NIS2 ist die EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit. Sie löst die erste NIS-Richtlinie ab, erweitert den Kreis betroffener Sektoren deutlich und verschärft die Pflichten zu Risikomanagement, Vorfallsmeldung und Lieferkettensicherheit.

Wer ist von NIS2 betroffen?

Betroffen sind „wesentliche“ und „wichtige“ Einrichtungen in definierten Sektoren ab einer bestimmten Größe (in der Regel mittlere Unternehmen aufwärts). Die Einstufung hängt von Sektor, Größe und Kritikalität ab — eine verbindliche Prüfung erfordert eine Einzelfallbewertung.

Welche Kernpflichten bringt NIS2 mit?

Im Kern: technische und organisatorische Risikomanagement-Maßnahmen, Meldepflichten bei erheblichen Sicherheitsvorfällen, Anforderungen an die Lieferkettensicherheit sowie Governance- und Haftungspflichten der Leitungsorgane.

Haftet die Geschäftsleitung persönlich?

NIS2 verpflichtet die Leitungsorgane, Risikomanagement-Maßnahmen zu billigen und zu überwachen, und sieht eine persönliche Verantwortung vor. Cybersicherheit ist damit ausdrücklich Chefsache, nicht allein Aufgabe der IT.

Wie hilft ein RMM bei der NIS2-Umsetzung?

Ein RMM liefert die technische Basis für mehrere NIS2-Pflichten: lückenloses Asset-Inventar, nachweisbares Patch-Management, Härtung und Vorfallserkennung über die gesamte IT-Flotte — inklusive auditierbarer Nachweise.

NIS2

NIS2: Wer betroffen ist, welche Pflichten gelten und wie Tooling unterstützt

NIS2 verschärft die Cybersicherheitspflichten für tausende Unternehmen in der EU — inklusive persönlicher Haftung der Geschäftsleitung. Dieser Überblick ordnet ein, wer betroffen ist, was zu tun ist und wo ein RMM die Nachweispflichten technisch abdeckt.

Was NIS2 ist — und warum es jetzt relevant wird

NIS2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit (Richtlinie 2022/2555). Sie weitet den Kreis der verpflichteten Unternehmen massiv aus, hebt das geforderte Sicherheitsniveau an und macht Cybersicherheit zur dokumentierten Führungsaufgabe.

Der praktische Effekt: Viele Unternehmen, die unter der ersten NIS-Richtlinie nicht reguliert waren, fallen nun in den Anwendungsbereich — oft, ohne es zu wissen. Dieser Überblick ordnet die Pflichten ein. Er ist eine fachliche Orientierung und ersetzt keine Rechtsberatung.

Wer ist betroffen?

NIS2 unterscheidet zwei Kategorien, jeweils gebunden an Sektor, Unternehmensgröße und Kritikalität:

Wesentliche Einrichtungen — etwa Energie, Verkehr, Gesundheit, Wasser, digitale Infrastruktur, Finanzsektor.
Wichtige Einrichtungen — etwa Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste.

Maßgeblich ist in der Regel die Größenschwelle ab mittleren Unternehmen. Die Selbsteinschätzung sollte früh erfolgen, weil die Pflichten unabhängig von einer behördlichen Registrierung greifen.

Die vier Pflichtenfelder

NIS2 lässt sich in vier Blöcke gliedern:

Risikomanagement. Technische und organisatorische Maßnahmen nach dem Stand der Technik: Asset-Management, Patch- und Schwachstellenmanagement, Zugriffskontrolle, Verschlüsselung, Backup und Business Continuity.
Meldepflichten. Erhebliche Sicherheitsvorfälle sind in engen Fristen zu melden — eine frühe Erstmeldung gefolgt von detaillierteren Berichten. Das setzt funktionierende Erkennung und Dokumentation voraus.
Lieferkettensicherheit. Auch die Sicherheit von Zulieferern und Dienstleistern wird Pflichtbestandteil. Wer Dienstleister einsetzt — etwa einen MSP —, muss deren Sicherheitsniveau bewerten.
Governance und Haftung. Die Leitungsorgane müssen die Maßnahmen billigen, überwachen und sich schulen lassen. NIS2 sieht eine persönliche Verantwortung der Leitung vor.

