EU AI Act Annex-III-Deadline — 2. Dezember 2027 (Omnibus) Jetzt prüfen →
← EU AI Act Übersicht
Cybersicherheit · NIS2-Richtlinie

NIS2-Richtlinie: Cybersicherheit für DACH-Unternehmen

NIS2 hebt das Cybersicherheits-Niveau in der EU deutlich an — und betrifft weit mehr Unternehmen als die Vorgängerrichtlinie. Wo NIS2 und der EU AI Act zusammentreffen, gelten beide.

Das Wichtigste in Kürze

Die NIS2-Richtlinie (EU 2022/2555) ersetzt die erste NIS-Richtlinie und erweitert den Kreis der erfassten Unternehmen erheblich. Sie verlangt ein Risikomanagement für Cybersicherheit, Meldepflichten bei erheblichen Vorfällen und macht die Geschäftsleitung persönlich verantwortlich. Für KI-gestützte kritische Infrastruktur greift NIS2 zusätzlich zum EU AI Act.

Wer ist betroffen?

NIS2 unterscheidet wesentliche und wichtige Einrichtungen über Sektoren hoher Kritikalität und weitere kritische Sektoren hinweg — darunter Energie, Verkehr, Gesundheit, Trinkwasser und Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt, Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Die Grössenschwelle liegt grundsätzlich bei mittleren und grossen Unternehmen. Wichtig für den Finanzsektor: Banken und Finanzmarktinfrastrukturen werden zwar in den NIS2-Anhängen genannt, unterliegen aber als lex specialis vorrangig DORA — für regulierte Finanzunternehmen ist daher in erster Linie DORA einschlägig.

Die Kernpflichten

  • Risikomanagement-Massnahmen für Cybersicherheit (Art. 21): u.a. Risikoanalyse, Incident-Handling, Backup, Lieferketten-Sicherheit, Verschlüsselung, Zugriffskontrolle.
  • Meldepflichten bei erheblichen Sicherheitsvorfällen (Art. 23): Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden.
  • Verantwortlichkeit der Leitungsorgane (Art. 20): Geschäftsleitung muss Massnahmen billigen, überwachen und sich schulen lassen — mit persönlicher Haftung.
  • Lieferketten-Sicherheit: auch Anforderungen an Dienstleister und Zulieferer.

Schnittstelle zum EU AI Act

Setzen Sie KI in kritischer Infrastruktur ein (Annex III Nr. 2 EU AI Act), treffen NIS2 und AI Act zusammen: Art. 15 EU AI Act verlangt Cybersicherheit und Robustheit von Hochrisiko-KI, NIS2 verlangt organisatorische Cybersicherheit und Vorfallmeldung. Eine integrierte Umsetzung — gemeinsames Risikomanagement, abgestimmte Meldeprozesse — vermeidet Doppelarbeit. Unser Vergleich EU AI Act vs. CRA und der Glossar-Eintrag Risikomanagementsystem vertiefen das.

DACH-Umsetzung

Deutschland

Umsetzung über das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Das BSI ist zentrale Aufsichts- und Meldestelle.

Österreich

Umsetzung über das Netz- und Informationssystemsicherheitsgesetz (NISG 2024). Zuständig ist u.a. das BMI.

Schweiz

Keine direkte NIS2-Geltung. Eigene Meldepflicht für Betreiber kritischer Infrastrukturen ans BACS seit April 2025; mittelbare Betroffenheit über EU-Lieferketten.

Häufige Fragen

Gilt NIS2 auch für Schweizer Unternehmen?

NIS2 ist eine EU-Richtlinie und gilt nicht direkt in der Schweiz. Schweizer Unternehmen können aber mittelbar betroffen sein — als Lieferant eines NIS2-pflichtigen EU-Unternehmens, das Cybersicherheit in der Lieferkette verlangt. Zudem hat die Schweiz mit der Meldepflicht für kritische Infrastrukturen (ab April 2025) eigene Regeln.

Was ist der Unterschied zwischen NIS2 und dem EU AI Act?

NIS2 regelt Cybersicherheit und Resilienz von Netz- und Informationssystemen; der EU AI Act regelt KI-Systeme. Sie überschneiden sich bei KI-gestützter kritischer Infrastruktur: Dort gelten Art. 15 EU AI Act (Cybersicherheit von Hochrisiko-KI) und NIS2 parallel.

Welche Unternehmen sind von NIS2 betroffen?

NIS2 erfasst mittlere und grosse Unternehmen in Sektoren hoher Kritikalität und weiteren kritischen Sektoren (u.a. Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung). Die Schwelle liegt in der Regel bei 50 Mitarbeitenden oder 10 Mio. EUR Umsatz. Banken und Finanzmarktinfrastrukturen sind dagegen vorrangig über DORA reguliert.

Welche Fristen gelten für NIS2?

Die NIS2-Richtlinie war bis Oktober 2024 in nationales Recht umzusetzen. Die nationale Umsetzung verlief unterschiedlich schnell; Unternehmen sollten den Stand im jeweiligen Land (DE: NIS2UmsuCG, AT: NISG 2024) prüfen.

Drohen bei NIS2 Bussgelder?

Ja. NIS2 sieht für wesentliche Einrichtungen Bussgelder bis 10 Mio. EUR oder 2% des weltweiten Umsatzes vor, für wichtige Einrichtungen bis 7 Mio. EUR oder 1,4%. Zusätzlich gibt es persönliche Verantwortlichkeit der Geschäftsleitung.

Zuletzt geprüft: 5. Juni 2026 · Herausgeber: Innopulse Consulting GmbH, Zug · Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung.

Setzen Sie KI in kritischer Infrastruktur ein?

Der kostenlose Quick-Check prüft, ob Ihr KI-System unter Annex III fällt und welche Cybersicherheits-Pflichten greifen.

Kostenloser EU AI Act Quick-Check →
NIS2-Richtlinie 2026: Pflichten für DACH-Unternehmen erklärt | ai-risk-check.com