Die NIS-2-Richtlinie ist längst mehr als ein weiteres IT-Regelwerk aus Brüssel. Sie markiert einen spürbaren Strategiewechsel in der europäischen Cybersicherheit: mehr betroffene Unternehmen, strengere Pflichten, mehr Verantwortung für die Geschäftsleitung und deutlich klarere Erwartungen an Risikomanagement und Meldeprozesse. Auf EU-Ebene gilt NIS 2 seit Januar 2023, die Umsetzungsfrist für die Mitgliedstaaten lief am 17. Oktober 2024 ab. In Deutschland wurde die nationale Umsetzung jedoch erst Ende 2025 abgeschlossen.

Warum NIS 2 2026 so relevant ist

NIS 2 erweitert den regulatorischen Rahmen gegenüber NIS 1 deutlich. Die Richtlinie schafft ein gemeinsames Cybersicherheitsniveau für 18 kritische Sektoren in der EU und verpflichtet Mitgliedstaaten dazu, nationale Strategien, Aufsichtsstrukturen, Meldewege und Kooperationsmechanismen auszubauen. Gleichzeitig rückt sie das Thema Cybersicherheit weg von der reinen IT-Abteilung hinauf in die Vorstandsetage. Die EU-Kommission betont ausdrücklich, dass das Top-Management für die Einhaltung der Maßnahmen verantwortlich ist.

Für Unternehmen bedeutet das: NIS 2 ist kein rein technisches Compliance-Projekt. Es geht um Governance, Haftung, Resilienz und Krisenfähigkeit. Wer betroffen ist, muss Risiken systematisch steuern, Sicherheitsvorfälle strukturiert melden und seine Lieferketten stärker in die eigene Sicherheitsarchitektur einbeziehen.

Der aktuelle Stand in der EU und in Deutschland

EU: Die Richtlinie gilt, die Umsetzung bleibt in Bewegung

Die EU-Frist zur nationalen Umsetzung endete am 17. Oktober 2024. Weil viele Mitgliedstaaten zu diesem Zeitpunkt noch keine vollständige Umsetzung gemeldet hatten, leitete die Europäische Kommission zunächst Ende November 2024 gegen 23 Staaten Vertragsverletzungsverfahren ein und verschärfte dies im Mai 2025 gegenüber 19 Mitgliedstaaten mit einer begründeten Stellungnahme, darunter auch Deutschland.

Gleichzeitig entwickelt die EU den Rahmen bereits weiter: Am 20. Januar 2026 legte die Kommission ein neues Cybersecurity-Paket vor, das unter anderem gezielte Änderungen an NIS 2 vorsieht, um Rechtsklarheit zu erhöhen und den Umsetzungsaufwand zu vereinfachen. Das zeigt: NIS 2 ist 2026 zwar gesetzt, aber die praktische Ausgestaltung bleibt dynamisch.

Deutschland: Nationale Umsetzung seit Ende 2025 beschlossen

Für Deutschland ist besonders wichtig: Das NIS-2-Umsetzungsgesetz wurde laut BSI am 13. November 2025 im Bundestag und am 21. November 2025 im Bundesrat beschlossen und am 5. Dezember 2025 verkündet. Der Bundestag dokumentiert die Annahme des Gesetzes am 13. November 2025 ausdrücklich.

Damit ist NIS 2 in Deutschland nicht mehr nur ein angekündigtes Vorhaben, sondern geltender regulatorischer Rahmen. Unternehmen sollten daher nicht mehr auf spätere Klarstellungen warten, sondern ihre Betroffenheit, ihre Pflichten und ihren Umsetzungsstand jetzt belastbar prüfen.

Welche Unternehmen betroffen sind

Der Anwendungsbereich ist deutlich größer als bei NIS 1

Die Richtlinie erfasst Organisationen in 18 kritischen Sektoren. Dazu gehören unter anderem Energie, Verkehr, Gesundheit, digitale Dienste, öffentliche Verwaltung, Weltraum, Abwasser- und Abfallwirtschaft, Post- und Kurierdienste, die Herstellung kritischer Produkte sowie ICT-Service-Management. Viele Unternehmen, die sich bisher nicht als KRITIS oder nicht als hochreguliert verstanden haben, fallen nun erstmals in einen verbindlichen Cybersicherheitsrahmen.

Nicht nur Kritische Infrastrukturen stehen im Fokus

Ein häufiger Irrtum ist, NIS 2 betreffe nur klassische KRITIS-Betreiber. Tatsächlich ist der Adressatenkreis wesentlich breiter. Entscheidend sind Branche, Rolle in der Versorgungskette und Unternehmensgröße beziehungsweise Bedeutung für Wirtschaft und Gesellschaft. Gerade mittelständische Unternehmen in regulierten Sektoren sollten ihre Einstufung deshalb nicht auf Basis alter KRITIS-Logiken bewerten.