NIS2-Richtlinie
Pflichtmäßiges Cybersicherheitsrisikomanagement für 18 kritische Sektoren. Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
EU-Compliance-Leitfaden
NIS2- & CER-Compliance: Vereinfacht für europäische Unternehmen
Verstehen Sie Ihre Pflichten gemäß der EU-NIS2-Richtlinie und der CER-Richtlinie. Schützen Sie Ihr Unternehmen vor Cyberbedrohungen und vermeiden Sie sechsstellige Bußgelder.
✅ Geprüfte EU-Rechtsquellen✅ Letzte Aktualisierung: Mai 2026✅ DSGVO-konform✅ Keine Rechtsberatung, nur Fakten
Zwei Richtlinien. Ein Compliance-Rahmen.
NIS2 und CER ergänzen sich gegenseitig. Erfahren Sie, wie sie zusammenwirken und warum viele Unternehmen unter beide fallen.
CER-Richtlinie
Physische Resilienzanforderungen für kritische Einrichtungen in den Bereichen Energie, Verkehr, Gesundheit und digitale Infrastruktur.
EU AI Act (KI-Gesetz)
Das weltweit erste Gesetz für Künstliche Intelligenz. Es legt strenge Sicherheits- und Transparenzregeln je nach Risikostufe fest.
Überschneidungen & Synergien
Viele Organisationen fallen unter beide Richtlinien. Erfahren Sie, wie ein einheitliches Compliance-Programm beide Rahmenwerke effizient abdeckt.
Warum NIS2-Compliance jetzt zählt
Die Umsetzungsfrist für NIS2 war der 17. Oktober 2024. Die meisten EU-Mitgliedstaaten haben die Richtlinie inzwischen in nationales Recht überführt, und die ersten Durchsetzungsmaßnahmen werden für 2025 und 2026 erwartet. Das bedeutet: Für betroffene Einrichtungen gibt es keine Schonfrist mehr.
Viele Unternehmen wissen nicht, dass sie in den Anwendungsbereich fallen. NIS2 gilt nicht nur für Energieversorger und Krankenhäuser, sondern auch für mittelgroße Anbieter von IT-Managed Services, Chemieunternehmen, Lebensmittelproduzenten und Forschungseinrichtungen. Die Schwellenwerte sind niedrig: 50 Mitarbeiter oder 10 Mio. € Jahresumsatz reichen aus.
Umsetzungsfrist abgelaufen: 17. Oktober 2024
Erste Durchsetzungsfälle ab 2025 erwartet
Bußgelder bis zu 10 Mio. € oder 2 % des Weltumsatzes
Persönliche Managementhaftung gemäß Artikel 20
Lieferkettenrisiko: Lieferanten können Sie in den Anwendungsbereich bringen
📊 Quick Test
Check NIS2 Scope →Find out if your company is in scope
Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?
NIS2 auf einen Blick
- Wer ist betroffen?
- Mittlere und große Einrichtungen in 18 kritischen Sektoren. Wesentliche Einrichtungen (EE) unterliegen strengeren Pflichten als Wichtige Einrichtungen (IE).
- Kernverpflichtungen
- Risikomanagementmaßnahmen, Lieferkettensicherheit, Multi-Faktor-Authentifizierung (MFA), Verschlüsselung, Meldepflichten und Verantwortlichkeit auf Vorstandsebene.
- Vorfallmeldung
- Die „24-72-1"-Regel: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden und ein abschließender Bericht innerhalb von 1 Monat.
- Maximale Bußgelder
- Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 %.
Betroffene Sektoren (NIS2)
Die NIS2-Richtlinie gilt für Einrichtungen in 18 kritischen und wichtigen Sektoren. Einrichtungen in Anhang I gelten als Wesentliche Einrichtungen (WE) und unterliegen strengeren Auflagen; Einrichtungen in Anhang II gelten als Wichtige Einrichtungen (WI).
