OK

Diese Website verwendet Cookies. Wenn Sie unsere Seiten nutzen, erklären Sie sich hiermit einverstanden. Weitere Informationen

Rat

NIS-2-Richtlinie für mehr Cybersicherheit: Was ist jetzt zu tun?

Deutschland hat im Dezember 2025 die NIS-2-Richtlinie umgesetzt. Auch Genossenschaften aus dem Waren- und Dienstleistungssektor können betroffen sein. Was sollten diese Unternehmen dazu wissen?

Autoren: Kathrin Meuthen, Stephan Vennemann und Florian Christner, Genossenschaftsverband Bayern
Foto: mauritius images / Science Photo Library / Gorodenkoff Productions
Erschienen am: 26. Februar 2026

    Anzeige

Anzeige

Um auf die zunehmende Gefährdung Europas durch Cyberbedrohungen zu reagieren, verfolgt die EU mit der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union vom 14. Dezember 2022 (NIS-2-Richtlinie) das Ziel, einen einheitlichen Rechtsrahmen für die Aufrechterhaltung der Cybersicherheit und Cyberresilienz in 18 kritischen Sektoren in der gesamten EU zu schaffen. Cybersicherheit umfasst nach Maßgabe der EU den Schutz von Netzwerk- und Informationssystemen (NIS), deren Benutzern und anderen betroffenen Personen vor Cybervorfällen und -bedrohungen, inklusive der Lieferkette und Drittdienstleister. Die Richtlinie schreibt vor, dass jeder Mitgliedsstaat eine nationale Cybersicherheitsstrategie verabschiedet, die Maßnahmen für die Sicherheit der Lieferkette, das Schwachstellenmanagement sowie die Aufklärung und Sensibilisierung im Bereich der Cybersicherheit umfasst. Die Mitgliedsstaaten müssen außerdem eine Liste „wichtiger“ und „besonders wichtiger Einrichtungen“ erstellen und regelmäßig aktualisieren, um sicherzustellen, dass diese Unternehmen die Anforderungen der Richtlinie erfüllen.

GVB bietet Webinar zur ganzheitlichen Unterstützung an

Der GVB bietet seinen Mitgliedsunternehmen am 27. Februar 2026 und am 13. März 2026 jeweils ein Webinar zur NIS-2-Richtlinie an, das ihnen helfen soll, die eigene Betroffenheit einzuschätzen und den daraus entstehenden Handlungsbedarf abzuleiten. Ausführliche Informationen dazu am Textende.

Bund setzt NIS-2-Richtlinie mit BSI-Gesetz um

Um den EU-Vorgaben nachzukommen, hat der deutsche Gesetzgeber das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung erlassen, das am 6. Dezember 2025 in Kraft getreten ist. Es ändert zahlreiche bestehende Regelwerke vom Telekommunikations- bis zum Atomgesetz. Wesentlich ist jedoch das mit dem NIS-2-Umsetzungsgesetz beschlossene neue Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz; BSIG).

NIS-2-Richtlinie betrifft auch Genossenschaften

Die NIS-2-Richtlinie und das neue BSI-Gesetz erweitern den Kreis der gesetzlich zur Umsetzung verpflichteten Unternehmen im Vergleich zur ersten NIS-Richtlinie von 2016 und dem zweiten IT-Sicherheitsgesetz (IT-SiG) von 2021 deutlich. Für betroffene Unternehmen gelten neue Mindeststandards, strengere Aufsichtsmechanismen und erweiterte Meldepflichten. Besonders relevant ist, dass die Richtlinie nicht nur große Konzerne, sondern insbesondere auch mittelständische Unternehmen betrifft – oftmals unabhängig davon, ob sie auch vom kürzlich im Bundestag beschlossenen KRITIS-Dachgesetz erfasst werden.

