NIS2 in DACH: Wie die EU-Richtlinie 2022/2555 die IT-Sicherheits-Welt 2024–2026 umbaut

Die NIS2-Richtlinie, vollständig „Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union”, trat am 17. Januar 2023 in Kraft. Sie löste die ältere NIS-Richtlinie aus dem Jahr 2016 ab und gab den Mitgliedstaaten bis zum 17. Oktober 2024 Zeit für die nationale Umsetzung.

Mit Stand Mitte 2026 sei die Umsetzungslandschaft in der DACH-Region heterogen. Lastenheft skizziert die Lage und die operativen Folgen für die IT-Sicherheits-Welt.

Was NIS2 verlange — die Substanz in Kürze

NIS2 erweitere den Geltungsbereich der ursprünglichen NIS-Richtlinie erheblich. Statt der bisherigen Konzentration auf wenige „Betreiber wesentlicher Dienste” und „Anbieter digitaler Dienste” unterscheide die neue Richtlinie zwischen wesentlichen Einrichtungen (essential entities) und wichtigen Einrichtungen (important entities) und decke damit deutlich mehr Sektoren ab — darunter Energieversorgung, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungen, öffentliche Verwaltung, Lebensmittel, Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Forschung und Fertigung.

Faktisch fallen Mitte 2026 in DACH mehrere Tausend Organisationen neu in den Geltungsbereich. Die Größenkriterien (mittlere Unternehmen ab 50 Beschäftigten bzw. ab 10 Mio Euro Umsatz, je nach Sektor) führten zu einer Verbreiterung, die viele Mittelständler:innen erstmals zwinge, Cybersicherheits-Maßnahmen formal zu dokumentieren.

Kernpflichten seien: Risikomanagement-Maßnahmen nach Stand der Technik (Art. 21), Melde- und Berichtspflichten bei erheblichen Sicherheitsvorfällen (Art. 23) mit Frühwarnung binnen 24 Stunden und Erstmeldung binnen 72 Stunden, Schulung der Leitungsorgane, dokumentierte Lieferketten-Sicherheit, kryptographische Konzepte, Business-Continuity- und Krisenmanagement-Pläne sowie regelmäßige Tests.

Deutschland: Umsetzungsgesetz mit Verspätung

Die Bundesrepublik habe die Umsetzungsfrist 17. Oktober 2024 nicht eingehalten. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz sei nach mehreren Referentenentwürfen und politischen Verzögerungen erst in der ersten Hälfte 2025 verabschiedet worden und seither in Kraft. Es ändere u. a. das BSI-Gesetz und gebe dem Bundesamt für Sicherheit in der Informationstechnik (BSI, gegründet am 1. Januar 1991) erweiterte Aufsichtsbefugnisse.

Praktische Folge: Die nach NIS2 betroffenen deutschen Einrichtungen müssten sich beim BSI registrieren, ein Informationssicherheits-Managementsystem (ISMS) betreiben und im Vorfallsfall die genannten Meldefristen einhalten. Mit Stand Mitte 2026 sei die Aufsichtspraxis des BSI in der Anlaufphase. Vor-Ort-Prüfungen seien noch selten, Routinen der Registrierung und der Vorfalls-Meldung würden sich in der Praxis einspielen.

Österreich: NISG 2024

Österreich habe die Umsetzung im Rahmen eines novellierten Netz- und Informationssystemsicherheitsgesetzes (NISG) angegangen. Stand Mitte 2026 sei die österreichische Umsetzung im Wesentlichen in Kraft. Zuständige Aufsicht sei das Bundesministerium für Inneres in Abstimmung mit dem Bundeskanzleramt und der GovCERT Austria.

Schweiz: nicht EU-Mitglied, aber Beobachterin

Die Schweiz sei nicht NIS2-pflichtig, da kein EU-Mitgliedstaat. Dennoch habe das Informationssicherheitsgesetz (ISG) des Bundes seit Anfang 2024 vergleichbare Pflichten für Betreiber kritischer Infrastrukturen geschaffen, ergänzt durch die ab 1. April 2025 geltende Meldepflicht für Cybervorfälle an das Bundesamt für Cybersicherheit (BACS), das im Januar 2024 aus der Nationalen Cyber-Sicherheitseinheit (NCSC) hervorging. Schweizer Tochtergesellschaften EU-ansässiger Konzerne unterlägen häufig de facto NIS2 über ihre Mutter — eine Konstellation, die in DACH-Compliance-Architekturen verbreitet sei.

Folgen für IT-Sicherheits-Architektur und Risk-Scorecards

NIS2 zwinge betroffene Organisationen, formale Strukturen zu etablieren, die in vielen Mittelständler:innen bisher nur lose existiert hätten. Im Zentrum stünden:

Erstens die Risk-Scorecard: eine systematische Bewertung der eigenen Asset-Landschaft, der relevanten Bedrohungsszenarien und der Wirksamkeit der Schutzmaßnahmen, regelmäßig fortgeschrieben. Sie sei häufig an die ISO/IEC 27001 (zuletzt 2022 aktualisiert; ursprüngliche Veröffentlichung 14. Oktober 2005) und an die BSI-IT-Grundschutz-Methodik angelehnt.

