NIS-2-Richtlinie – Maßnahmen für ein hohes Cybersicherheitsniveau in der Europäischen Union (NIS2 EU Directive)

Die NIS-2-Richtlinie ist eine EU-weite Regelung zur Harmonisierung und Verbesserung der Cybersicherheit kritischer Infrastrukturen und wichtiger Dienste in Europa.

Was ist das Ziel?

• Schutz kritischer Infrastrukturen (z.B. Energie, Transport, Gesundheit, Wasser) und digitaler Dienste (z.B. Cloud-Anbieter, Online-Marktplätze) vor Cyber-Bedrohungen 

Was sind die Kernpflichten für Unternehmen?

• Risikomanagement: Umsetzung umfassender IT-Sicherheitsmaßnahmen (z.B. mehrstufige Authentifizierung, Verschlüsselung, Notfallmanagement).
• Meldepflichten: Unverzügliche Meldung von Cyber-Vorfällen an die zuständige Behörde (in Deutschland: Bundesamt für Sicherheit in der Informationstechnik BSI).
• Cybersicherheit als Chefsache: Geschäftsführer und Führungskräfte sind zur Schulung in Fragen der Cybersicherheit verpflichtet und tragen die Verantwortung für die Umsetzung der Maßnahmen.
• Lieferketten-Sicherheit: Lieferketten-Sicherheit unter NIS-2 bedeutet, dass Unternehmen für wesentliche und wichtige Dienste Cybersicherheitsrisiken bei ihren direkten Lieferanten und Dienstleistern (z. B. Cloud, IT-Services) aktiv steuern müssen. Dies umfasst vertragliche Sicherheitsanforderungen, Risikobewertungen von Anbietern und die Vermeidung von Single Points of Failure.

Wer ist betroffen?

Die NIS-2-Richtlinie gilt für insgesamt 18 Sektoren, die in »wesentliche« (z.B. Energie, Gesundheit, Digitales) und »wichtige« (z.B. Chemie, Lebensmittel, Forschung) Einrichtungen unterteilt werden, um den Anwendungsbereich im Vergleich zur vorherigen NIS-1-Richtlinie ((EU) 2016/1148) deutlich zu erweitern und damit das Cybersicherheitsniveau kritischer Infrastrukturen zu erhöhen. 

Wesentliche Einrichtungen (Essential Entities)

• Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
• Verkehr (Luft-, Schienen-, Schiffs-, Straßenverkehr)
• Bankwesen (Kreditinstitute)
• Finanzmarktinfrastruktur (Handelsplätze)
• Gesundheitswesen (Gesundheitsdienstleister, Forschung, Pharma)
• Trinkwasserversorgung
• Abwasserentsorgung
• Digitale Infrastruktur (Internet-Knoten, DNS, Cloud, Rechenzentren)
• IKT-Dienstleistungsmanagement (B2B-Dienste)
• Öffentliche Verwaltung (Zentral- und Regionalregierungen)
• Weltraum (Bodeninfrastruktur) 

Wichtige Einrichtungen (Important Entities)

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Chemie (Produktion, Herstellung)
• Lebensmittel (Produktion, Verarbeitung, Vertrieb)
• Verarbeitendes Gewerbe / Herstellung von Waren (z.B. Computer, Elektronik, Metall)
• Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschung (Forschungseinrichtungen) 

Unternehmen in diesen Sektoren müssen die Anforderungen erfüllen, wenn sie bestimmte Größenkriterien (meist >50 Mitarbeitende oder >10 Mio. € Umsatz/Bilanz) erfüllen oder wenn sie als besonders kritisch eingestuft werden. 

Was sind die Konsequenzen bei Nichteinhaltung?

• Sanktionen: Hohe Bußgelder, die bis zu zwei Prozent des weltweiten Jahresumsatzes betragen können.
• Persönliche Haftung: Geschäftsführer können mit ihrem Privatvermögen haftbar gemacht werden. 

