Adobe Stock

Informations- und CybersicherheitNIS-2: Was Handwerksbetriebe jetzt wissen müssen!

Hannover.- (ve) Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist eine europaweite Vorgabe zur Verbesserung der Informations- und Cybersicherheit in Unternehmen. Sie ersetzt die frühere NIS-Richtlinie und soll ein höheres, gemeinsames Schutzniveau für Netz- und Informationssysteme in der EU sicherstellen.



Geltungsbereich & Betroffenheit

NIS-2 gilt grundsätzlich für Betriebe, die bestimmte IT- und digitale Dienste anbieten oder eine besondere Bedeutung für die Gesellschaft und Wirtschaft haben. Entscheidend sind dabei zwei Kriterien:

  • Branche / Tätigkeit: z. B. Energieversorgung, Verkehr, Gesundheitswesen, digitale Dienste, Lebensmittelversorgung
  • Unternehmensgröße: In der Regel mindestens 50 Mitarbeitende und zusätzlich ein Jahresumsatz von mehr als 10 Mio. € oder eine Bilanzsumme von über 10 Mio. € (maßgeblich ist zudem die Einordnung in einen der betroffenen Sektoren).

Viele Handwerksbetriebe fallen nicht automatisch in den direkten Anwendungsbereich. Betroffen sein können aber Betriebe, die:

  • kritische Dienstleistungen erbringen,
  • indirekt betroffen sind, da sie Teil der Lieferkette eines betroffenen Unternehmens sind oder
  • aufgrund ihrer Größe und Tätigkeit den Schwellenwert überschreiten.Falls Sie die 

Betroffenheit Ihres Betriebes testen möchten, bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Online-Selbsttest an. Diesen finden Sie hier: NIS-2 Betroffenheitsprüfung.

Welche Anforderungen bringt NIS-2 mit sich?

Wenn Ihr Betrieb von NIS-2 betroffen ist, gelten strengere Anforderungen an die Informations- und IT-Sicherheit. Das sind unter anderem:

  • Risikomanagement und Schutzmaßnahmen
  • Etablierung von technischen und organisatorischen Maßnahmen zur Abwehr von Cyberbedrohungen.
  • Kontinuierliches Monitoring und regelmäßige Risikoanalysen.

Meldepflichten

  • Schwerwiegende IT-Sicherheitsvorfälle müssen zeitnah an die zuständige nationale Behörde gemeldet werden.

Registrierung

  • Betroffene Betriebe müssen sich im BSI-Portal anmelden. Die Registrierung muss spätestens innerhalb von 3 Monaten erfolgen, nachdem eine Einrichtung erstmals oder erneut NIS-2-betroffen ist. Für bereits jetzt betroffene Betriebe gilt die 3-Monats-Frist ab Inkrafttreten des deutschen Umsetzungsgesetzes vom 6. Dezember 2025. Eine Registrierung musste folglich bis zum 6. März 2026 erfolgen.

Verantwortung der Geschäftsführung

  • Die Betriebsleitung ist verpflichtet, Cybersicherheit zur Chefsache zu machen.
  • Dazu gehören Schulungen, regelmäßige Berichte über Risiken und die Sicherstellung wirksamer Schutzkonzepte.

Was bedeutet das für Handwerksbetriebe?

  • Direkte Pflicht zur Umsetzung aller NIS-2-Anforderungen trifft meist mittelgroße bis große Betriebe mit relevanten Dienstleistungen.
  • Indirekt wichtig: Auch kleinere Betriebe sollten sich mit den Grundprinzipien der Informationssicherheit auseinandersetzen. Cyber-Angriffe können unabhängig von gesetzlichen Vorgaben schwere betriebliche Schäden verursachen. 


(30.03.2026)

 Das BSI hat zudem verschiedene weiterführende Informationen zu NIS-2 und dem deutschen Umsetzungsgesetz zur Verfügung gestellt. Diese finden Sie hier: BSI – #nis2know-Infopakete