NIS2-Implementierung: Was Sie wissen müssen, um die Anforderungen bis 2026 zu erfüllen

29. April 2026

5 Minuten Lesezeit

Zusammenfassen mit AI

Inzwischen haben die meisten Unternehmer in Europa das Akronym NIS2 gehört. Ob sie etwas dagegen unternommen haben, ist eine andere Frage.

Die Richtlinie wird derzeit in allen 27 Mitgliedstaaten in nationales Recht umgesetzt, wobei einige Länder einen Vorsprung haben und andere noch aufholen müssen. Aber die Richtung ändert sich nicht: Was früher eine freiwillige Anleitung zur Cybersicherheit war, hat jetzt rechtliche Konsequenzen, definierte Fristen und, wenn Sie in der Geschäftsführung sind, eine persönliche Haftung.

Im Folgenden skizziere ich den kritischen Pfad zur NIS2-Konformität, damit Sie verstehen, wie Sie diese Komplexität bewältigen können.

Stanislav Kazanov

Leiter GRC, Cybersicherheit & Nachhaltigkeit

Stanislav bindet Sicherheit und Nachhaltigkeit in die DNA jedes Systems ein. Er navigiert an der Schnittstelle zwischen globaler Compliance und umweltfreundlichem Computing und sorgt dafür, dass Infrastrukturen sowohl kugelsicher gegen Bedrohungen als auch umweltverträglich sind.

Profil ansehen

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist das Flaggschiff der EU-Gesetzgebung zur Verbesserung des grundlegenden Niveaus der Cybersicherheit.

2016 veröffentlichte die EU die erste NIS-Richtlinie, die einen guten Anfang darstellte, aber von einer Bedrohungslandschaft ausging, die heute fast altmodisch wirkt. NIS2 hat die Lehren aus der Vorgängerrichtlinie gezogen und sie durch einen breiteren Rahmen mit länderübergreifend einheitlichen Regeln, höheren Standards, mehr abgedeckten Sektoren und Strafen ersetzt, die so einheitlich sind, dass man sich nicht nach einer milderen Rechtsprechung umsehen kann.

Infolgedessen können Unternehmen in allen Mitgliedstaaten die Cybersicherheit nicht länger als eine “bestmögliche” Aktivität betrachten. Sie müssen sich bewegen in Richtung einen rechtsverbindlichen Rahmen mit klaren Erwartungen in Bezug auf Widerstandsfähigkeit, Meldung von Zwischenfällen und wer die Verantwortung trägt, wenn etwas schief geht.

Checkliste für die NIS2-Einführung: EU-Kernanforderungen

Holen Sie sich Ihre kostenlose Checkliste für die NIS2-Konformität und bewerten Sie Ihren aktuellen Stand der Vorbereitung. So können Sie auf einfache Weise feststellen, was bereits vorhanden ist und was noch beachtet werden muss.

Wie Polen die NIS2 eingeführt hat

Polen hat sein aktualisiertes Gesetz - Änderungen des Gesetzes über das nationale Cybersicherheitssystem - Anfang 2026 verabschiedet. Die Struktur folgt der EU-Richtlinie, teilt aber die Aufsicht in einer Weise auf, die den lokalen institutionellen Regelungen entspricht.

So überwacht CSIRT MON* beispielsweise verteidigungsrelevante Einrichtungen; CSIRT NASK** deckt kritische digitale Infrastrukturen und die öffentliche Verwaltung ab. Andere sektorspezifische Stellen überwachen Bereiche wie Energie, Finanzen, Gesundheitswesen und Verkehr. Darüber hinaus gibt es ein zentrales Register, in dem dokumentiert wird, welche Einrichtungen als wesentlich oder wichtig eingestuft sind.

Ab April 2026 ist die Einhaltung der Meldepflichten, Aufsichtsverfahren und Durchsetzungsverfahren nach polnischem Recht obligatorisch.

Welche Unternehmen sind betroffen?

Der Anwendungsbereich ist größer als bisher. Die Einstufung hängt von zwei Faktoren ab: Sektor und Größe, und geht über die traditionellen kritischen Infrastrukturen hinaus.

Die NIS2 unterscheidet zwischen wichtigen Einrichtungen, deren Störung erhebliche gesellschaftliche oder wirtschaftliche Auswirkungen hätte, und wichtigen Einrichtungen, bei denen die Auswirkungen zwar erheblich, aber weniger kritisch wären.

Wesentliche Einheiten

Große Unternehmen (mehr als 250 Beschäftigte, mehr als 50 Millionen Euro Umsatz) in Schlüsselsektoren oder mittlere Unternehmen in kritischen Sektoren.

Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, digitale Infrastruktur.

