit

Sie müssen über formelle Richtlinien für die Risikoanalyse verfügen. Dabei handelt es sich nicht nur um ein PDF-Dokument, das irgendwo auf einem Server liegt, sondern um aktive Maßnahmen wie Multi-Faktor-Authentifizierung (MFA), gesicherte Sprach- und Videokommunikation sowie Datenverschlüsselung.

Erkennung und Meldung von Vorfällen

Die Frist für die Meldung eines „schwerwiegenden“ Vorfalls ist unglaublich knapp bemessen:

  • 24 Stunden: Sie müssen eine „Frühwarnung“ an die Behörden oder das CSIRT senden.
  • Innerhalb von 72 Stunden: Sie müssen eine formelle Bewertung vornehmen und über den Vorfall berichten.
  • 1 Monat: Es ist ein abschließender, detaillierter Bericht darüber fällig, was passiert ist und wie Sie das Problem behoben haben.

Geschäftskontinuität und Krisenmanagement

Sie müssen einen Plan haben, um den Betrieb während eines Cyberangriffs aufrechtzuerhalten. Dazu gehören die Systemwiederherstellung, Notfallmaßnahmen und die Einrichtung eines Krisenmanagementteams.

Sicherheit in der Lieferkette

Sie sind nun für die Sicherheit Ihrer Partner verantwortlich. Sie müssen Ihre Lieferanten überprüfen und sicherstellen, dass sie nicht das schwache Glied in Ihrer Kette sind.

Führung und Rechenschaftspflicht

Dieser Punkt weckt das Interesse der Führungsetage. Die Geschäftsleitung kann für Sicherheitsmängel persönlich haftbar gemacht werden. Führungskräfte müssen nun an Schulungen zur Cybersicherheit teilnehmen, damit sie die Risiken, für die sie die Verantwortung übernehmen, auch wirklich verstehen.

NIS2 nennt zwar nicht ausdrücklich jedes einzelne Softwaretool, schreibt jedoch die „Sicherheit von Netzwerken und Informationssystemen“ vor. Da die meisten Cyberangriffe mit einer gefälschten E-Mail beginnen, ist die Absicherung Ihrer Domain von entscheidender Bedeutung.

Durch den Einsatz von DMARC, SPF und DKIM wird sichergestellt, dass der Empfänger bei jedem E-Mail-Versand aus Ihrem Unternehmen weiß, dass die Nachricht tatsächlich von Ihnen stammt. Dies verhindert „Spoofing“, bei dem sich ein Hacker als Ihr Geschäftsführer ausgibt, um eine betrügerische Überweisung zu veranlassen. Branchenexperten sind sich einig, dass DMARC den Schutz vor den häufigsten Bedrohungen stärkt und sich nahtlos in die Risikomanagement-Säulen der NIS2 einfügt.

Folgen der Nichteinhaltung

Für wesentliche Unternehmen kann sich dieser Betrag auf 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belaufen. Für wichtige Unternehmen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 %.

Abgesehen von den finanziellen Aspekten drohen Ihnen Prüfungen, Auflagen zur Einhaltung von Vorschriften und das Risiko, Ihre Betriebsgenehmigung in bestimmten Branchen zu verlieren.

Fristen für NIS2 und Meilensteine für 2026

Falls Sie es noch nicht getan haben, tragen Sie diese Termine bitte in Ihren Kalender ein. Wir befinden uns nun in der aktiven Durchsetzungsphase:

  • Registrierung: Bis Anfang 2026 sollten sich die meisten Unternehmen auf ihren nationalen Portalen als Unternehmen registriert haben.
  • 17. April 2025: Dies war die Frist, bis zu der die Mitgliedstaaten die erste Liste der wesentlichen und wichtigen Einrichtungen erstellen mussten.
  • 30. Juni 2026: Dies ist ein wichtiger Meilenstein. Es ist der Stichtag, bis zu dem viele Unternehmen ihr erstes formelles NIS2-Konformitätsaudit abschließen müssen.
  • Kontinuierliche Meldung: Ab 2026 gilt die 24-Stunden-Meldepflicht uneingeschränkt. Die Behörden erwarten bei jedem schwerwiegenden Verstoß eine unverzügliche Meldung.

Wie PowerDMARC dabei hilft, die Anforderungen an die E-Mail-Sicherheit zu erfüllen

Anstatt zu versuchen, komplexe E-Mail-Protokolle manuell zu verwalten, hilft PowerDMARC dabei, die Kommunikationssicherheit und die Risikoüberwachung zu automatisieren.

  • DMARC mit SPF/DKIM: PowerDMARC bietet gehostete Dienste für DMARC, SPF, DKIM und andere Protokolle an. Dies stärkt die Integrität Ihrer E-Mails und verhindert Domain-Spoofing. Damit werden die NIS2-Anforderungen an proaktives Risikomanagement und Phishing-Schutz erfüllt.
  • Berichterstattung und Transparenz: Wenn jemand versucht, Ihre Domain anzugreifen, wird dies in Ihrem Dashboard angezeigt. So erhalten Sie die Daten, die Sie benötigen, um Anomalien zu erkennen und die strengen Fristen für die Meldung von Vorfällen einzuhalten.
  • Risikoüberwachung: Automatisierte Bedrohungsinformationen und die Überwachung der Richtlinien sorgen für die Sicherheit Ihrer Domain, ohne dass manuelles Rätselraten erforderlich ist – ganz im Sinne der Forderung der NIS2 nach aktiven Sicherheitsmaßnahmen.

