Compliance-Leitfaden

Die NIS2-Richtlinie und Ihre Dokumente: Was EU-Unternehmen wissen müssen

NIS2 ist die größte Ausweitung der EU-Cybersicherheitsregulierung seit einem Jahrzehnt. Sie betrifft über 160.000 Einrichtungen in 18 Sektoren — und das meiste, was sie fordert, ist Dokumentation. Risikoregister, Vorfallsprotokolle, Richtlinienfreigaben, Lieferantenbewertungen, Schulungsnachweise. Hier erfahren Sie, was Sie tatsächlich tun müssen.

Zuletzt aktualisiert: April 2026

Die kurze Antwort

→ NIS2 ist primär eine Herausforderung für Dokumentation und Governance, nicht für die Technologie. Sieben der zehn obligatorischen Sicherheitsmaßnahmen gemäß Artikel 21 beziehen sich grundlegend auf dokumentierte Prozesse, genehmigte Richtlinien und prüfbare Nachweise.
→ Wenn Ihr Unternehmen in einem der 18 betroffenen Sektoren tätig ist und 50 oder mehr Mitarbeiter hat (oder einen Jahresumsatz von über 10 Mio. € erzielt), sind Sie sehr wahrscheinlich betroffen — entweder als wesentliche oder als wichtige Einrichtung.
Fazit: Ein Dokumentenmanagementsystem macht Sie allein nicht NIS2-konform. Aber schlechtes Dokumentenmanagement — fehlende Richtlinien, keine Versionshistorie, keine Genehmigungspfade — garantiert, dass Sie ein Audit nicht bestehen werden.

Was ist NIS2 und warum ist es wichtig?

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS2) ist die Richtlinie (EU) 2022/2555, die im Dezember 2022 verabschiedet wurde und seit Januar 2023 in Kraft ist. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016. Die Ausweitung des Anwendungsbereichs ist enorm: NIS1 deckte etwa 15.000 Einrichtungen in 7 Sektoren ab. NIS2 betrifft über 160.000 Einrichtungen in 18 Sektoren. Das ist eine verzehnfachte Reichweite.

Die Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 in nationales Recht umsetzen. Stand April 2026 haben dies 21 von 27 Mitgliedstaaten getan. Die Europäische Kommission hat im Mai 2025 mit Gründen versehene Stellungnahmen an 19 Mitgliedstaaten gesendet, weil diese die vollständige Umsetzung nicht gemeldet hatten. Deutschland hat die Umsetzung im Dezember 2025 abgeschlossen. Frankreich wird sein Loi Résilience voraussichtlich Mitte 2026 finalisieren. Die Durchsetzung hat bereits begonnen.

Aspekt	NIS1 (2016)	NIS2 (2022)
Betroffene Einrichtungen	~15.000	~160.000+
Abgedeckte Sektoren	7	18
Maximale Geldbuße	Je nach Mitgliedstaat unterschiedlich	10 Mio. € oder 2 % des weltweiten Umsatzes
Haftung der Geschäftsführung	Keine	Persönliche Haftung (Art. 20)
Meldung von Vorfällen	„Ohne unnötige Verzögerung“	24h / 72h / 1 Monat (Art. 23)
Anforderungen an die Lieferkette	Keine	Verpflichtend (Art. 21(2)(d))

Dennoch sind laut einer im April 2026 veröffentlichten CyberSmart-Umfrage unter 670 Unternehmensleitern in acht EU-Ländern nur 16 % der betroffenen Unternehmen vollständig NIS2-konform. Die Haupthindernisse sind Budgetbeschränkungen und ein Mangel an Anleitung zur Umsetzung der Maßnahmen. Dieser Leitfaden befasst sich mit dem zweiten Problem.

Sind Sie betroffen?

NIS2 gilt für Einrichtungen, die in einem der 18 festgelegten Sektoren tätig sind UND den Schwellenwert für die Größe erreichen. Es gibt zwei Klassifizierungen: wesentliche (höhere Verpflichtungen, proaktive Aufsicht) und wichtige Einrichtungen (reaktive Aufsicht, aber es gelten dieselben Kernsicherheitsmaßnahmen).