Auch genossenschaftliche Unternehmen müssen sich dem neuen Regelwerk für mehr Cybersicherheit stellen, sofern sie zur Umsetzung verpflichtet sind. Wichtig: Die Prüfung der Betroffenheit ist nach Maßgabe des BSI-Gesetzes durch die eventuell Betroffenen selbst durchzuführen, eine Mitteilung der Betroffenheit durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgt nicht.  So fallen Unternehmen unter die NIS-2-Richtlinie, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen sowie in einem der 18 NIS‑2‑Sektoren tätig sind, darunter:

  • Energie, Transport und Verkehr, Gesundheitswesen, Trinkwasser, Abwasser, Gesundheit,
  • digitale Infrastruktur, Informationstechnik und Telekommunikation, Rechenzentren, Anbieter digitaler Dienste,
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln, chemische Stoffe, verarbeitendes Gewerbe/Herstellung von Waren, Maschinenbau,
  • Post- und Kurierdienste, Abfallwirtschaft, Forschung.
     

Betroffene Unternehmen müssen sich beim BSI registrieren. Die Verantwortung für die Umsetzung und Überwachung der rechtlichen Anforderungen des BSI-Gesetzes liegt bei der Geschäftsleitung, die auch die Haftungsrisiken trägt. Die Geschäftsleitung ist zudem gehalten, mindestens zwei Personen aus dem Unternehmen zu benennen und zu befähigen, die Informationssicherheit im Unternehmen zu koordinieren.

GVB bietet verbindliche Betroffenheitsprüfung an

Zur genaueren Einschätzung der Betroffenheit bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite eine kostenlose NIS-2-Betroffenheitsprüfung an. Der Genossenschaftsverband Bayern (GVB) empfiehlt seinen Mitgliedern, sich einmal durch die Anwendung zu klicken, um eine erste Einschätzung zu erhalten. Dabei ist zu beachten, dass die vom BSI bereitgestellte NIS-2-Betroffenheitsprüfung kein abschließendes, rechtlich verbindliches Ergebnis, sondern nur eine grobe Orientierung bietet. GVB-Mitgliedsunternehmen, die eine rechtlich verbindliche Betroffenheitsprüfung wünschen, können sich an die Rechtsberatung des GVB wenden. Die Expertinnen und Experten des Verbands hören sich individuell den Fall an, bevor sie die Betroffenheit prüfen und juristisch bewerten. Kontakt per E-Mail: nis2@geno-cs.de.

Für Banken gilt DORA

Finanzunternehmen wie die bayerischen Volks- und Raiffeisenbanken haben mit der EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) ihr eigenes Regelwerk für Cybersicherheit, überwachende Instanz ist hier die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). DORA ist als „sektorspezifischer Rechtsakt“ der Europäischen Union im Sinne der NIS-2-Richtlinie einzustufen. Das bedeutet, dass die Regelungen der DORA-Verordnung in Bezug auf das Cybersicherheitsrisikomanagement und die Meldung erheblicher Sicherheitsvorfälle Vorrang vor den Bestimmungen im BSI-Gesetz haben und diese in diesen Bereichen ersetzen.

Betriebe zur Umsetzung von Maßnahmen verpflichtet

Von der NIS-2-Richtlinie erfasste Unternehmen müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ zur Sicherheit der Informationstechnik ergreifen. Darunter fallen Anforderungen zum Risikomanagement oder zu Sicherheitsmaßnahmen, zum Beispiel zu Incident Response, Business Continuity und dem Notfallmanagement. Incident Response hat zum Ziel, auf IT-Sicherheitsvorfälle so gut wie möglich vorbereitet zu sein, um Schäden durch Cyberangriffe schnell eingrenzen und Risiken nachhaltig reduzieren zu können – zum Beispiel, dass nach einem Malware-Angriff sensible Daten nicht für längere Zeit unerkannt aus dem Unternehmen abfließen. Dazu wird im Notfallmanagement definiert, wie verschiedene Arten von Cyberangriffen identifiziert, eingedämmt und gelöst werden sollen, um Unterbrechungen des Geschäftsbetriebs zu minimieren. Außerdem sind verschiedene Dokumentations- und Nachweispflichten sowie Anforderungen an Lieferketten und Dienstleister zu beachten.