Vorbereitung auf die Einhaltung der NIS2-Vorschriften

Falls Sie noch an Ihrem Plan feilen, sollten Sie folgende wichtige Punkte ganz oben auf Ihre Liste setzen:

  • Finden Sie die Schwachstellen: Sie müssen sich hinsetzen und eine gründliche Lückenanalyse durchführen. Sehen Sie sich Ihre derzeitige Situation an und prüfen Sie, wo sie hinter den nationalen Gesetzen zurückbleibt. Es ist besser, diese Schwachstellen selbst zu finden, bevor ein Prüfer dies für Sie tut.
  • Sichern Sie Ihre E-Mails: Das ist eine einfache Maßnahme, die einen großen Unterschied macht. Richten Sie DMARC, SPF und DKIM für jede einzelne Domain ein, die Ihr Unternehmen besitzt. So verhindern Sie, dass Ihr Name für Phishing-Betrug missbraucht wird, und machen es Angreifern deutlich schwerer, Ihre gesamte Kommunikation zu manipulieren.
  • Reagieren Sie schnell: Die Meldefristen von 24 und 72 Stunden sind kein Scherz. Sie benötigen einen absolut zuverlässigen Arbeitsablauf, damit Ihr Team genau weiß, wen es anrufen und was es sagen muss, sobald es etwas Verdächtiges entdeckt.
  • Überprüfen Sie Ihre Partner: Sie sind nun auch für die Sicherheit Ihrer Lieferanten verantwortlich. Beginnen Sie damit, die Verträge mit Ihren Lieferanten zu überprüfen. Sie müssen sicher sein, dass Ihre Geschäftspartner sich an dieselben NIS2-Vorschriften halten wie Sie.

Legen Sie schon jetzt die Unterlagen bereit: Warten Sie nicht bis zur Woche vor Ihrem Audit im Juni 2026, um Ihre Protokolle zusammenzusuchen. Beginnen Sie schon jetzt damit, Ihre technischen Daten und Richtlinien zu ordnen. Wenn Sie alles bereit haben, wird der gesamte Prozess wesentlich reibungsloser verlaufen.

Resümee

Letztendlich geht es bei NIS2 nicht nur darum, alle möglichen Hürden zu nehmen, um einer Geldstrafe zu entgehen. Es geht darum, sicherzustellen, dass Ihr Unternehmen einen Angriff tatsächlich überstehen kann. Wir leben in einer Welt, in der Cyberangriffe einfach zum Geschäftsalltag gehören und kein seltenes „Was-wäre-wenn“-Szenario sind.

Wenn Sie Themen wie E-Mail-Sicherheit und den Umgang mit Vorfällen ernst nehmen, halten Sie sich nicht nur an die gesetzlichen Vorschriften, sondern schützen auch Ihren Ruf und sichern den Fortbestand Ihres Unternehmens.

Mit PowerDMARC können Sie genau die Berichte erstellen, die Sie für Ihr Audit im Jahr 2026 benötigen. Starten Sie noch heute Ihre kostenlose Testphase bei PowerDMARC und überzeugen Sie sich selbst, wie einfach es ist, Ihre Domain zu sichern.

Häufig gestellte Fragen

Inwiefern hilft DMARC bei NIS2?

Auch wenn NIS2 die Implementierung von DMARC nicht ausdrücklich als Teil der Compliance-Anforderungen aufführt, sollten Sie dies als einen wesentlichen Bestandteil Ihrer Maßnahmen im Bereich „Risikomanagement“ und „Authentifizierung“ betrachten. Durch die Einrichtung von DMARC weisen Sie den Aufsichtsbehörden nach, dass Sie konkrete, aktive Schritte unternehmen, um Phishing und Domain-Missbrauch zu verhindern, noch bevor diese überhaupt auftreten.

Wie oft müssen wir unsere Compliance überprüfen?

Auch wenn die EU-Mitgliedstaaten ihre Liste der betroffenen Unternehmen offiziell alle zwei Jahre aktualisieren, sollten Sie nicht so lange warten. Ihre internen Sicherheitsüberprüfungen sollten kontinuierlich stattfinden; die Einhaltung der Vorschriften ist viel einfacher, als zu versuchen, kurz vor einem Audit alles „in Ordnung zu bringen“.

Wo finde ich die offiziellen Regeln?

Am besten besuchen Sie die Website der ENISA. Sie sollten auch das Portal der für Ihr Land zuständigen Cybersicherheitsbehörde besuchen, da diese oft die praktischsten und auf die lokalen Gegebenheiten zugeschnittenen Ratschläge bieten.

Gilt NIS2 tatsächlich auch für kleinere Unternehmen (KMU)?

In der Regel greift diese Regelung, sobald man 50 Mitarbeiter und einen Umsatz von 10 Millionen Euro erreicht. Aber es gibt einen Haken: Wenn Sie ein kleines Unternehmen sind, das systemrelevante Aufgaben erfüllt, oder ein wichtiges Glied in der Lieferkette eines großen Unternehmens sind, können die Behörden Sie dennoch als „wichtiges“ Unternehmen einstufen.

Neueste Beiträge von Ayan Bhuiya (alle anzeigen)
Zuletzt aktualisiert:
SPF-Komprimierung: Reduzieren Sie SPF-DNS-Abfragen und optimieren Sie Ihren SPF-EintragSPF-KomprimierungVerletzung des Schutzes personenbezogener Daten6 Wege, wie eine Verletzung des Datenschutzes die Sicherheit Ihres Unternehmens gefährden kann