Ein falscher Klick auf einen E-Mail-Anhang – und schon können Hacker ins interne Netzwerk eindringen. Sie spähen Daten aus, manipulieren Systeme oder legen ganze IT-Strukturen lahm. Cyberangriffe treffen längst nicht mehr nur Großkonzerne, sondern auch Stadtwerke, Behörden und Krankenhäuser.
Bereits 2016 reagierte die Europäische Union auf die Cyberangriffe mit der ersten Richtlinie zur Netz- und Informationssicherheit (NIS). Mit der neuen Cybersicherheitsrichtlinie NIS-2 verschärft die EU die Vorgaben weiter. Deutschland setzte sie verspätet im Dezember 2025 in Kraft. Doch es gibt Kritik.
Warum die EU bei der Cybersicherheit nachschärft
Ziel der ersten NIS-Richtlinie war es, einen gemeinsamen europäischen Rechtsrahmen für Cybersicherheit zu schaffen. Sie verpflichtet die Mitgliedstaaten zum Aufbau nationaler Sicherheitsstrukturen, stärkt die Zusammenarbeit und definiert Mindeststandards sowie Meldepflichten für ausgewählte digitale Dienste und Betreiber kritischer Infrastrukturen, wie zum Beispiel Wasser- und Energieversorger.
Die 2022 beschlossene NIS2-Richtlinie, die in Deutschland 2025 in Kraft trat, ist die Weiterentwicklung der ersten NIS-Richtlinie und soll die Cybersicherheit in Europa nochmals stärken.
Denn das Risiko für Cyberangriffe ist in der gesamten EU extrem gestiegen. “Wir befinden uns mitten in einem hybriden Krieg. Die kritische Infrastruktur in Europa ist täglich von Cyberangriffen betroffen”, sagte EU-Digitalkommissarin Henna Virkkunen. Der Digitalverband Bitkom beziffert den Schaden allein für die deutsche Wirtschaft im Jahr 2025 auf über 200 Milliarden Euro. Das Risiko für Cyberangriffe steige demnach Jahr für Jahr.
Neben privat organisierten Kriminellen würden auch staatliche Akteure immer aktiver. Bitkom zufolge lassen sich die meisten Angriffe nach China oder Russland zurückverfolgen. Auch laut Bundesinnenministerium haben die Destabilisierungsversuche durch Sabotage und Spionage stark zugenommen. Deutschland gilt dabei als eines der Top-Ziele weltweit.
Claudia Plattner, die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), sieht „wachsende Angriffsflächen“ für Cyberkriminelle in Deutschland, insbesondere durch die fortschreitende Digitalisierung. Außerdem entstünden im Zuge der Energiewende vielerorts kleinere Kraftwerke oder Windparks, die unterschiedlich stark gegen Cyberangriffe geschützt seien.
Das regelt die neue NIS-2-Richtlinie
Unter der ersten NIS-Richtlinie fielen vor allem Betreiber kritischer Infrastruktur aus Bereichen wie Energie oder Gesundheitswesen. Mit den neuen Regeln von NIS-2 müssen sich nun deutlich mehr und kleinere Firmen aus zusätzlichen Sektoren an die strengeren Cybersicherheitsauflagen halten.
Insgesamt gilt NIS-2 nun für 18 Sektoren. In Deutschland betrifft das rund 30.000 Unternehmen und Einrichtungen, darunter auch Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste sowie Teile der öffentlichen Verwaltung.
Die NIS-2-Richtlinie setzt auch strengere Sicherheitsanforderungen voraus. Sie sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen vor sowie schärfere Sanktionen bei Verstößen. Zudem soll die Zusammenarbeit zwischen den EU-Staaten bei der Abwehr von Cyberangriffen verbessert werden.
Das BSI übernimmt als Aufsichtsbehörde der neuen EU-Richtlinie eine zentrale Rolle. BSI-Präsidentin Claudia Plattner betont, dass NIS-2 erstmals gesetzlich eindeutig festschreibe, dass die Verantwortung für Cybersicherheit bei Institutionen, Unternehmen und Organisationen liege. Plattner spricht in diesem Zusammenhang von einem möglichen „massiven Game Changer.“
Was die NIS-2-Richtlinie für deutsche Unternehmen und Behörden bedeutet
Die betroffenen Unternehmen müssen sich beim BSI registrieren und den Stand ihrer Cybersicherheit überprüfen und gegebenenfalls Maßnahmen neu einführen, wie zum Beispiel Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Außerdem müssen erhebliche Sicherheitsvorfälle der BSI innerhalb von 24 Stunden gemeldet werden, erst als Frühwarnung, später detaillierter.