Wie Tooling und RMM die Umsetzung tragen

Ein erheblicher Teil der NIS2-Pflichten ist technischer Natur — und genau dort setzt ein RMM an. Es liefert die operative und die nachweisbare Ebene zugleich:

Asset-Inventar. Vollständige, aktuelle Übersicht aller Endpunkte, Server und Software — Voraussetzung für jedes Risikomanagement.
Patch- und Schwachstellenmanagement. Automatisierte Verteilung und auditierbarer Nachweis, dass kritische Updates eingespielt wurden.
Vorfallserkennung und -dokumentation. Telemetrie über die Flotte, die Meldungen mit Daten unterlegt und Fristen einhaltbar macht.
Härtung und Kontrolle. Durchsetzbare Konfigurations- und Zugriffsrichtlinien über alle Geräte.

Ein RMM ersetzt kein Sicherheitskonzept, aber es ist das Werkzeug, mit dem ein großer Teil der Maßnahmen umgesetzt und belegt wird.

Souveränität als zusätzliche NIS2-Dimension

Gerade weil ein RMM tief in die IT-Flotte hineinreicht, ist sein eigener Betrieb sicherheitsrelevant. Liegt diese Kontrollschicht bei einem Anbieter unter fremder Jurisdiktion, entsteht ein Lieferketten- und Souveränitätsrisiko — genau jener Punkt, den NIS2 adressiert.

OneLog ist hierfür ausgelegt: NIS2-konformes RMM aus Deutschland (PioneerDesk GmbH, Zangberg/Oberbayern), betrieben in der STACKIT Sovereign Cloud, ohne US-Cloud-Exposure, mit ISO 27001:2022 und öffentlich dokumentierten TOM nach Art. 32 DSGVO. KI-Agenten lösen definierte Vorfälle autonom — das verkürzt die Reaktionszeit, die unter den NIS2-Meldepflichten zählt. Validiert wird OneLog unter realen Betriebsbedingungen.

Nächste Schritte

Beginnen Sie mit der Betroffenheitsprüfung, dann der Lückenanalyse gegen die vier Pflichtenfelder. Eine kompakte Einstiegshilfe bietet die NIS2-Checkliste; die Spoke-Seiten vertiefen die Umsetzung für MSP und für das Patch-Management.

Häufige Fragen

Was ist NIS2?: NIS2 ist die EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit. Sie löst die erste NIS-Richtlinie ab, erweitert den Kreis betroffener Sektoren deutlich und verschärft die Pflichten zu Risikomanagement, Vorfallsmeldung und Lieferkettensicherheit.
Wer ist von NIS2 betroffen?: Betroffen sind „wesentliche“ und „wichtige“ Einrichtungen in definierten Sektoren ab einer bestimmten Größe (in der Regel mittlere Unternehmen aufwärts). Die Einstufung hängt von Sektor, Größe und Kritikalität ab — eine verbindliche Prüfung erfordert eine Einzelfallbewertung.
Welche Kernpflichten bringt NIS2 mit?: Im Kern: technische und organisatorische Risikomanagement-Maßnahmen, Meldepflichten bei erheblichen Sicherheitsvorfällen, Anforderungen an die Lieferkettensicherheit sowie Governance- und Haftungspflichten der Leitungsorgane.
Haftet die Geschäftsleitung persönlich?: NIS2 verpflichtet die Leitungsorgane, Risikomanagement-Maßnahmen zu billigen und zu überwachen, und sieht eine persönliche Verantwortung vor. Cybersicherheit ist damit ausdrücklich Chefsache, nicht allein Aufgabe der IT.
Wie hilft ein RMM bei der NIS2-Umsetzung?: Ein RMM liefert die technische Basis für mehrere NIS2-Pflichten: lückenloses Asset-Inventar, nachweisbares Patch-Management, Härtung und Vorfallserkennung über die gesamte IT-Flotte — inklusive auditierbarer Nachweise.

Weiterlesen

OneLog in Ihrer Umgebung sehen

Souveränes, NIS2-konformes RMM mit autonomer Remediation — EU-gehostet, kein US-Cloud-Exposure.

OneLog testen Mit dem Gründer sprechen