Wichtige Einrichtungen

Mittlere Unternehmen (50-249 Beschäftigte, 10 bis 50 Mio. € Umsatz) in Schlüsselsektoren; oder jedes Unternehmen (unabhängig von seiner Größe) in bestimmten Sektoren.

Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel (Großproduzenten und -händler), verarbeitendes Gewerbe (medizinische Geräte, Elektronik).

Auch wenn Sie die Größenschwellen nicht erreichen, können die Behörden Sie je nach den möglichen Auswirkungen einer Unterbrechung Ihres Dienstes als “wesentlich” oder “wichtig” einstufen.

Die wichtigsten Anforderungen an die Cybersicherheit im Rahmen von NIS2

Gemäß der Richtlinie werden Sie nach einem risikobasierten Ansatz arbeiten, was bedeutet, dass die von Ihnen ergriffenen Maßnahmen Folgendes berücksichtigen sollten proportional zur Größe Ihres Unternehmens und zu den Bedrohungen, denen es ausgesetzt sein kann. Diese sind in der Regel durch ein Informationssicherheitsmanagementsystem (ISMS) formalisiert. In diesem Rahmen werden Sie die folgenden Aktivitäten durchführen:

Regelmäßige Risikobewertungen durchführen
Pflege dokumentierter Sicherheitsrichtlinien, die die Rollen, Verantwortlichkeiten und Kontrollen des Unternehmens formalisieren
Einrichtung eines Verfahrens zur Behandlung von Sicherheitsvorfällen, einschließlich Prävention, Erkennung, Meldung und Reaktion innerhalb bestimmter Zeitrahmen für die Benachrichtigung der Behörden
Sicherstellen, dass Pläne für Backup-Management, Notfallwiederherstellung und Krisenmanagement vorhanden sind und bei Störungen funktionieren
Durchführung von Due-Diligence-Prüfungen und kontinuierlicher Überwachung von Lieferanten, einschließlich der Festlegung von Sicherheitsanforderungen und der Sammlung von Lieferantennachweisen
Implementierung grundlegender Systemschutzmaßnahmen wie Zugriffskontrolle, Verschlüsselung, MFA und Patching
Bereitstellung von ISMS-Schulungen für Mitarbeiter und Führungskräfte und Einführung von Verfahren für die sichere Aufnahme und Entlassung von Mitarbeitern in das System

Fachkundige Unterstützung bei der Verwaltung der NIS2-Anforderungen

Bewerten Sie Lücken in der Einhaltung von Vorschriften, implementieren Sie Kontrollen und bleiben Sie mit Innowise auf Prüfungen vorbereitet.

Neue Fristen für die Einhaltung der NIS2

Die EU verlangte von den Mitgliedstaaten, die Richtlinie bis zum 17. Oktober 2024 umzusetzen. Einige haben das getan, andere nicht. Die Fristen hängen nun davon ab, wo Sie registriert sind, da sie auf nationaler Ebene festgelegt werden und von Land zu Land unterschiedlich sind.

Registrierung von Einrichtungen

Dies geschieht in der Regel innerhalb weniger Monate nach Inkrafttreten des nationalen Gesetzes oder wenn Sie als wesentlich oder wichtig eingestuft werden.

Maßnahmen zur Cybersicherheit

Voraussichtlich ab dem Zeitpunkt, an dem das Gesetz für Sie gilt. In der Praxis vom ersten Tag an, auch wenn die Durchsetzung durch die Aufsichtsbehörden gestaffelt sein kann.

Erste Konformitätsprüfung

Wenn Sie ausgewählt werden, erfolgt dies in der Regel innerhalb von 18 bis 24 Monaten, obwohl die Behörden je nach Ihrem Risikoprofil auch schneller handeln können.

Diese Fristen sind Richtwerte und können variieren, je nachdem, wie jeder Mitgliedstaat die NIS2 auf nationaler Ebene umsetzt und durchsetzt. Prüfen Sie also, was in Ihrem Land gilt.

Sanktionen bei Nichteinhaltung

An dieser Stelle wird es dann schon etwas differenzierter. Die Richtlinie legt eine Untergrenze und keine Obergrenze fest: Die Mitgliedstaaten müssen einen Mindestbetrag für die maximalen Geldbußen festlegen, können aber jederzeit höher gehen, wenn sie wollen. Gemäß Artikel 34 müssen sie sicherstellen, dass die Geldbußen wirksam, verhältnismäßig und abschreckend. Im Klartext: groß genug, um wehzutun, fair im Verhältnis zu dem, was man falsch gemacht hat, und ernst genug, dass niemand es sich ansieht und denkt “das Risiko ist es wert”.”

