NIS-2 und NISG 2026

Was ist NIS-2 und was ist das NISG 2026?

Die NIS-2-Richtlinie (Directive (EU) 2022/2555, „Network and Information Security Directive 2") ist der zentrale EU-Rechtsrahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Sie ersetzt die erste NIS-Richtlinie von 2016 und reagiert auf deren bekannte Schwächen: zu enger Anwendungsbereich, uneinheitliche Umsetzung und schwache Durchsetzung. NIS-2 trat am 16. Januar 2023 in Kraft; die Frist zur Umsetzung in nationales Recht endete am 17. Oktober 2024.

Als Richtlinie entfaltet NIS-2 keine unmittelbare Wirkung gegenüber Unternehmen, sondern muss durch die Mitgliedstaaten in nationales Recht gegossen werden. In Österreich geschieht das durch eine Neufassung des Netz- und Informationssystemsicherheitsgesetzes (NISG), in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, in der Schweiz über einen eigenständigen, nicht NIS-2-gebundenen Pfad (u.a. Meldepflicht für kritische Infrastrukturen im Informationssicherheitsgesetz). Wichtig für die Praxis: Sowohl Österreich als auch Deutschland haben die Umsetzungsfrist überschritten. Der provisorische Stand 2026 ist, dass die nationalen Gesetze sich in fortgeschrittenen, aber noch nicht in allen Punkten final abgeschlossenen Verfahren befinden. Organisationen sollten daher den Inkrafttretens- und Registrierungszeitpunkt aktiv beobachten und nicht auf ein fixes Datum vertrauen.

Der strategische Kern: NIS-2 verschiebt Cybersicherheit von einer freiwilligen IT-Aufgabe zu einer gesetzlich verpflichtenden, vorstandsrelevanten Governance-Anforderung mit persönlicher Verantwortung der Leitungsorgane.

Wer ist betroffen? Wesentliche und wichtige Einrichtungen

NIS-2 erweitert den Anwendungsbereich gegenüber der alten Richtlinie massiv. Die Betroffenheit ergibt sich grundsätzlich aus zwei Kriterien: Sektor und Größe.

NIS-2 unterscheidet wesentliche Einrichtungen („essential entities") und wichtige Einrichtungen („important entities"). Die Sektoren sind in zwei Anhängen geregelt: Anhang I umfasst Sektoren mit hoher Kritikalität (u.a. Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement im B2B, öffentliche Verwaltung, Weltraum). Anhang II umfasst weitere kritische Sektoren (u.a. Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe/Herstellung, Anbieter digitaler Dienste wie Online-Marktplätze, Suchmaschinen und Social-Media-Plattformen, Forschung).

Für die Größenschwelle gilt grundsätzlich die „Size-Cap-Regel": Erfasst sind mittlere und große Unternehmen, also ab 50 Beschäftigten oder einem Jahresumsatz/einer Bilanzsumme von mehr als 10 Mio. EUR. Unterhalb dieser Schwelle greift NIS-2 in der Regel nicht – mit Ausnahmen für bestimmte kritische Anbieter (z.B. DNS-Dienste, TLD-Registries, qualifizierte Vertrauensdiensteanbieter, bestimmte Anbieter öffentlicher Kommunikationsnetze), die unabhängig von ihrer Größe erfasst sein können.

Ein zentraler Praxis-Punkt: Es gibt keine behördliche Vorab-Einstufung für jede Organisation. Betroffene müssen ihre Betroffenheit selbst feststellen und sich – je nach nationaler Ausgestaltung des NISG – innerhalb gesetzter Fristen registrieren. Diese Selbstbewertungspflicht trifft viele Unternehmen, die sich bisher nicht als „kritische Infrastruktur" verstanden haben, etwa Hersteller, Lebensmittel- oder Forschungsorganisationen.