Werden die neuen Anforderungen nicht erfüllt, drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Auch die Geschäftsleitung rückt stärker in die Verantwortung: Sie muss die Cybersicherheitsmaßnahmen überwachen, kann bei Pflichtverstößen persönlich belangt werden und ist zu entsprechenden Schulungen verpflichtet.
Viele Unternehmen müssen dafür erst prüfen, ob die neuen Cybersicherheitsregeln für sie überhaupt gelten. Dafür gibt es spezielle Beratungsangebote, zum Beispiel die NIS-2-Anlaufstelle NRW, bei der es eine kostenfreie Erstberatung gibt. Außerdem gibt es eine NIS-2-Betroffenheitsprüfung beim BSI.
Betroffen sind vor allem Unternehmen aus “wichtigen” und “besonders wichtigen” Sektoren, zum Beispiel Transport und Verkehr, Abfallwirtschaft, Chemieproduktion, Lebensmittelindustrie, Anbieter digitaler Dienste oder Forschungseinrichtungen.
Auch die Unternehmensgröße spielt eine Rolle: Entscheidend sind unter anderem die Zahl der Beschäftigten und der Jahresumsatz.
Kritik an der neuen EU-Cybersicherheitsrichtlinie
Felix Kulenkampff vom Digitalverband Bitkom berichtet, viele Unternehmen seien nach wie vor unsicher, ob sie überhaupt unter der NIS-2-Richtlinie fallen. In anderen EU-Mitgliedstaaten seien betroffene Firmen teilweise direkt angeschrieben worden. Das habe für mehr Klarheit gesorgt.
Außerdem warnt Kulenkampff, dass gerade kleinere Unternehmen Schwierigkeiten haben könnten, die neuen Anforderungen umzusetzen. Besonders kritisch sieht er die 24-Stunden-Meldepflicht bei erheblichen Sicherheitsvorfällen: In einer akuten Cyberkrise müssten Unternehmen gleichzeitig Angriffe abwehren, Schäden analysieren und fristgerecht Meldung erstatten. Das sei sehr knapp bemessen.
Auch dass Vorfälle an jeweils nationale Behörden gemeldet werden müssen, statt über eine zentrale europäische Plattform, erhöhe im Ernstfall die Komplexität, vor allem bei grenzüberschreitenden Angriffen.
Kritik gibt es auch am politischen Prozess in Deutschland. Eigentlich hätte die Richtlinie bis Oktober 2024 in allen EU-Ländern umgesetzt sein müssen. Hierzulande verzögerte sich das Verfahren aber um mehr als ein Jahr. Der Grünen-Innenpolitiker Konstantin von Notz bezeichnete das gesamte Verfahren als „kein Ruhmesblatt“.
Seine Partei stimmte 2025 als einzige im Bundestag gegen das Umsetzungsgesetz. Sie fordern einheitliche IT-Sicherheitsregeln für Bund und Länder. Denn durch das föderale System seien Zuständigkeiten oft unklar und genau diese Lücken könnten Angreifer ausnutzen. Außerdem forderten die Grünen ein Gesetz, das den digitalen Schutz besser mit dem physischen Schutz wichtiger Einrichtungen verzahnt.
Zuletzt hatte der mutmaßliche Anschlag auf das Berliner Stromnetz Anfang 2026 Fragen nach möglichen Sicherheitslücken beim physischen Schutz kritischer Infrastruktur aufgeworfen. Neben der NIS2-Richtlinie gibt es dafür eine weitere EU-Vorgabe, die sogenannte CER-Richtlinie. Sie regelt den physischen Schutz kritischer Infrastruktur.
Weitere Maßnahmen zum Schutz Europas vor Cyberangriffen
Bundesinnenminister Alexander Dobrindt (CSU) setzt unter anderem auf eine engere Kooperation mit Israel. Gemeinsam mit dem israelischen Premierminister Benjamin Netanjahu wurde ein Cyber- und Sicherheitspakt geschlossen.Kernstück ist der geplante Aufbau eines sogenannten „Cyber Dom“ – eines teilautomatisierten Systems zur Erkennung und Analyse von Cyberangriffen.
Außerdem sollen Sicherheitsbehörden neue Befugnisse erhalten, um digitale Infrastruktur von Angreifern zu stören oder außer Betrieb zu setzen – auch dann, wenn sich diese im Ausland befindet. Auch auf EU-Ebene wird weiter darüber nachgedacht, die Cybersicherheit zu stärken. EU-Kommissarin Henna Virkkunen kündigte an, die Cybersicherheitsregeln weiterzuentwickeln. Unter anderem soll die europäische Agentur für Netz und Informationssicherheit gestärkt werden, und auch bei NIS-2 sind Verbesserungen vorgesehen.
ema
