April 21, 2026
NIS2 Anforderungen: Details für Unternehmen
In den NIS2-Anforderungen werden mehr Unternehmen, Organisationen und Einrichtungen adressiert als in der bisherigen NIS-Richtlinie.
Cybersecurity wird stärker zur Frage von Governance und einer Sache der Nachweisbarkeit. Zudem hat eine gestärkte operative Resilienz in NIS2 das Ziel, Angriffsflächen für Ransomware und Cyber-Attacken zu reduzieren.
Was ist NIS2? Überblick über die EU-Richtlinie
Definition der NIS2 Directive
Die NIS2-Richtlinie (EU) 2022/2555 schafft einen unionsweiten Rahmen für Cybersicherheit, Risikomanagement, Meldepflichten, Aufsicht und Zusammenarbeit.
Dieser gilt für betroffene Einrichtungen aus in Anhang I und II genannten Sektoren und unterscheidet zwischen wesentlichen und wichtigen Einrichtungen.
5 wichtige Unterschiede zwischen NIS und NIS 2.0
| Kategorie | NIS (NIS1 – 2016/1148) | NIS2 (2022/2555) |
|---|---|---|
| Geltungsbereich | Begrenzter Scope (v. a. Operatoren wesentlicher Dienste (OES) und digitale Dienste) | Deutlich erweiterter Scope mit zusätzlichen Sektoren wie öffentliche Verwaltung, Abfallwirtschaft, Chemie, Lebensmittel, Raumfahrt |
| Betroffene Organisationen | Unterscheidung zwischen OES (Operators of Essential Services) und DSP (Digital Service Providers) | Neue Klassifizierung in „wesentliche“ und „wichtige“ Einrichtungen |
| Risikomanagement-Anforderungen | Allgemeine Sicherheitsanforderungen ohne detaillierte Mindestmaßnahmen | Konkrete Mindestanforderungen (z. B. Incident Handling, Supply Chain Security, Business Continuity, Vulnerability Management) |
| Incident Reporting | Weniger konkret, national unterschiedlich geregelt | Klare, verpflichtende Fristen: 24h Early Warning, 72h Meldung, Abschlussbericht innerhalb eines Monats |
| Sanktionsrahmen | Uneinheitlich und meist geringer | Harmonisiert und deutlich verschärft: min 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, 7 Mio € oder 1,4 % für wichtige Einrichtungen |
Ziele der EU NIS2-Richtlinie
Ziel der NIS2-Richtlinie ist ein unionsweit höheres Cybersicherheitsniveau, das durch Mindestanforderungen an Risikomanagement, Incident Reporting und grenzüberschreitende Kooperation einen Rahmen erhält.
Strategien sollen dabei unter anderem Supply-Chain-Security, Vulnerability Management und Awareness adressieren.
Wer ist von NIS2 betroffen?
Betroffene Branchen und Unternehmen
Betroffen sind Unternehmen sowie öffentliche Einrichtungen in Branchen wie
- Energie,
- Transport,
- Banken,
- Gesundheit,
- digitale Infrastruktur,
- öffentliche Verwaltung und
- Weltraum.
Mitgliedstaaten können insbesondere bei erhöhtem Risikoprofil oder systemischer Relevanz kleinere, besonders risikoreiche Einrichtungen einbeziehen. Für einige digitale und ICT-Dienstleister gelten besondere Zuständigkeitsregeln nach dem „main establishment“-Prinzip.
KRITIS, Gesundheitswesen und weitere Sektoren
Das Gesundheitswesen ist in Anhang I der NIS2 als Sektor mit hoher Kritikalität erfasst. Neben den klassischen kritischen Infrastrukturen (KRITIS) wie Gesundheit, Energie und Finanz sind auch öffentliche Verwaltungen und Weltraum in die Schutzbestimmungen einbezogen.
Mit diesen rücken auch unterstützende Funktionen angeschlossener Dienstleister wie digitale Dienste, IT-Betrieb und Lieferantenbeziehungen stärker in den regulatorischen Fokus.
NIS2 Anforderungen im Detail
Risikomanagement und Sicherheitsmaßnahmen
NIS2 verlangt angemessene und verhältnismäßige TOMs auf risikobasierter Grundlage. Genannt werden Incident Handling, Supply-Chain-Security, Verschlüsselung und Vulnerability Disclosure sowie weitere Kernbereiche wie Asset Management, Business Continuity, Schulungen und physische Sicherheit – nicht jede Detailtiefe ist für alle NIS2‑Entities identisch ausformuliert.
Darüber hinaus umfasst NIS2 auch Anforderungen an Business Continuity und Krisenmanagement, einschließlich geeigneter Backup- und Recovery-Strategien zur Aufrechterhaltung kritischer Geschäftsprozesse im Falle von Sicherheitsvorfällen.
Ergänzend sind regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeitende erforderlich, um Sicherheitsrisiken zu reduzieren und organisatorische Resilienz nachhaltig zu stärken.
Zugriffskontrolle und Identity Management
Im Identity and Access Management werden dokumentierte Access-Control-Policies, starke Authentisierung, Least Privilege, Rollentrennung und nachvollziehbare Prozesse für Vergabe, Änderung und Entzug von Rechten erwartet.