Umsetzung in Deutschland

• Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) trat im Dezember 2025 in Kraft, wodurch die EU-Richtlinie in nationales Recht überführt wurde. 
• Zentrale Aspekte des NIS2UmsuCG sind:
  • Der erweiterte Anwendungsbereich auf Basis der EU-NIS2- Richtlinie:Dadurch ist ein weitaus größeres Spektrum an mittleren und großen Unternehmen in wichtigen Sektoren (z.B.Energie, Transport, Gesundheit, digitale Dienste, Forschung) als in der Vergangenheit von erhöhten Cybersicherheitsanforderungen betroffen.
  • Höhere Sicherheitsanforderungen: Unternehmen müssen Risikomanagementmaßnahmen implementieren (Umsetzung umfassender IT-Sicherheitsmaßnahmen, z.B. mehrstufige Authentifizierung, Verschlüsselung, Notfallmanagement).
  • Drei-Stufen-Meldepflicht: Ein gestuftes System zur Meldung von Sicherheitsvorfällen (Frühwarnung, Meldung, Abschlussbericht) wurde eingeführt.
  • Pflichten für das Management: Das Gesetz verankert eine Haftung des Managements für die Erfüllung der Sicherheitsvorgaben.
  • Erweiterte Aufsicht & Sanktionen: Das BSI erhält mehr Befugnisse zur Überwachung, und bei Verstößen drohen empfindliche Bußgelder, ähnlich wie bei Verletzung der DSGVO.

Angebote des Fraunhofer AISEC für Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik

Risikoanalysen: Sicherheitsaspekte fest in den Software-Lebenszyklus einbinden

Das Fraunhofer AISEC unterstützt Unternehmen mit Security-Risikoanalysen. Gemeinsam werden Risiken bewertet, Sicherheitsanforderungen abgeleitet und diese mit Design, Entwicklung, Test und Incident Response verzahnt. Sicherheitsaspekte werden fest in den Software-Lebenszyklus eingebunden. Dafür wählt und erweitert das Fraunhofer AISEC bewährte Methoden, entwickelt und konfiguriert Werkzeuge und sorgt für eine nachvollziehbare Einschätzung des IT-Risikos von Diensten und Produkten. Gleichzeitig unterstützt das Institut bei Qualitätssicherung und Maßnahmensteuerung und hilft dabei, einen dauerhaft wirksamen Security‑Engineering‑Prozess im Unternehmen zu verankern.

Weitere Informationen: https://www.aisec.fraunhofer.de/content/dam/aisec/Dokumente/Flyer/Flyer_MoRA_2023_DE.pdf

Ansprechpartner:
Daniel Angermeier | Product Protection & Industrial Security | daniel.angermeier@aisec.fraunhofer.de

Neue Technologien mit Audit sicher erschließen

Das Fraunhofer AISEC hat ein Audit entwickelt, das Organisationen Werkzeuge an die Hand gibt, um von digitalen und vernetzten, insbesondere cyber-physischen Systemen zu profitieren, ohne dabei die IT-Sicherheit zu vernachlässigen. Als Grundlage erarbeiten unsere Expertinnen und Experten gemeinsam Ziele, die Organisation mit der Einführung oder Weiterentwicklung digitaler Lösungen erreichen möchten. Eine Bestandsanalyse liefert Erkenntnisse über die bestehende Infrastruktur und Architektur, auf die zurückgegriffen oder aufgebaut werden kann. Anhand der Bewertung von Sicherheitsrisiken und umfassender Analysen entwickelt das Fraunhofer AISEC eine individuelle Roadmap zur Erhöhung des IT-Sicherheitsniveaus und leitet geeignete Sicherheitsmaßnahmen ab, damit Organisationen geschützt bleiben. Wir unterstützen Unternehmen bei der Umsetzung dieser Roadmap und befähigen sie, die Voraussetzungen für zukünftige Entwicklungen eigenständig zu bewerten. Abschließend führt unser Expertenteam eine ganzheitliche Überprüfung der digitalen Systeme und Sicherheitsprozesse durch.