Der allgemeine Schwellenwert ist ein mittleres Unternehmen oder größer: 50 oder mehr Mitarbeiter ODER ein Jahresumsatz von über 10 Millionen € ODER eine Jahresbilanzsumme von über 10 Millionen €. Einige Einrichtungen fallen unabhängig von ihrer Größe darunter — dazu gehören DNS-Anbieter, TLD-Register, Vertrauensdiensteanbieter und Anbieter öffentlicher elektronischer Kommunikationsnetze.

Die 18 Sektoren sind auf zwei Anhänge verteilt. Für beide gelten dieselben Sicherheitsanforderungen nach Artikel 21. Der Unterschied liegt darin, wie die Aufsichtsbehörden mit Ihnen interagieren:

Klassifizierung	Sektoren (Anhang)	Aufsicht
Wesentlich (Anhang I)	Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum	Proaktiv — Behörden können jederzeit Audits, Inspektionen und Nachweise verlangen
Wichtig (Anhang II)	Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion und -vertrieb, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung	Reaktiv — Behörden ermitteln nach einem Vorfall oder wenn Hinweise auf Nichteinhaltung vorliegen

Hinweis: Der Änderungsvorschlag der Kommission vom Januar 2026 führt eine neue Kategorie „kleine Mid-Caps“ für Unternehmen mit weniger als 750 Mitarbeitern und einem Umsatz unter 150 Millionen € ein. Nach diesem Vorschlag würden kleine Mid-Caps als wichtig statt als wesentlich eingestuft, selbst wenn sie in Sektoren des Anhangs I tätig sind. Dies befindet sich noch in den Gesetzgebungsverhandlungen und ist noch nicht in Kraft.

Die 10 obligatorischen Sicherheitsmaßnahmen (Artikel 21)

Artikel 21 Absatz 2 listet zehn Mindestsicherheitsmaßnahmen auf, die jede betroffene Einrichtung umsetzen muss. Dies sind keine Empfehlungen — es sind gesetzliche Anforderungen, die in der Durchführungsverordnung (EU) 2024/2690 der Kommission weiter präzisiert werden.

Die wichtigste Erkenntnis: Schauen Sie sich die Spalte „Erforderliches Dokument“ an. Sieben der zehn Maßnahmen bestehen im Kern darin, dokumentierte, genehmigte und prüfbare Richtlinien oder Verfahren zu haben. Hier wird Dokumentenmanagement direkt relevant.

#	Anforderung	Bedeutung	Erforderliches Dokument
(a)	Risikoanalyse und Leitlinien für die Informationssicherheit	Risiken identifizieren, bewerten und dokumentieren, wie Sie damit umgehen	Risikoregister, Methodik zur Risikobewertung, Sicherheitsrichtlinie
(b)	Bewältigung von Vorfällen	Sicherheitsvorfälle erkennen, darauf reagieren und daraus lernen	Incident-Response-Plan, Eskalationsmatrix, Vorlage für Post-Incident-Reviews
(c)	Aufrechterhaltung des Geschäftsbetriebs und Krisenmanagement	Backup-Management, Disaster Recovery und Krisenreaktion	Business-Continuity-Plan, Disaster-Recovery-Plan, Backup-Richtlinie
(d)	Sicherheit der Lieferkette	Cybersicherheitsrisiken Ihrer Lieferanten bewerten und verwalten	Sicherheitsrichtlinie für Lieferanten, Aufzeichnungen über Lieferantenbewertungen
(e)	Sicherheit bei Erwerb, Entwicklung und Wartung	Umgang mit Schwachstellen und sichere Entwicklungspraktiken	Patch-Management-Verfahren, Vulnerability-Disclosure-Richtlinie
(f)	Bewertung der Wirksamkeit	Prüfen, ob Ihre Sicherheitsmaßnahmen tatsächlich funktionieren	Interner Auditplan, Testberichte, KPI-Dashboard
(g)	Grundlegende Cyberhygiene und Schulungen	Mitarbeiter schulen und Sicherheitspraktiken als Routine etablieren	Schulungsplan, Teilnehmerlisten, Sensibilisierungsmaterialien
(h)	Kryptografie und Verschlüsselung	Richtlinien zur Verschlüsselung von Daten (ruhend und bei Übertragung)	Kryptografie-Richtlinie, Verfahren zur Schlüsselverwaltung
(i)	Sicherheit des Personals und Zugriffskontrolle	Verwalten, wer worauf Zugriff hat, vom Onboarding bis zum Offboarding	Zugriffskontrollrichtlinie, Joiner/Mover/Leaver-Verfahren
(j)	Multi-Faktor-Authentisierung und sichere Kommunikation	MFA für kritische Systeme, gesicherte Sprach-/Video-/Textkommunikation	MFA-Richtlinie, Standards für sichere Kommunikation