Wichtig sind laut ENISA zudem MFA für Admin- und Remote-Zugriffe, getrennte privilegierte Identitäten sowie auditfähige Protokollierung über relevante Sicherheitsbereiche hinweg (z. B. Zugriffe, Incidents, Systeme, Änderungen).
Incident Response und Meldepflichten
Das Incident Reporting ist in verschiedene Stufen entlang der Bearbeitung von Incidents aufgeschlüsselt: Early Warning innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht spätestens einen Monat nach Einreichung der Incident Notification sowie ggf. Zwischenberichte auf Anforderung und Statusmeldungen bei laufenden Vorfällen.
Lieferketten- und Drittparteirisiken
Lieferketten- und Drittparteirisiken können Teil eines belastbaren Drittparteien-Managements sein. Dazu können je nach Risikoprofil auch vertragliche Anforderungen, Auditrechte, Exit-Strategien und Kontrollen für Drittzugriffe gehören.
Nachweis- und Auditpflichten
Neben Policies, Registern, Logs, Access Reviews und dokumentierten Ausnahmen gehören auch weitere Nachweise zu einer belastbaren NIS2-Compliance. Dazu zählen Asset-Inventare, strukturierte Incident-Dokumentationen, nachvollziehbare Schulungs- und Awareness-Nachweise, dokumentierte Prozesse und Ergebnisse im Vulnerability- und Patch-Management sowie Bewertungen und Prüfungen von Lieferanten und Drittparteien.
Herausforderungen bei der Umsetzung der NIS2 Anforderungen
Komplexität bestehender IT-Landschaften
NIS2 verlangt technische, operative und organisatorische Maßnahmen im angemessenen und verhältnismäßigen Rahmen.
Sicherheitskontrollen müssen über alle Legacy-Anwendungen, Verzeichnisdienste, Cloud-Dienste, Remote-Zugänge und kritische Fachsysteme hinweg steuerbar und nachweisbar sein.
Fachkräftemangel und Ressourcenengpässe
Organisationen berichten von Engpässen bei der Verfügbarkeit von Fachkräften und im Ausbildungsstand. Der Lösungsansatz besteht darin, Maßnahmen risikobasiert zu priorisieren, Verantwortlichkeiten klar zuzuordnen und Kontrollen so aufzubauen, dass sie mit knappen personellen Ressourcen betrieben und geprüft werden können.
Fehlende Transparenz über Zugriffe und Berechtigungen
Leitlinien wie die ENISA fordern, dass Unternehmen Zugriffsrechte, privilegierte Konten, Änderungen an Berechtigungen und Drittzugriffe nachvollziehbar dokumentieren, regelmäßig überprüfen und zeitnah entziehen können.
Der Lösungsansatz liegt in durchgängiger Transparenz über Identitäten, Rollen, Berechtigungen und privilegierte Aktivitäten — einschließlich Audit-Trails, periodischer Reviews und dokumentierter Ausnahmen.
Wie Imprivata Unternehmen bei NIS2 unterstützt
NIS2 verlangt nachweisbare Kontrollen für Zugriff, privilegierte Konten, Drittzugriffe, Authentisierung, Logging und regelmäßige Überprüfungen.
In diesen Bereichen kann Imprivata Unternehmen bei der Umsetzung entsprechender NIS2-Anforderungen unterstützen.
Enterprise Access Management für sichere und effiziente Zugriffe
Imprivata Enterprise Access Management bündelt Single Sign-on, MFA und passwortlose Authentisierung für Shared Devices, virtuelle Desktops sowie moderne und Legacy-Anwendungen.
Zugriffe können zentraler gesteuert und nutzerfreundlicher gestaltet werden, um NIS2-Anforderungen an starke Authentisierung, kontrollierte Zugriffe und auditfähige Nachweise praktisch umzusetzen.
Identity Governance für Transparenz und Compliance
Für NIS2 sind transparente Rollen- und Berechtigungsstrukturen, nachvollziehbare Änderungen sowie regelmäßige Überprüfungen wichtig.
Imprivata positioniert dafür Unimate Identity Governance & Administration als Lösung für automatisiertes User- und Rechte-Management über den gesamten Identity-Lifecycle hinweg.
Mit rollenbasierter Zugriffskontrolle, Self-Service- und Approval-Workflows, einer lückenlosen, auditierbaren Nachvollziehbarkeit sowie automatisierte Rezertifizierungen von Zugriffsrechten trägt die Lösung zu NIS2 Vorgaben zu Transparenz, Compliance und prüfbaren Berechtigungsprozessen.
Privileged Access Management für kritische Systeme
Bei privilegierten Konten und Drittzugriffen wird NIS2 besonders konkret. ENISA hebt hier MFA, getrennte Admin-Konten, kontrollierte Rechtevergabe, Logging und Überwachung privilegierter Aktivitäten hervor.
Imprivata Privileged Access Management adressiert genau diese Anforderungen mit Funktionen zum Verwalten, Auditieren und Überwachen privilegierter Konten, Passwörter und Sessions.
Für externe Dienstleister ergänzt Vendor Privileged Access Management diesen Ansatz um Zero-Trust-Zugriff, granulare Freigaben und nachvollziehbare Remote-Sessions.