Ansprechpartner:
Bartol Filipovic | Product Protection & Industrial Security | bartol.filipovic@aisec.fraunhofer.de

Angebote des Fraunhofer AISEC für die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern

Wissen, wo man steht – Konformitäts- und Sicherheitsüberprüfung mit Confirmate

»Confirmate« ist ein Tool des Fraunhofer AISEC, das automatisch prüft, ob die Software in einem Produkt zu den gesetzlichen Vorgaben zur IT-Sicherheit passt. Es vergleicht dazu die Sicherheitseinstellungen und vorhandene Unterlagen mit den Anforderungen und zeigt, wo alles in Ordnung ist und wo noch nachgebessert werden muss.

Das Tool untersucht den Programmcode, Schnittstellen (z. B. zur Cloud) und die verwendeten Fremd‑Bibliotheken. Es gleicht diese mit technischen Vorgaben, EU‑Verordnungen und Datenbanken zu bekannten Sicherheitslücken ab. Auch Unternehmensprozesse, etwa zum Umgang mit Schwachstellen, werden berücksichtigt.

Die Ergebnisse werden in einer übersichtlichen Darstellung zusammengestellt. So sehen Hersteller schnell, wie sicher ihr Produkt aktuell ist und wo Handlungsbedarf besteht. Da »Confirmate« kontinuierlich eingesetzt werden kann, bleiben diese Aussagen aktuell. Auf Basis der Analysen unterstützen unsere Expertinnen und Experten bei der Planung und Umsetzung der nötigen Sicherheitsmaßnahmen.

Weitere Informationen:

https://www.aisec.fraunhofer.de/de/presse-und-veranstaltungen/pressemitteilungen/2024/konformitaetspruefung-fuer-den-cra-mit-confirmate.html

Ansprechpartner:
Christian Banse | Service & Application Security | christian.banse@aisec.fraunhofer.de

Etablieren einer sicheren Basis mit GyroidOS – sichere Virtualisierungslösung auf Betriebssystem-Ebene

GyroidOS ist ein Virtualisierungssystem auf Basis von Linux. Es kann mehrere getrennte Betriebssystem-Umgebungen parallel auf einem gemeinsamen Linux-Kernel ausführen. Die Lösung ist auf hohe Sicherheit ausgelegt und nutzt dazu Hardware-Funktionen. Im Unterschied zu Containern ist der Software‑Stack kleiner und besonders sensible Bestandteile sind stärker voneinander getrennt. Administratorzugriffe landen zuerst in einem weniger privilegierten Kern-Container, der nur über eine klar definierte Schnittstelle mit der eigentlichen Virtualisierungsschicht spricht. GyroidOS ist so aufgebaut, dass es Zertifizierungen nach gängigen Industriestandards erleichtert.

Weitere Informationen:
https://gyroidos.github.io/

Ansprechpartner:
Sascha Wessel | Service & Application Security | sascha.wessel@aisec.fraunhofer.de

Angebote des Fraunhofer AISEC für Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik

Risikoanalysen: Sicherheitsaspekte fest in den Software-Lebenszyklus einbinden

Das Fraunhofer AISEC unterstützt Unternehmen mit Security-Risikoanalysen. Gemeinsam werden Risiken bewertet, Sicherheitsanforderungen abgeleitet und diese mit Design, Entwicklung, Test und Incident Response verzahnt. Sicherheitsaspekte werden fest in den Software-Lebenszyklus eingebunden. Dafür wählt und erweitert das Fraunhofer AISEC bewährte Methoden, entwickelt und konfiguriert Werkzeuge und sorgt für eine nachvollziehbare Einschätzung des IT-Risikos von Diensten und Produkten. Gleichzeitig unterstützt das Institut bei Qualitätssicherung und Maßnahmensteuerung und hilft dabei, einen dauerhaft wirksamen Security‑Engineering‑Prozess im Unternehmen zu verankern.