NIS2 ist ein Dokumentationsproblem

Hier greifen die meisten NIS2-Leitfäden zu kurz. Sie erklären die 10 Maßnahmen, listen die Sektoren auf und machen weiter. Aber die eigentliche Herausforderung bei der Compliance ist nicht die Implementierung einer Firewall oder die Aktivierung von MFA — die meisten mittelständischen Unternehmen haben das bereits. Die Herausforderung besteht darin, es zu beweisen.

Auditoren prüfen nicht Ihre Firewall-Regeln. Sie prüfen Ihre Dokumentation. Sie wollen sehen, dass Richtlinien existieren, aktuell sind (innerhalb der letzten 12 Monate überprüft), eine dokumentierte Genehmigung der Geschäftsführung haben und mit einer Änderungshistorie versehen sind. Unter NIS2 ist der Nachweis die Compliance.

Die Durchführungsverordnung (EU) 2024/2690 übersetzt Artikel 21 in etwa 30 spezifische Dokumente, die Einrichtungen erstellen und pflegen müssen. Diese sind nicht optional — sie sind das, was Aufsichtsbehörden bei einem Audit oder nach einem Vorfall anfordern werden.

Nachweistyp	Was Auditoren prüfen	Wie ein DMS hilft
Richtliniendokumente	Aktuelle Version, Freigabe durch Geschäftsführung, Überprüfungsdatum, Versionshistorie	Versionskontrolle, Genehmigungs-Workflows, Audit-Trail für jede Änderung
Risikoregister	Asset-Risiko-Kontroll-Mapping, benannte Verantwortliche, Behandlungsstatus, Überprüfungsprotokolle	Strukturierte Speicherung mit Metadaten, Suche nach Verantwortlichem oder Status
Vorfallsprotokolle	Zeitplan, Klassifizierung, Reaktionsmaßnahmen, Post-Incident-Review, mindestens 5 Jahre Aufbewahrung	Unveränderliche Audit-Logs, Aufbewahrungsrichtlinien, Volltextsuche
Lieferantenbewertungen	Ausgefüllte Fragebögen, Sicherheitsklauseln in Verträgen, regelmäßige Überprüfungen	Vertragsablage, Tagging nach Lieferant, Verlängerungserinnerungen
Schulungsnachweise	Teilnehmerlisten, Abschlussdaten, Nachweis über Schulung der Geschäftsführung	Dokumentenarchivierung, datumsbasierte Suche, nach Kategorien organisiert
Entscheidungen der Geschäftsführung	Protokolle von Vorstandssitzungen zur Cybersicherheit, Freigabe der Risikoakzeptanz	Genehmigungs-Workflows mit Zeitstempeln und benannten Genehmigern

Das wiederkehrende Thema ist die Rückverfolgbarkeit. Jedes Dokument muss beantworten: Wer hat es wann erstellt, wer hat es wann genehmigt, wann wurde es zuletzt überprüft und was hat sich gegenüber der Vorversion geändert? Ein Ordner auf einem Netzlaufwerk bietet dies nicht. Ein DMS mit Versionshistorie und Genehmigungs-Workflows schon.