Die Richtlinie unterteilt diese in zwei Stufen für Höchststrafen:

Für wesentliche Entitäten

≥ 10 Millionen €

oder 2 Prozent Ihres weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist

Für wichtige Einrichtungen

≥ 7 Millionen €

oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist

Um zu sehen, wie dies in der Praxis funktioniert, nehmen wir Polen als Beispiel. Die polnischen Rechtsvorschriften spiegeln diese NIS2-Schwellenwerte wider. Für größere Unternehmen gilt die umsatzbasierte Berechnung, d. h. wenn Sie weltweit 1 Milliarde Euro einnehmen, entsprechen 2 Prozent 20 Millionen Euro. Bei schwerwiegenden Verstößen, die die Landesverteidigung, die Sicherheit des Staates oder die öffentliche Sicherheit gefährden, geht das polnische Recht noch weiter und sieht Geldstrafen von bis zu 100 Millionen PLN (rund 23 Millionen Euro) vor.

Das ist eine ganz andere Größenordnung, oder? Es sind also nicht nur die großen Unternehmen, die sich über den Prozentsatz Gedanken machen müssen, sondern jeder, der im falschen Sektor tätig ist.

Warum NIS2 für die Unternehmen in Polen eine große Veränderung bedeutet

Zwei Dinge haben sich geändert.

Erstens: Verantwortlichkeit. Früher war die Verantwortung für Sicherheitsmängel in einem Unternehmen oft so weit gestreut, dass sich keine einzelne Person gefährdet fühlte. Jetzt sind die Vorstände ausdrücklich haftbar. Das ändert die Art und Weise, wie diese Gespräche intern geführt werden.

Zweitens: das Ausmaß. Tausende polnischer Unternehmen, die noch nie mit verpflichtenden Cybersicherheitsaudits konfrontiert waren, sind nun betroffen. Und die strengen 24-Stunden-Frühwarn- und 72-Stunden-Meldefristen bedeuten, dass Sie Überwachungsmaßnahmen und Verfahren einrichten müssen, bevor etwas passiert.

Studien anzeigen dass nur etwa die Hälfte der kleinen und mittleren Unternehmen grundlegende Sicherheitskontrollen implementiert hat und etwa die Hälfte in den letzten zwei Jahren einen Vorfall erlebt hat. Diese Zahlen deuten darauf hin, dass viele Organisationen von hinten anfangen.

* Computer Security Incident Response Team des Ministeriums für nationale Verteidigung

** Computer Security Incident Response Team des Research and Academic Computer Network, dem nationalen Forschungsinstitut Polens

Mehr zu diesem Thema

Blog

Navigieren durch DORA: die EU-Verordnung zur digitalen Resilienz

Blog

Cybersicherheit im Bankwesen: Bedeutung, Bedrohungen, Herausforderungen

Blog

Wie man Datenschutzverletzungen im Gesundheitswesen verhindert: bewährte Sicherheitsverfahren

Kontaktformular

Termin vereinbaren oder füllen Sie das Formular aus. Wir kontaktieren Sie, sobald wir Ihre Anfrage bearbeitet haben.

Name

Unternehmen

E-Mail

Telefon

Nachricht

Sprachnachricht senden

Datei beifügen

Datei hochladen

Sie können 1 Datei mit bis zu 2 MB anhängen. Gültige Dateiformate: pdf, jpg, jpeg, png.

Mit dem Klicken auf Senden erklären Sie sich damit einverstanden, dass Innowise Ihre personenbezogenen Daten gemäß unserer Datenschutzerklärung verarbeitet, um Ihnen relevante Informationen bereitzustellen. Mit Angabe Ihrer Telefonnummer stimmen Sie zu, dass wir Sie per Sprachanruf, SMS oder Messaging-Apps kontaktieren. Es können Gebühren für Anrufe, Nachrichten und Datenübertragung anfallen.

Sie können uns auch kontaktieren
bis hin zu contact@innowise.com

Wie geht es weiter?

Sobald wir Ihre Anfrage erhalten und geprüft haben, melden wir uns bei Ihnen, klären erste Fragen und unterzeichnen bei Bedarf ein NDA, um die Vertraulichkeit zu gewährleisten.

Nach genauer Prüfung Ihrer Anforderungen, Bedürfnisse und Erwartungen wird unser Team einen Projektvorschlag mit Angaben zu Arbeitsumfang, Teamgröße, Zeitaufwand und Kosten erstellen.

Wir vereinbaren einen Termin, um das Angebot gemeinsam zu besprechen und alle Details festzulegen.

Abschließend unterzeichnen wir den Vertrag und starten umgehend mit der Umsetzung Ihres Projekts.