NIS-2 Richtlinie: Welche Pflichten jetzt auf betroffene Unternehmen zukommen

17.03.2026, 11:06 Uhr

Unternehmen, die unter die NIS-2-Regulierung fallen, müssen eine Reihe organisatorischer und technischer Maßnahmen zur IT- und Informationssicherheit umsetzen. Ziel der Regulierung ist es, das Cybersicherheitsniveau in Europa zu erhöhen und kritische Infrastrukturen sowie wichtige Wirtschaftsbereiche besser gegen Cyberangriffe zu schützen. Welche Anforderungen konkret gelten, hängt davon ab, ob ein Unternehmen unter die NIS-2-Regelungen fällt. Daher ist zunächst zu klären, ob eine Betroffenheit besteht.

Mehr dazu lesen Sie in unserem Beitrag: Ist Ihr Unternehmen von NIS-2 betroffen?

Welche Anforderungen NIS-2 an Unternehmen stellt

Für betroffene Unternehmen ergeben sich insbesondere folgende Anforderungen:

• Einführung von Cyber- und Informationssicherheitsmaßnahmen
• Aufbau eines strukturierten Sicherheitsmanagements (z. B. ISMS)
• Meldepflichten bei Sicherheitsvorfällen
• Dokumentations- und Nachweispflichten
• Organisations- und Überwachungspflichten der Geschäftsleitung

Wichtig ist dabei, dass diese Maßnahmen nicht nur umgesetzt, sondern auch jederzeit nachvollziehbar dokumentiert werden müssen.

Risiken bei einer Fehleinschätzung

Kommt es zu einem Cybervorfall und stellt sich erst im Nachhinein heraus, dass ein Unternehmen unter NIS-2 gefallen wäre, ohne sich beim BSI registriert zu haben, können aufsichtsrechtliche Maßnahmen, Bußgelder und haftungsrechtliche Konsequenzen folgen. Die Frist zur Registrierung beginnt rechtlich erst mit der Kenntnis der eigenen Betroffenheit. Unternehmen müssen daher zunächst prüfen, ob sie überhaupt unter die gesetzlichen Regelungen fallen. Eine Fehleinschätzung kann zudem Haftungsrisiken für die Geschäftsleitung begründen.

Wie die W+ST Gruppe Unternehmen unterstützt

Die W+ST Gruppe unterstützt Unternehmen über ihre Spezialgesellschaft W+ST Data Security GmbH Rechtsanwaltsgesellschaft bei der Umsetzung der NIS-2-Anforderungen. Zunächst prüfen wir die NIS-2-Betroffenheit eines Unternehmens und übernehmen – sofern erforderlich – die Registrierung beim BSI.
Im Anschluss begleiten wir Unternehmen bei der Umsetzung der gesetzlichen Anforderungen. Hierfür setzen wir unsere W+ST ISMS-App ein, mit der Sicherheitsmaßnahmen strukturiert dokumentiert und umgesetzt werden können. Darüber hinaus unterstützen wir Unternehmen auch im Fall von Cyber- oder Sicherheitsvorfällen, insbesondere bei der rechtlichen Einordnung und der Erfüllung von Meldepflichten.

Fazit

Die NIS-2-Regulierung stellt neue Anforderungen an Unternehmen und ihre Geschäftsleitungen. Entscheidend ist jedoch zunächst die Klärung, ob ein Unternehmen überhaupt unter die gesetzlichen Regelungen fällt.

Eine strukturierte NIS-2-Betroffenheitsprüfung schafft hier Klarheit und bildet die Grundlage für alle weiteren Schritte.