Meldung von Vorfällen: Die 24-72-1-Regel

Artikel 23 schreibt einen dreistufigen Meldeprozess für erhebliche Vorfälle vor. Das Versäumen dieser Fristen ist an sich schon ein Compliance-Verstoß. Jede Stufe erfordert dokumentierte Nachweise — was bedeutet, dass die Qualität Ihrer Vorfallsprotokolle direkt mit Ihrem regulatorischen Risiko verknüpft ist.

24 Stunden

Frühwarnung

Benachrichtigen Sie Ihr nationales CSIRT innerhalb von 24 Stunden, nachdem Sie Kenntnis von einem erheblichen Vorfall erlangt haben. Dies ist eine vorläufige Warnung — keine vollständige Analyse.

72 Stunden

Meldung des Vorfalls

Reichen Sie eine erste Bewertung des Vorfalls ein: Schweregrad, Auswirkungen, Indikatoren für eine Kompromittierung und grenzüberschreitende Auswirkungen.

1 Monat

Abschlussbericht

Erstellen Sie einen umfassenden Bericht: Ursachenanalyse, ergriffene Abhilfemaßnahmen und grenzüberschreitende Auswirkungen. Falls der Vorfall noch andauert, reichen Sie stattdessen einen Fortschrittsbericht ein.

In der Praxis geraten Organisationen ohne strukturiertes Dokumentenmanagement unter Zeitdruck unter Stress, um Beweise für Vorfälle zusammenzutragen. Diejenigen, die organisierte Aufzeichnungen führen — mit Zeitstempeln, Versionshistorie und durchsuchbaren Archiven —, können das, was die Behörden benötigen, innerhalb von Stunden statt Wochen liefern.

Wie ist der Stand in Ihrem Land?

NIS2 hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. In der Realität verlief die Umsetzung schleppend. Stand April 2026 haben laut dem ECSO-Tracker 21 von 27 Mitgliedstaaten die Umsetzung abgeschlossen. Die Europäische Kommission hat im Mai 2025 mit Gründen versehene Stellungnahmen an 19 Staaten gesendet und ihnen zwei Monate Zeit gegeben, die Umsetzung abzuschließen oder ein Verfahren vor dem Gerichtshof zu riskieren.

Hier ist der Status der sechs größten EU-Volkswirtschaften:

Land	Status	Details
Deutschland	Umgesetzt	BSI-Gesetz am 6. Dezember 2025 verabschiedet. Ohne Übergangsfrist in Kraft. Erste Geldbuße verhängt: 850.000 € gegen einen Cloud-Anbieter (Februar 2026).
Frankreich	In Arbeit	Loi Résilience hat die erste Lesung in der Nationalversammlung bestanden. Endgültige Verabschiedung für Q1/Q2 2026 erwartet. ANSSI hat Ermittlungen gegen 14 Einrichtungen eingeleitet.
Italien	Umgesetzt	Gesetzesdekret 138/2024 seit Oktober 2024 in Kraft. ACN meldet über 4.800 registrierte Einrichtungen; ca. 2.000 sind noch nicht registriert.
Spanien	Stockt	In naher Zukunft sind keine gesetzgeberischen Fortschritte zu erwarten.
Niederlande	In Arbeit	Cybersecurity Act (Cbw) in Vorbereitung. Frist für die Selbsteinschätzung der Einrichtungen auf Juni 2026 festgelegt.
Polen	In Arbeit	Änderung des Gesetzes über das nationale Cybersicherheitssystem steht kurz vor dem Abschluss.

Auch wenn Ihr Land NIS2 noch nicht umgesetzt hat, gilt die Richtlinie.

NIS2 ist seit dem 18. Oktober 2024 als EU-Recht in Kraft. Die nationalen Behörden werden die Anforderungen rückwirkend durchsetzen, sobald die Umsetzung abgeschlossen ist. Jetzt mit der Compliance zu beginnen — statt auf die nationale Gesetzgebung zu warten —, ist die einzige vertretbare Position.