Weitere Informationen: https://www.aisec.fraunhofer.de/content/dam/aisec/Dokumente/Flyer/Flyer_MoRA_2023_DE.pdf

Ansprechpartner:
Daniel Angermeier | Product Protection & Industrial Security | daniel.angermeier@aisec.fraunhofer.de

Neue Technologien mit Audit sicher erschließen

Das Fraunhofer AISEC hat ein Audit entwickelt, das Organisationen Werkzeuge an die Hand gibt, um von digitalen und vernetzten, insbesondere cyber-physischen Systemen zu profitieren, ohne dabei die IT-Sicherheit zu vernachlässigen. Als Grundlage erarbeiten unsere Expertinnen und Experten gemeinsam Ziele, die Organisation mit der Einführung oder Weiterentwicklung digitaler Lösungen erreichen möchten. Eine Bestandsanalyse liefert Erkenntnisse über die bestehende Infrastruktur und Architektur, auf die zurückgegriffen oder aufgebaut werden kann. Anhand der Bewertung von Sicherheitsrisiken und umfassender Analysen entwickelt das Fraunhofer AISEC eine individuelle Roadmap zur Erhöhung des IT-Sicherheitsniveaus und leitet geeignete Sicherheitsmaßnahmen ab, damit Organisationen geschützt bleiben. Wir unterstützen Unternehmen bei der Umsetzung dieser Roadmap und befähigen sie, die Voraussetzungen für zukünftige Entwicklungen eigenständig zu bewerten. Abschließend führt unser Expertenteam eine ganzheitliche Überprüfung der digitalen Systeme und Sicherheitsprozesse durch.

Ansprechpartner:
Bartol Filipovic | Product Protection & Industrial Security | bartol.filipovic@aisec.fraunhofer.de

Angebot des Fraunhofer AISEC für Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren

Post-Quanten-Kryptografie

Der Fortschritt in der Entwicklung von Quantencomputern bedroht die heutige IT-Sicherheit als Ganzes. Denn etablierte kryptografische Verfahren könnten von Quantencomputern gebrochen werden. Mit dem Kompetenzzentrum Post-Quanten-Kryptografie bündelt das Fraunhofer AISEC seine Expertise in der Zukunftstechnologie der Post-Quanten-Kryptografie (PQC).  

Im Kontext von NIS-2 Directive adressiert unser Angebot die systematische Vorbereitung auf kryptographische Risiken, insbesondere im Hinblick auf Post-Quantum Cryptography. Wir unterstützen Organisationen dabei, kryptographische Abhängigkeiten transparent zu machen, Risiken zu bewerten und eine strukturierte, NIS-2-konforme Migrationsstrategie zu entwickeln. Im Fokus stehen dabei Crypto-Agility, hybride Übergangslösungen und langfristige Resilienz geschäftskritischer IT-Systeme.

Weitere Informationen:

https://www.aisec.fraunhofer.de/de/spotlights/kompetenzzentrum-post-quanten-kryptografie.html

Ansprechpartner:

Prof. Daniel Loebenberger | Secure Infrastructure | daniel.loebenberger@aisec.fraunhofer.de

Angebot des Fraunhofer AISEC für Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Entwicklung von Prototypen und intelligenten Sicherheitskonzepten 

Das Fraunhofer AISEC hat Expertise in angewandter Cybersicherheitsforschung von der Hardware bis zur Cloud. Es entwickelt moderne intelligente Sicherheitskonzepte, leitet davon Prototyp-Lösungen ab und implementiert sie zusammen mit Unternehmen und Einrichtungen, die starken Schutz ihrer zukünftigen Produkte und Systeme gegen hochqualifizierte Angreifende benötigen. Zu den Leistungen gehören u.a.:

• Entwicklung von Sicherheitskonzepten, basierend auf bestehenden Systemen und resultierend aus neuen Sicherheitsanforderungen
• Integration hochsicherer Elemente, die komplexe Kryptografie und hochgeschützte Schlüsselspeicherung unterstützen
• Integration umfassender Legacy-Authentifizierung und Kryptografie für hohen Schutz und Abwärtskompatibilität
• Einhaltung modernster Kryptographie- und Authentifizierungsprotokolle
• Entwicklung prototypischer Lösungen
• Integration getesteter Prototypen
• Evaluierung von bestehenden Sicherheitskonzepten

Ansprechpartner:

Prof. Dr. Claudia Eckert | Geschäftsführende Institutsleitung | claudia.eckert@aisec.fraunhofer.de