NIS2-Geltungsbereich: Wen betrifft die Richtlinie? | daccord: daccord

Hinweis zur Aktualität: Das Gesetz zur Umsetzung der NIS-2-Richtlinie wurde am 13. November 2025 vom Deutschen Bundestag verabschiedet, am 2. Dezember 2025 ausgefertigt und am 5. Dezember 2025 im Bundesgesetzblatt (BGBl. 2025 I Nr. 301) verkündet.

Was ändert sich mit der NIS2-Richtlinie und wen betrifft sie überhaupt?

Die NIS2-Richtlinie gilt EU-weit und hat das Ziel, das Gesamtniveau der Cybersicherheit in der EU zu steigern. Betroffene Unternehmen müssen geeignete Sicherheitsmaßnahmen ergreifen, erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden und sich aktiv beim BSI registrieren. Bei Verstößen drohen hohe Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes – im schlimmsten Fall sogar der Entzug der Betriebserlaubnis.

Jetzt könnte man denken: Kennen wir das nicht schon? Betreiber kritischer Infrastrukturen (KRITIS) sind doch bereits seit Längerem verpflichtet, spezielle Sicherheitsmaßnahmen zu ergreifen und nachzuweisen. Ja, korrekt. Die NIS2-Richtlinie konkretisiert und erweitert dies nun aber erheblich. Insbesondere hat sich der Geltungsbereich entscheidend ausgeweitet: Nicht nur KRITIS-Betreiber sind von den geforderten Maßnahmen betroffen, sondern auch – neu – „besonders wichtige Einrichtungen" und „wichtige Einrichtungen". In Deutschland sind damit rund 29.500 Einrichtungen reguliert, für die das BSI künftig als Aufsichtsbehörde fungiert. Also schauen wir uns die Richtlinie besser mal etwas genauer an.

Geltungsbereich der Richtlinie

Für wen ist die Richtlinie relevant?

Für wen ist die Richtlinie relevant? Auf die Betreiber kritischer Infrastrukturen (KRITIS) wollen wir im Folgenden nicht näher eingehen. Besonders relevant erscheint der erweiterte Geltungsbereich um besonders wichtige und wichtige Einrichtungen.

BESONDERS WICHTIGE EINRICHTUNGEN

Unternehmen ab 250 Mitarbeitern oder ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR aus den Sektoren nach Anlage 1 der Richtlinie:

Energie: Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
Transport/Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
Finanzen/Versicherung: Banken, Finanzmarkt-Infrastruktur
Gesundheit: Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C Abt. 21), Medizinprodukte
Wasser/Abwasser: Trinkwasser, Abwasser
IT und TK: IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services
Weltraum: Bodeninfrastrukturen
Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung

WICHTIGE EINRICHTUNGEN

Unternehmen ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR aus den Sektoren nach Anlage 1 UND Anlage 2 der Richtlinie. Zusätzlich zu den oben genannten Sektoren kommen Unternehmen aus folgenden Bereichen dazu:

Transport/Verkehr: Post und Kurier
Chemie: Herstellung, Handel, Produktion
Forschung: Forschungseinrichtungen
Verarbeitendes Gewerbe: Medizin/Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)
Digitale Dienste: Marktplätze, Suchmaschinen, soziale Netzwerke
Lebensmittel: Großhandel, Produktion, Verarbeitung
Entsorgung: Abfallbewirtschaftung
Sonderfälle: Vertrauensdienste

BUNDESVERWALTUNG

Die Pflichten für besonders wichtige Einrichtungen gelten in der Regel auch für die Bundesverwaltung. Als Bundesverwaltung im Sinne von NIS2 gelten: Stellen des Bundes, Körperschaften/Anstalten/Stiftungen des öffentlichen Rechts sowie öffentliche Unternehmen mehrheitlich im Bundeseigentum, die IT-Dienstleistungen für die Bundesverwaltung erbringen.

Maßnahmen zum Risikomanagement

Geeignete Maßnahmen zum Risikomanagement

Geeignete Maßnahmen zum Risikomanagement sind nun gesetzlich vorgeschrieben. Die betroffenen Unternehmen sind verpflichtet, „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen."

Minimalanforderungen

Was wird von den Unternehmen erwartet?

Die Definition von geeigneten Maßnahmen lässt sicher einigen Interpretationsspielraum zu. Allerdings werden im Gesetz gewisse Minimalanforderungen definiert, die wichtige und besonders wichtige Einrichtungen mindestens nachweisen müssen:

Wichtige und besonders wichtige Einrichtungen müssen mindestens folgende Maßnahmen nachweisen:

Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
Bewertung der Effektivität von Cybersicherheit und Risiko-Management
Grundlegende Verfahren zur Cyberhygiene inkl. Schulungen zu Cybersicherheit
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Anlagen-Management
Multi-Faktor-Authentisierung und kontinuierliche Authentisierung
Sichere Kommunikation (Sprach-, Video- und Text)

Sie wissen nun, ob Sie betroffen sind. Hier erfahren Sie, was betroffene Unternehmen jetzt konkret tun müssen.

Quellen

Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BGBl. 2025 I Nr. 301, ausgefertigt 02.12.2025
Bundesamt für Sicherheit in der Informationstechnik (BSI): NIS-2-regulierte Unternehmen
BSI-Pressemitteilung vom 13.11.2025: NIS-2-Umsetzung: Bundestag beschließt Cybersicherheitsgesetz

VIDEO ZUR RISIKOANALYSE

Am Beispiel der Auszubildenden Anna Azubi zeigen wir, wie wir in der IAM-Software daccord schnell zu einer ersten Risikobewertung kommen. Wir halten uns dabei an die Schutzziele des BSI:

Vertraulichkeit
Integrität
Verfügbarkeit

und setzen bei den Daten selbst an. Welche Daten sind kritisch für das Unternehmen und wer hat Zugriff darauf?

ZUM VIDEO

Können wir weiterhelfen?

Access Governance als wesentlicher Baustein

daccord erfüllt wesentliche Anforderungen von NIS2 im Hinblick auf die Kontrolle der Zugriffsberechtigungen Ihrer Mitarbeiter. Access Governance wird ein wesentlicher Baustein, um die Anforderungen von NIS2 zu erfüllen. Eine kontinuierliche, rollenbasierte Rezertifizierung von Berechtigungen minimiert Risiken im Hinblick auf einen möglichen Missbrauch oder auf Cyberangriffe.

Können Sie schon sicherstellen, dass nur die Mitarbeiter Zugriff auf wesentliche Informationen haben, die es im Sinne des Need-to-know Prinzips auch dürten?

DEMO VEREINBAREN

Kontakt

info@daccord.de

+49 (0) 69 85 00 02-0