Die Strafen sind real

NIS2 führt zwei Stufen von Verwaltungsgeldbußen ein, die an die Sanktionsstruktur der GDPR (DSGVO) angelehnt sind. Die Mitgliedstaaten können Höchstbeträge festlegen, die über diesen Untergrenzen liegen, aber nicht darunter.

Einrichtungstyp	Maximale Geldbuße	Umsatzalternative	Zusätzliche Befugnisse
Wesentlich	10.000.000 €	oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)	Verbindliche Anweisungen, Sicherheitsaudits auf Kosten der Einrichtung, vorübergehende Managementverbote
Wichtig	7.000.000 €	oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)	Verbindliche Anweisungen, Sicherheitsaudits auf Kosten der Einrichtung

Artikel 20 ergänzt die persönliche Haftung: Leitungsorgane müssen Cybersicherheits-Risikomanagementmaßnahmen genehmigen und deren Umsetzung überwachen. Mitglieder der Geschäftsführung können für die Nichteinhaltung persönlich haftbar gemacht werden. In einigen Mitgliedstaaten, darunter Deutschland, erstreckt sich dies auf vorübergehende Verbote, Managementpositionen innezuhaben.

Die Durchsetzung folgt dem frühen Muster der DSGVO. Das deutsche BSI hat im 4. Quartal 2025 47 formelle Bescheide und im Februar 2026 seine erste Geldstrafe (850.000 € gegen einen Cloud-Dienstleister) erlassen. Die französische ANSSI hat 14 Untersuchungen eingeleitet. Die italienische ACN hat sich auf die Durchsetzung der Registrierung konzentriert. Es wird erwartet, dass die Zahl der hohen Geldstrafen im Zeitraum 2026–2027 mit zunehmender Reife der nationalen Durchsetzung steigen wird.

Der Vereinfachungsvorschlag vom Januar 2026

Am 20. Januar 2026 veröffentlichte die Europäische Kommission einen Vorschlag für gezielte Änderungen an NIS2 als Teil eines umfassenderen Cybersicherheitspakets. Das erklärte Ziel ist es, die Compliance zu vereinfachen, die Rechtssicherheit zu erhöhen und die Umsetzung zu harmonisieren. Der Vorschlag wird das ordentliche Gesetzgebungsverfahren durchlaufen, wobei eine politische Einigung für Anfang 2027 angestrebt wird.

Hier ist, was sich ändern könnte — und was nicht:

Wird sich NICHT ändern

×Die 10 obligatorischen Sicherheitsmaßnahmen (Artikel 21)
×Dokumentations- und Nachweispflichten
×Fristen für die Meldung von Vorfällen (24h/72h/1 Monat)
×Sanktionsstruktur und Haftung der Geschäftsführung

Könnte sich ändern (Vorschlagsstadium)

✓Neue Kategorie „kleine Mid-Caps“ (< 750 Mitarbeiter, < 150 Mio. € Umsatz) — Einstufung als wichtig statt wesentlich
✓Zertifizierungsbasierter Compliance-Pfad über den EU-Cybersicherheits-Zertifizierungsrahmen
✓Kleinst- und kleine DNS-Anbieter fallen aus dem Anwendungsbereich
✓Maximale Harmonisierung für Durchführungsrechtsakte — weniger nationale Abweichungen

Die Richtung ist klar: Die Einhaltung von NIS2 wird einfacher, nicht schwächer. Die Kernverpflichtungen bleiben bestehen. Wenn Sie die Compliance hinauszögern in der Hoffnung, dass die Änderungen Sie befreien, gehen Sie ein rechtliches Risiko ein. Der Vorschlag grenzt den Anwendungsbereich an den Rändern ein, reduziert aber nicht die Anforderungen für Unternehmen, die im Anwendungsbereich bleiben.

Praktische Checkliste für KMU

Wenn Sie dies lesen, weil Ihr Compliance-Beauftragter gesagt hat: „Wir könnten in den Anwendungsbereich fallen“ — hier ist der minimal gangbare Weg nach vorne. Dies ist kein umfassender NIS2-Implementierungsplan. Es ist eine Reihe von Maßnahmen, die Sie von Null zur Audit-Bereitschaft für die Dokumentationsanforderungen bringen.