Wesentliche Einrichtung (Anhang I)Wichtige Einrichtung (Anhang II)
- EnergieWE
Stromnetzbetreiber, Gasübertragungs- und -verteilungsnetze, Ölpipelines, Wasserstoffinfrastruktur
- VerkehrWE
Fluggesellschaften, Flughäfen, Eisenbahnbetreiber, Reedereien, Hafenbehörden, Straßenverkehrsmanagement
- BankwesenWE
Kreditinstitute und nach EU-Recht zugelassene Banken
- FinanzmärkteWE
Handelsplätze, zentrale Gegenparteien (CCPs), Transaktionsregister
- GesundheitWE
Krankenhäuser, klinische Labore, Pharmaunternehmen mit F&E, Medizingerätehersteller
- TrinkwasserWE
Lieferanten und Verteiler von Wasser für den menschlichen Gebrauch
- AbwasserWE
Betreiber zur Sammlung oder Behandlung von kommunalem Abwasser und Industrieabwasser
- Digitale InfrastrukturWE
DNS-Anbieter, TLD-Register, IXPs, Cloud-Anbieter, CDNs, Rechenzentren, Telekommunikationsnetze
- IKT-DienstverwaltungWE
Managed-Service-Anbieter (MSPs), Managed-Security-Service-Anbieter (MSSPs)
- Öffentliche VerwaltungWE
Zentrale Regierungsstellen; regionale und kommunale Verwaltungen nach nationalem Recht
- WeltraumWE
Betreiber bodengestützter Infrastruktur für weltraumgestützte Dienste (z.B. Satellitennavigation, Erdbeobachtung)
- Post- und KurierdiensteWI
Post- und Kurierdienste einschließlich Paketzustellnetze
- AbfallwirtschaftWI
Betreiber für Sammlung, Transport und Entsorgung von gefährlichen und nicht gefährlichen Abfällen
- ChemikalienWI
Hersteller und Händler gefährlicher Chemikalien; SEVESO-Betriebe
- LebensmittelproduktionWI
Große Lebensmittelverarbeitungsunternehmen und Großhändler
- FertigungWI
Hersteller von Medizinprodukten, Computern & Elektronik, Maschinen, Kraftfahrzeugen, Transportmitteln
- Digitale AnbieterWI
Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerkplattformen
- ForschungWI
Forschungseinrichtungen und Universitäten mit sicherheitsrelevantem oder kritischem Forschungsauftrag
Für wen ist diese Seite?
NIS2Dir.eu wurde für Fachleute entwickelt, die klare, faktenbasierte Antworten zu EU-Cybersicherheitspflichten benötigen, ohne Fachjargon oder Marketing.
Compliance-Beauftragte
In den Bereichen Energie, Verkehr, Finanzen, Gesundheit und digitale Infrastruktur — zur Umsetzung von Artikel-21-Pflichten.
IT-Manager
In mittelgroßen und großen Unternehmen, die für Sicherheitsbetrieb, Incident Response und Risikomanagement verantwortlich sind.
MSPs & MSSPs
Managed-Service- und Sicherheitsanbieter, die Kunden bei der NIS2-Compliance in verschiedenen Sektoren unterstützen.
Vorstände & Führungskräfte
Leitungsorgane, die ihre persönliche Haftung nach Artikel 20 und ihre rechtlichen Verantwortlichkeiten verstehen müssen.
Neue Leitfäden & Updates
Wir veröffentlichen regelmäßig praxisorientierte Leitfäden zu NIS2 und CER. Hier sind unsere neuesten Artikel:
NIS2 vs. DSGVO
Wann beide Gesetze gleichzeitig gelten und wie Sie eine kombinierte Incident Response für beide Regulatoren aufbauen.
Artikel lesen →NIS2-Vorfallsmeldung: Der 24-72-1-Leitfaden
Schritt-für-Schritt zur Artikel-23-Meldepflicht: Fristen, Inhalte und länderspezifische Meldeportale.
Artikel lesen →NIS2-Managementhaftung
Was Artikel 20 für Vorstände und Geschäftsführer bedeutet: Schulungspflicht, persönliche Haftung und Suspendierung.
Artikel lesen →Vertrauenswürdige Quellen
Alle Informationen auf dieser Website stammen aus dem Amtsblatt der Europäischen Union, den ENISA-Leitlinien und den Veröffentlichungen nationaler Behörden. Wir zitieren keine Zusammenfassungen Dritter als Primärquellen.
- ↗NIS2 Directive (EU 2022/2555) — Volltext im Amtsblatt der EU
- ↗CER Directive (EU 2022/2557) — Richtlinie über die Resilienz kritischer Einrichtungen
- ↗Implementing Regulation (EU) 2024/2690 — Technische und methodische Anforderungen für Cybersicherheitsmaßnahmen
- ↗AI Act (Regulation EU 2024/1689) — Die europäische KI-Verordnung im Amtsblatt der EU
- ↗ENISA: NIS2 Resources — Leitlinien und Ressourcen der EU-Agentur für Cybersicherheit
Ist Ihr Unternehmen NIS2-konform?
Erfahren Sie, welche spezifischen Maßnahmen des Artikels 21 für Ihr Unternehmen gelten und wie Sie die Frist einhalten.
NIS2-Anforderungen lesen →