„Erhebliche Sicherheitsvorfälle“ müssen innerhalb von 24 Stunden erstmals an das BSI gemeldet werden, damit die Behörde schnell ein verlässliches Lagebild und aktuelle Warnungen herausgeben kann. Eine Meldung sollte eine erste Bewertung des Sicherheitsvorfalls einschließlich seines Schweregrads und seiner Auswirkungen sowie gegebenenfalls Indikatoren für die Kompromittierung des Systems enthalten. Zusätzlich müssen Informationen zur meldenden Stelle, Ansprechpersonen und entsprechende Kontaktdaten enthalten sein. Innerhalb von 72 Stunden erwartet das BSI einen detaillierten Folgebericht. Nach einem Monat wird ein Abschlussbericht fällig. Diese Anforderungen müssen in den internen Meldeprozessen hinterlegt werden. Das BSI-Gesetz definiert einen „erheblichen Sicherheitsvorfall“ als einen Vorfall, der 

  • schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung
    verursacht hat oder verursachen kann oder
  • andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden
    beeinträchtigt hat oder beeinträchtigen kann.

Harte Konsequenzen bei Nichtbeachtung

Unternehmen, die Vorgaben der NIS-2-Richtlinie und des BSI-Gesetzes nicht umsetzen, müssen mit harten Konsequenzen rechnen, denn die NIS‑2‑Richtlinie sieht deutlich verschärfte Sanktionen vor. So drohen Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes. Bei Pflichtverletzungen haftet die Geschäftsleitung persönlich. Außerdem können die Unternehmen zu behördlichen Audits verpflichtet werden. Ebenfalls denkbar sind Anordnungen zur Umsetzung technischer Maßnahmen, um IT-Sicherheitsvorfälle zu verhindern. Im Extremfall sehen die NIS-2-Richtlinie und das BSI-Gesetz temporäre Betriebsuntersagungen vor. Diese Konsequenzen machen deutlich, dass die Umsetzung der neuen Vorgaben zur Cybersicherheit nicht nur eine technische, sondern vielmehr eine unternehmerische Führungsaufgabe ist. Mit den beiden Webinaren will der GVB seinen Mitgliedern dabei helfen, die Situation im eigenen Unternehmen besser einzuschätzen.

NIS-2-Richtlinie: Der GVB bietet Webinar zu Betroffenheit und Handlungsbedarf an

Der GVB bietet seinen Mitgliedsunternehmen ein Webinar zur NIS-2-Richtlinie an, das ihnen helfen soll, die eigene Betroffenheit einzuschätzen und den daraus entstehenden Handlungsbedarf abzuleiten. Zwei Termine stehen zur Auswahl (Dauer jeweils eine Stunde):

  • Freitag, 27. Februar 2026, 13 Uhr
  • Freitag, 13. März 2026, 13 Uhr

Anmeldung zum Webinar (bitte mit Angabe, welcher Termin gemeint ist) per E-Mail an Kathrin Meuthen, kmeuthen(at)gv-bayern.de. Die Zugangsdaten werden spätestens eine Stunde vor Webinar-Beginn verschickt. Für Rückfragen steht Kathrin Meuthen unter +49 151-23207574 gerne zur Verfügung. 

Die Expertinnen und Experten des Verbands geben den Teilnehmerinnen und Teilnehmern einen strukturierten Überblick über alle relevanten Handlungsfelder und beantworten folgende Fragen:

1. Wer ist betroffen?

  • Definition „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“
  • Schwellenwerte und Ausnahmeregelungen
  • Beispiele aus der Praxis für typische betroffene Unternehmen


2. Welche Anforderungen müssen umgesetzt werden?

  • Risikomanagement und Sicherheitsmaßnahmen
  • Vorgaben zu Incident Response, Business Continuity und Notfallmanagement
  • Anforderungen an Lieferketten und Dienstleister
  • Dokumentations- und Nachweispflichten


3. Welche Meldepflichten gelten?

  • 24 Stunden Erstmeldung
  • 72 Stunden Folgebericht
  • Abschlussbericht nach einem Monat
  • Anforderungen an interne Meldeprozesse


4. Welche Fristen gelten?

  • nationale Umsetzungspflicht seit Dezember 2025
  • empfohlene Schritte zur Vorbereitung und zeitnahen Umsetzung
     

5. Welche Konsequenzen drohen bei Nichtumsetzung?

  • Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes
  • persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen
  • verpflichtende behördliche Audits
  • Anordnungen zur Umsetzung technischer Maßnahmen
  • im Extremfall temporäre Betriebsuntersagungen

Weiterführende Links

Ähnliche Artikel

Artikel lesen
Rat