Feststellen, ob Sie in den Anwendungsbereich fallen

Prüfen Sie Ihren Sektor anhand der Anhänge I und II. Wenden Sie den Schwellenwert für die Größe an (50+ Mitarbeiter oder 10 Mio. €+ Umsatz). Wenn Sie unsicher sind, konsultieren Sie das Register Ihrer nationalen Behörde — mehrere Mitgliedstaaten haben Unternehmenslisten oder Selbstbewertungstools veröffentlicht.

Einstufung als wesentliche oder wichtige Einrichtung

Sektoren in Anhang I sind in der Regel wesentlich; Sektoren in Anhang II sind in der Regel wichtig. Die Unterscheidung beeinflusst die Intensität der Aufsicht, aber nicht die Kernanforderungen nach Artikel 21. Dokumentieren Sie die Begründung Ihrer Einstufung.

Durchführung einer Gap-Analyse anhand der 10 Maßnahmen

Beantworten Sie für jede der 10 Maßnahmen nach Artikel 21: Haben wir eine dokumentierte Richtlinie? Ist sie von der Geschäftsführung genehmigt? Wurde sie in den letzten 12 Monaten überprüft? Haben wir Nachweise für die Umsetzung? Notieren Sie die Lücken.

Erstellen Sie Ihr Nachweis-Paket

Beginnen Sie mit den drei Kernregistern: Risiko, Vorfälle und Lieferanten. Fügen Sie eine Informationssicherheitsrichtlinie, einen Business-Continuity-Plan und ein Schulungsprotokoll hinzu. Jedes Dokument benötigt einen Verantwortlichen, ein Prüfdatum, eine Versionskontrolle und die Genehmigung der Geschäftsführung.

Einrichten des Dokumenten-Lebenszyklus-Managements

Jedes NIS2-Richtliniendokument benötigt ein Erstellungsdatum, ein Genehmigungsprotokoll, einen Überprüfungszeitplan und eine Versionshistorie. Wenn Sie dies in einem freigegebenen Ordner verwalten, verlieren Sie innerhalb weniger Monate den Überblick. Ein DMS mit Genehmigungs-Workflows und Audit-Trails macht dies nachhaltig.

Management-Reviews und Schulungen planen

Artikel 20 verpflichtet die Leitungsorgane, Cybersicherheitsmaßnahmen zu genehmigen und an Schulungen teilzunehmen. Planen Sie vierteljährliche Überprüfungen, dokumentieren Sie die Teilnahme und führen Sie Protokoll über Entscheidungen. Dies sind die Nachweise, die Auditoren zuerst prüfen.

Wie Veluvanto bei der NIS2-Dokumentation hilft

Veluvanto ist keine GRC-Plattform. Es ersetzt weder Ihre Risikoanalytik noch Ihre Verfahren zur Reaktion auf Vorfälle. Was es bietet, ist die Ebene des Dokumentenmanagements, die NIS2-Nachweise nachhaltig macht — der Teil, mit dem die meisten Unternehmen nach dem ersten Compliance-Anstoß zu kämpfen haben.

