Die EU-Richtlinie zur Netz- und Informationssicherheit wurde erneuert. Auf Englisch spricht man hier von der Directive on security of network and information systems oder kurz: NIS2

Mit der NIS2-Richtlinie werden auch kleinere Unternehmen verpflichtet, mehr Cybersicherheit zu betreiben. Betroffen von der Richtlinie sind „Wesentliche Sektoren“, wie Energie, Verkehr, Finanzdienstleister, Gesundheit aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt.

Die Richtlinie hat einen besonders großen Geltungsbereich, sodass auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge umfasst sein können. Dabei ist ein Schwellenwert ausschlaggebend dafür, ob ein Unternehmen oder Dienstleister der Richtlinie unterliegt (ca. 50 Beschäftigte und ein Jahresumsatz von 10 Millionen Euro). 

Kurzübersicht über den Inhalt der NIS2-Richtlinie

Die großen Neuerungen der Richtlinie zur Netz- und Informationssicherheit im Vergleich zu der alten NIS-Richtlinie sind:

• Erhebliche Ausweitung des Anwendungsbereichs
• Detaillierte Regelung der zu treffenden Sicherheitsmaßnahmen
• Detaillierte Regelung von Meldepflichten, inklusive Höchstfristen
• Detaillierte Regelung der Aufsichts- und Durchsetzungsbefugnisse des BSI
• Verantwortlichkeit der Leitungs- und Überwachungsorgane

Wer oder was ist von der NIS2-Richtlinie betroffen?

„Wesentliche Sektoren“, wie Energie, Verkehr, Finanzdienstleister, Gesundheit aber auch digitale Infrastrukturen, öffentliche Verwaltung und Raumfahrt. Die Richtlinie soll einen besonders großen Geltungsbereich haben, sodass auch Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Herstellung von medizinischen Geräten, Elektronik, Maschinen und Kraftfahrzeuge umfasst sein können. Dabei ist ein Schwellenwert ausschlaggebend dafür, ob ein Unternehmen oder Dienstleister der Richtlinie unterliegt (ca. 50 Beschäftigte und ein Jahresumsatz von 10 Millionen Euro). Zusätzlich kann jeder Mitgliedstaat entscheiden, dass die Richtlinien auch für derartige Einrichtungen auf lokaler Ebene gelten.

Nicht erfasst sind Bereiche wie Verteidigung, nationale Sicherheit, öffentliche Sicherheit, Strafverfolgung und Justiz. Auch Parlamente und Zentralbanken sind vom Anwendungsbereich ausgenommen.

Betrifft NIS2 auch Kommunen?

Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

1.Grundsätzlicher Ausschluss der Kernverwaltung

Die kommunale Ebene (Städte, Gemeinden, Landkreise) wurde in Deutschland durch das Umsetzungsgesetz zum NIS-2, das am 6. Dezember 2025 in Kraft getreten ist, weitgehend vom Anwendungsbereich ausgenommen. Auch der IT-Planungsrat hatte sich im Vorfeld explizit gegen eine pauschale Einbeziehung der Kommunalverwaltung ausgesprochen.

Das bedeutet:

Die klassische städtische Verwaltung (Bürgeramt, Kämmerei etc.) unterliegt nicht direkt den Pflichten der NIS-2.

Aber: obwohl die Verwaltung ausgenommen ist, fallen städtische Eigenbetriebe oder kommunale Unternehmen (wie GmbHs oder AöRs) oft unter das Gesetz, wenn sie in bestimmten Sektoren tätig sind und gewisse Größenmerkmale erfüllen (oder, wenn sie KRITIS sind)

Konkrete Voraussetzungen:

• Sektoren: nach Anlage 1 oder 2 des BSIG (z.B. Energie (Stadtwerke), Wasser/Abwasser, Abfallwirtschaft, Gesundheit (Krankenhäuser), Verkehr oder digitale Infrastruktur (regionale IT-Dienstleister)).
• Größenmerkmale: besonders wichtig oder wichtige Einrichtung, das bedeutet: wenn der Betrieb mindestens 50 Mitarbeiter hat oder einen Jahresumsatz/eine Bilanzsumme von über 10 Millionen Euro erzielt, muss der Anwendungsbereich gezielt geprüft werden.
• ODER: Kritische Infrastruktur nach KRITIS-VO

Ob eine Kommune also unter NIS-2 fällt, muss folgendes geprüft werden:

1.Fällt z.B. der Eigenbetrieb der Wasser- und Abwasserentsorgung unter NIS-2?

2.Falls ja: was ist mit den Buchhaltungs- und Verwaltungsarbeitsplätzen, die in der Verwaltung der Kommune angesiedelt sind  --> fällt rechtlich nicht unter NIS-2 (aber Teile davon wahrscheinlich faktisch)

Empfehlung für die Praxis:

Städtische Eigenbetriebe sollten z.B. über die "NIS-2-Betroffenheitsprüfung" des BSI klären, ob sie aufgrund ihrer Sektorzugehörigkeit und Größe als "wichtige" oder "besonders wichtige" Einrichtung gelten.

Welche Meldepflichten regelt die NIS2-Richtlinie?

Wesentliche und wichtige Einrichtungen sollen den zuständigen Behörden/Einrichtungen unverzüglich jeden Sicherheitsvorfall melden, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat.

In Art. 18 Abs. 2 der neuen EU-Richtlinie zur Netz- und Informationssicherheit werden die Anforderungen an die Risikomanagementmaßnahmen konkretisiert. Dazu zählen insbesondere die Schaffung von Risikoanalyse- und Sicherheitskonzepten für die Informationssysteme, die Offenlegung von Schwachstellen sowie die Gewährleistung der Sicherheit in der Lieferkette. Für die Meldung ist ein zweistufiger Ansatz vorgesehen. Nach Bekanntwerden eines Vorfalls haben die Unternehmen 24 Stunden Zeit, einen vorläufigen Bericht zu übermitteln, gefolgt von einem Abschlussbericht spätestens einen Monat später.

NIS-2: Umsetzung in deutsches Recht

Es gab mehrere Referentenentwürfe des Bundesministeriums des Innern und Heimat, bis das deutsche Umsetzungsgesetz endgültig verabschiedet wurde. Im Gesetz wird nun sowohl die Umsetzung der NIS-2-Richtlinie in deutsches Recht als auch die wesentlichen Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung geregelt.

Im Dezember 2025 wurde das Gesetz im Amtsblatt final veröffentlicht.

• Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Wesentliche Inhalte

• Einführung der und Ausweitung der betroffenen Kategorien von Unternehmen
• Katalog der Mindestsicherheitsanforderungen aus Art. 21 der NIS-2-Richtlinie
• Ausweitung der Meldepflicht (3-stufig)
• Ausweitung des BSI
• Gesetzliche Regelungen zum Management der nationalen Informationssicherheit (Definition von Rollen und Verantwortlichkeiten)
• Vereinheitlichung des nationalen und unionsrechtlichen Vorgaben
• Einrichtung eines CISO Bund als Koordinationszentrum
• Neue Bußgeldvorschriften
• Überarbeitung des BSIG

Stand: Januar 2026