Zweitens die KRI (Key Risk Indicators): operationalisierte Frühwarnindikatoren, die dem Leitungsorgan eine kontinuierliche Sicht auf die Risikolage geben. Typische KRI seien Patch-Stand kritischer Systeme, MFA-Abdeckung der privilegierten Konten, Mean Time to Detect, Mean Time to Respond, Anteil ungeprüfter Lieferanten in den Top-Lieferantenkreisen.

Drittens die Lieferketten-Sicherheit. NIS2 verpflichte Einrichtungen, ihre kritischen Lieferanten und ICT-Dienstleister:innen aktiv zu prüfen. In der Praxis bedeute das einen Anstieg formaler Sicherheits-Audits gegenüber IT-Lieferanten — von Cloud-Hyperscaler:innen bis hin zu kleinen Softwarehäusern, die in produktiven Lieferketten stünden.

Rolle des CISO und der Aufsichts-Organe

Eine wesentliche Neuerung von NIS2 sei die persönliche Verantwortung des Leitungsorgans. Geschäftsführungen und Vorstände hafteten für die Wirksamkeit der Cybersicherheits-Maßnahmen mit. Sie seien verpflichtet, sich regelmäßig schulen zu lassen und Risk-Reportings substanziell zu prüfen — nicht nur abzuzeichnen.

In der Praxis sehe Lastenheft Mitte 2026, dass der Status der CISO-Funktion in DACH-Mittelständler:innen aufgewertet werde. Wo CISO bislang als Stabsstelle unterhalb der IT-Leitung agierte, rücke sie nun häufig auf eine direktere Berichtslinie an die Geschäftsführung. In Konzernen werde die Rolle vermehrt durch eine zweite Linie — interne Revision oder Risk-Management — flankiert.

Wo es hake: praktische Engpässe

Trotz formaler Geltung kämpfe die Praxis Mitte 2026 mit Engpässen. Drei dominierten in der Berichterstattung:

Erstens Personalknappheit in der Informationssicherheit. Erfahrene CISO, Security-Architekt:innen, IR-Spezialist:innen und Auditor:innen seien rar, Tagessätze in DACH lägen für Senior-Profile häufig im hohen vierstelligen Bereich.

Zweitens Tool-Konsolidierung. Viele Organisationen führten parallel SIEM, EDR, XDR, SOAR, Vulnerability-Management, Asset-Discovery, Threat-Intel-Feeds, Privileged-Access-Management und Identity-Governance — operativ schwer integrierbar.

Drittens Lieferketten-Komplexität. Sub-Sub-Lieferant:innen blieben blinde Flecken. Software-Bill-of-Materials (SBOM) seien zwar im Trend, jedoch in der DACH-Mittelstandspraxis noch selten flächendeckend gepflegt.

In der Praxis sei mit Stand Mitte 2026 noch kein NIS2-Bußgeld in DACH öffentlich verhängt worden, das in seiner Größenordnung an die DSGVO-Höchstgrenzen heranreichte. Die Aufsicht agiere in der Anlaufphase eher kooperativ als sanktionierend. Beobachter:innen erwarten jedoch, dass sich diese Praxis ab 2027 verschärfen werde, sobald die Aufsichtsbehörden ihre Verfahren routinemäßig führten und erste Musterfälle entstünden.

Sektorale Besonderheiten: DORA als parallele Schicht für Finanzdienstleister:innen

Für Banken, Versicherungen und andere regulierte Finanzdienstleister:innen gelte parallel die DORA-Verordnung (EU 2022/2554), die seit dem 17. Januar 2025 anwendbar sei. DORA setze einen eigenen Rahmen für digitale operationale Resilienz und überlagere in vielen Punkten die NIS2-Anforderungen. Beobachter:innen sprechen davon, dass Finanzdienstleister:innen in DACH eine doppelte Compliance-Schicht trügen — DORA für die spezifischen Finanzaufsichtsfragen, NIS2 für die übergreifende Cybersicherheits-Architektur. In der praktischen Umsetzung versuchen Programme, beide Schichten konzeptionell zusammenzuführen, um Doppelarbeit zu vermeiden.

Lieferketten-Sicherheit: SBOM, Supplier-Audits und vertragliche Klauseln

Ein wachsender operativer Schwerpunkt sei die Lieferketten-Sicherheit. NIS2 verlange, dass Einrichtungen die Sicherheits-Praxis ihrer kritischen Lieferanten überprüften. In der Praxis seien drei Instrumente verbreitet:

Erstens Lieferanten-Selbstauskünfte in standardisierter Form, häufig auf Basis branchenüblicher Fragebögen wie dem VDA ISA-Katalog für Automotive oder den BAFIN-orientierten Fragebögen für Finanzdienstleister:innen.