✓Versionsgesteuerte Dokumentenablage: Jede Bearbeitung wird mit Zeitstempel, Benutzer und vorheriger Version protokolliert. Sie können den Zustand jedes Dokuments zu jedem beliebigen Zeitpunkt rekonstruieren — genau das, was Auditoren verlangen.
✓Genehmigungs-Workflows: Leiten Sie Richtliniendokumente zur Abzeichnung durch das Management mit verfolgbarem Status weiter. Die Genehmigungskette erstellt den Nachweispfad, den Artikel 20 fordert.
✓Vollständiger Audit-Trail: Jede Dokumentenaktion (Hochladen, Anzeigen, Bearbeiten, Genehmigen, Archivieren) wird protokolliert. Keine manuelle Nachverfolgung erforderlich — Compliance-Nachweise werden automatisch generiert.
✓AI-gestützte Suche und Organisation: Finden Sie jedes Dokument in Sekundenschnelle mit Abfragen in natürlicher Sprache. Wenn ein Auditor nach Ihren Sicherheitsbewertungen für Lieferanten aus dem 3. Quartal fragt, können Sie diese sofort abrufen, anstatt Ordner zu durchsuchen.
✓EU-Datenresidenz und Verschlüsselung: Dokumente werden in der EU mit AES-256-Verschlüsselung (im Ruhezustand und bei der Übertragung) gespeichert. Keine Daten verlassen die EU-Datengrenze — im Gegensatz zu bestimmten AI-gestützten Tools, die die Verarbeitung bei hoher Nachfrage über US-Rechenzentren leiten.
✓GDPR-konform durch Design: Isolierung pro Mandant, SSE-C-Verschlüsselung und Datenlebenszyklus-Management. NIS2 und GDPR überschneiden sich erheblich in ihren Dokumentationsanforderungen — ein System, das die eine erfüllt, bringt Sie bei der anderen ein großes Stück weiter.

Der schwierigste Teil der NIS2-Compliance ist nicht die Ersteinrichtung — es ist die Aufrechterhaltung der Nachweise über die Zeit. Richtlinien veralten, Überprüfungen werden ausgelassen, Schulungsunterlagen verschwinden. Ein DMS, das Versionskontrolle erzwingt, Genehmigungen verfolgt und jede Aktion protokolliert, macht Compliance von einem vierteljährlichen Kraftakt zu einem Hintergrundprozess.

Quellen und weiterführende Literatur

Dieser Leitfaden basiert auf den folgenden Primärquellen. Die Daten in Klammern geben das Veröffentlichungsdatum oder das Datum der letzten Aktualisierung der jeweiligen Quelle an.

Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) — Volltext auf EUR-Lex (Dezember 2022)
Durchführungsverordnung (EU) 2024/2690 der Kommission — Technische Maßnahmen für die NIS2-Compliance (Oktober 2024)
COM(2026) 13 — Vorschlag für gezielte NIS2-Änderungen und Angleichung an den Cybersecurity Act (Januar 2026)
ECSO NIS2 Transposition Tracker — 21/27 Mitgliedstaaten haben die Richtlinie bis April 2026 umgesetzt
Europäische Kommission, mit Gründen versehene Stellungnahme an 19 Mitgliedstaaten zur NIS2-Umsetzung (Mai 2025)
CyberSmart, „Nur 16 % der Unternehmen sind vollständig NIS2-konform“ — Umfrage unter 670 Unternehmensleitern (April 2026)
ENISA, Leitfaden zur technischen Umsetzung von NIS2 (2025)
Deutschland BSI — Erstes NIS2-Bußgeld: 850.000 € gegen Cloud-Service-Anbieter (Februar 2026)
Folgenabschätzung der Europäischen Kommission — NIS2-Anwendungsbereich: ca. 160.000 Einrichtungen in 18 Sektoren

Häufig gestellte Fragen

Gilt NIS2 für kleine Unternehmen?

Im Allgemeinen gilt NIS2 für mittlere und größere Unternehmen (50+ Mitarbeiter oder 10 Mio. €+ Jahresumsatz), die in einem der 18 benannten Sektoren tätig sind. Die meisten kleinen Unternehmen mit weniger als 50 Mitarbeitern fallen nicht direkt in den Anwendungsbereich. Einige Einrichtungen qualifizieren sich jedoch unabhängig von ihrer Größe — darunter DNS-Anbieter, TLD-Register, Vertrauensdiensteanbieter und Alleinanbieter wesentlicher Dienste in einem Mitgliedstaat. Wenn Sie zudem Lieferant einer Einrichtung im Anwendungsbereich sind, können deren Verpflichtungen zur Sicherheit der Lieferkette (Artikel 21 Absatz 2 Buchstabe d) vertraglich an Sie weitergegeben werden.

Welche Dokumente benötige ich für die NIS2-Compliance?

Die Durchführungsverordnung der Kommission (CIR 2024/2690) identifiziert etwa 30 Dokumente für die 10 Maßnahmen nach Artikel 21. Das minimal erforderliche Set umfasst: eine Informationssicherheitsrichtlinie, ein Risikoregister mit Behandlungsplänen, einen Notfallreaktionsplan, einen Business-Continuity-Plan, eine Sicherheitsrichtlinie für Lieferanten, einen Schulungs- und Sensibilisierungsplan, eine Zugriffskontrollrichtlinie, eine Kryptographie-Richtlinie, eine MFA-Durchsetzungsrichtlinie und einen internen Audit-Zeitplan. Alle müssen versionsgesteuert, von der Geschäftsführung genehmigt und mindestens jährlich überprüft werden.

Wie viel kostet die NIS2-Compliance für ein KMU?

Die Kosten variieren erheblich je nach Ausgangslage. Wenn Sie bereits über eine ISO 27001-Zertifizierung verfügen, ist die Lücke gering — NIS2 orientiert sich eng an den ISO 27001-Kontrollen. Wenn Sie bei Null anfangen, müssen Sie mit 50–200 Stunden interner Arbeit über 3–6 Monate für Dokumentation, Gap-Analyse und Management-Schulung rechnen. Externe Beratungskosten liegen je nach Umfang und Komplexität zwischen 5.000 € und 30.000 €. Die laufenden Kosten bestehen primär aus Zeit: vierteljährliche Überprüfungen, jährliche Richtlinienaktualisierungen und Schulungsnachweise.

Kann ein DMS mich NIS2-konform machen?

Nein. Ein DMS ist eine Ebene des Compliance-Stacks, nicht das Ganze. NIS2 erfordert technische Kontrollen (Firewalls, MFA, Verschlüsselung), organisatorische Maßnahmen (Risikomanagement, Verfahren zur Reaktion auf Vorfälle) und Governance (Verantwortlichkeit des Managements, Schulung). Ein DMS deckt die Dokumentations- und Nachweisebene ab: versionsgesteuerte Richtlinien, Genehmigungs-Workflows, Audit-Trails und organisierte Aufzeichnungen. Diese Ebene ist notwendig, aber nicht ausreichend. Betrachten Sie es als das Ablagesystem für Ihre Compliance-Nachweise — ohne es können Sie Ihre Konformität nicht beweisen.

Was passiert, wenn mein Land NIS2 noch nicht umgesetzt hat?

NIS2 ist EU-Recht und seit dem 18. Oktober 2024 in Kraft — unabhängig davon, ob Ihr Mitgliedstaat die nationale Umsetzung abgeschlossen hat. Sobald nationale Gesetze verabschiedet sind, wird die Durchsetzung den Zeitraum ab dem ursprünglichen Anwendungsdatum abdecken. Jetzt mit der Compliance zu beginnen, ist der einzige vertretbare Ansatz. Das Warten auf die nationale Gesetzgebung ist keine gültige Verteidigung gegen künftige Durchsetzungsmaßnahmen.

Wie verhält sich NIS2 zur GDPR?

NIS2 und GDPR überschneiden sich in mehreren Bereichen: Beide erfordern dokumentierte Risikobewertungen, beide schreiben Verfahren zur Meldung von Vorfällen vor (GDPR: 72 Stunden bei Verletzungen des Schutzes personenbezogener Daten; NIS2: 24/72 Stunden/1 Monat bei erheblichen Vorfällen), beide fordern die Verantwortlichkeit des Managements und beide sehen hohe Bußgelder vor. Wenn Sie bereits GDPR-konform sind, haben Sie einen Vorsprung bei NIS2 — insbesondere bei Dokumentationspraktiken, Zugriffskontrolle und Verschlüsselung. Die wesentlichen Ergänzungen durch NIS2 sind die Sicherheit der Lieferkette, die Business-Continuity-Planung und der breitere Umfang der Meldung von Vorfällen.