Zweitens vertragliche Pflichten-Übertragung: In Verträgen mit IT-Lieferanten würden Pflichten zu Meldung, Mitwirkung, Auditrechten und Sub-Lieferanten-Transparenz verankert. Lieferantenverträge mit Cybersecurity-Anhang seien Mitte 2026 in DACH-Konzernen Standard, im Mittelstand verbreite sich die Praxis langsamer.

Drittens SBOM (Software Bill of Materials): die strukturierte Auflistung aller Software-Komponenten eines Produkts. Der Cyber Resilience Act mache SBOM für vernetzte Produkte verbindlich, NIS2 verlange sie indirekt über die Risikomanagement-Pflichten. In der DACH-Mittelstandspraxis seien SBOM Mitte 2026 jedoch noch selten flächendeckend gepflegt.

Verhältnis zu ISO 27001 und BSI-IT-Grundschutz

NIS2 sei kein Substitut für etablierte ISMS-Standards, sondern in der Praxis komplementär. Wer ein nach ISO/IEC 27001:2022 zertifiziertes ISMS betreibe oder die BSI-IT-Grundschutz-Methodik mit dem ergänzten 200er-Standard (BSI-Standards 200-1, 200-2, 200-3 in den Fassungen seit 2017) anwende, decke einen wesentlichen Teil der NIS2-Anforderungen aus Art. 21 bereits ab. Die formale Neuerung der NIS2 — Meldepflichten, persönliche Verantwortung der Leitungsorgane, erweiterte Lieferketten-Verantwortung — komme jedoch hinzu und gehe in einzelnen Aspekten über das hinaus, was ein klassisches ISO 27001-Programm verlange.

In der DACH-Aufsichtspraxis zeichne sich Mitte 2026 ab, dass die Behörden auf etablierte Zertifizierungen pragmatisch reagierten. Eine gültige ISO 27001-Zertifizierung gelte zwar nicht als automatischer Nachweis der NIS2-Konformität, werde aber im Rahmen der Aufsichts-Prüfungen positiv gewichtet. BSI habe in Hinweis-Papieren der Jahre 2024 und 2025 deutlich gemacht, dass eine vorhandene IT-Grundschutz-Praxis eine substanzielle Grundlage darstellt.

Sanktionsrahmen: hohe Bußgelder, in der Praxis gemildert

NIS2 sehe einen abgestuften Sanktionsrahmen vor. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Mio Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher liegt. Für wichtige Einrichtungen gelten 7 Mio Euro oder 1,4 % des Jahresumsatzes als Obergrenze. Die Sätze orientieren sich an der DSGVO-Logik und seien damit deutlich höher als die Bußgeld-Maxima der älteren NIS-Richtlinie.

Operative Vorfalls-Praxis: vom CERT-Konzept zum Incident-Playbook

Eine wesentliche Konsequenz von NIS2 sei die Operationalisierung der Vorfalls-Reaktion. Die 24-Stunden-Frühwarnung und die 72-Stunden-Erstmeldung verlangten, dass Organisationen handlungsfähige Incident-Response-Prozesse vorhielten. In der Praxis bedeute das: dokumentierte Eskalations-Pfade, eingespielte Playbooks für die häufigsten Vorfalls-Klassen (Ransomware, Datenabfluss, kompromittierte privilegierte Konten, Lieferketten-Vorfall) und eine erreichbare 24/7-Rufbereitschaft.

DACH-Mittelständler:innen lagerten diese Funktion häufig an spezialisierte Managed-Detection-and-Response-Anbieter:innen aus, weil der Aufbau eines eigenen 24/7-SOC für Organisationen unter etwa 1.000 Beschäftigten in der Regel unwirtschaftlich sei. Größere Konzerne betrieben eigene SOC-Strukturen, häufig mit Nearshore-Komponente und Follow-the-sun-Schichten. Eine besondere Herausforderung sei die forensische Beweis-Sicherung. Wer einen Vorfall an die Aufsicht meldet, müsse spätestens im Nachgang die technischen Details belastbar dokumentieren — Log-Quellen, Zeitstempel, betroffene Systeme, Eindring-Vektor. Organisationen ohne strukturierte Log-Architektur stießen hier regelmäßig an Grenzen.

Ausblick

Aufsichtspraxis und Gerichtsentscheidungen würden in den kommenden Jahren konkretisieren, wie streng „Stand der Technik” auszulegen sei. Parallel arbeite die EU bereits an weiteren Bausteinen — der Cyber Resilience Act (Verordnung 2024/2847), in Kraft getreten am 10. Dezember 2024 mit gestufter Anwendung bis 2027, ergänze die Pflichten für vernetzte Produkte. Die IT-Sicherheits-Welt sei in eine Phase struktureller Verrechtlichung eingetreten, deren Ende noch nicht absehbar sei. Lastenheft werde die Aufsichts-Praxis, die ersten substanziellen Bußgeldfälle und die Interaktion mit DORA, dem Cyber Resilience Act und sektoralen Sonderregimen in den kommenden Ausgaben weiter dokumentieren.