Cybersicherheits- und Risikomanagementpflichten (Art. 21)

Herzstück von NIS-2 ist Artikel 21: Betroffene müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen" ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu beherrschen. Der Maßstab ist risikobasiert und am Stand der Technik orientiert. NIS-2 nennt explizit einen Mindestkatalog, der mindestens umfasst:

• Risikoanalyse und Konzepte für die Sicherheit von Informationssystemen
• Bewältigung von Sicherheitsvorfällen (Incident Handling)
• Business Continuity und Krisenmanagement (Backup, Wiederherstellung)
• Sicherheit der Lieferkette einschließlich Beziehungen zu Anbietern und Dienstleistern
• Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen, inkl. Schwachstellenmanagement
• Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
• Cyberhygiene und Schulungen
• Kryptografie und Verschlüsselung
• Personalsicherheit, Zugriffskontrolle und Asset-Management
• Multi-Faktor-Authentifizierung (MFA), gesicherte Kommunikation und Notfallkommunikation

Der AI-Agent-Betrieb fällt in mehrfacher Hinsicht in diesen Rahmen: Ein AI Agent ist ein Netz- und Informationssystem im Sinne der Richtlinie, er greift typischerweise über Tools, APIs und MCP-Anbindungen auf weitere Systeme zu, und er verarbeitet potenziell schützenswerte Daten. Damit sind Zugriffskontrolle, Verschlüsselung, Logging, Schwachstellenmanagement und Lieferketten-Bewertung unmittelbar relevant. Wer AI-Agenten in einem betroffenen Sektor produktiv betreibt, muss diese Komponenten in das NIS-2-Risikomanagement integrieren – nicht als Add-on, sondern als Teil des regulären Sicherheitskonzepts.

Meldepflichten: das 24/72-Stunden-Regime

NIS-2 etabliert ein gestuftes, eng getaktetes Meldeverfahren für erhebliche Sicherheitsvorfälle („significant incidents") an die zuständige Behörde bzw. das nationale CSIRT (Computer Security Incident Response Team). Ein Vorfall gilt vereinfacht dann als erheblich, wenn er schwerwiegende Betriebsstörungen, finanzielle Verluste oder erhebliche Schäden für andere verursacht (hat oder verursachen kann).

Für den AI-Agent-Betrieb bedeutet das: Es braucht Detektions- und Eskalationsfähigkeit, die schnell genug ist, um die 24-Stunden-Frühwarnung einzuhalten. Vorfälle wie ein erfolgreicher Prompt-Injection-Angriff, der einen Agenten zu unautorisierten Tool-Aufrufen oder Datenexfiltration veranlasst, ein kompromittierter Model-Endpoint oder ein Datenabfluss über eine fehlkonfigurierte Tool-Anbindung können meldepflichtig sein. Logging, Monitoring und ein definierter Incident-Response-Prozess für Agenten-Systeme sind daher praktische NIS-2-Voraussetzungen.

Lieferketten-Sicherheit: der Durchgriff auf AI- und Cloud-Anbieter

Eine der wirkungsmächtigsten Neuerungen ist die explizite Pflicht zur Absicherung der Lieferkette. Betroffene müssen die Sicherheit ihrer direkten Lieferanten und Dienstleister bewerten und die Ergebnisse in ihr Risikomanagement und in ihre Verträge einfließen lassen. Berücksichtigt werden sollen u.a. die Qualität der Sicherheitspraktiken des Lieferanten, dessen Entwicklungsprozesse und das spezifische Risikoprofil.

Für den AI-Agent-Betrieb ist das zentral, weil der typische Stack stark auf externe Komponenten setzt: LLM-Anbieter, Cloud-/Hosting-Provider, Vektor-Datenbanken, Tool- und API-Dienste, MCP-Server, Orchestrierungs-Frameworks. Diese Anbieter sind oft selbst nicht direkt NIS-2-betroffen – über die Lieferketten-Pflicht der regulierten Kundenorganisation werden NIS-2-Anforderungen aber faktisch zu ihnen durchgereicht. Praktisch heißt das: Sicherheitszusagen in Verträgen (AVV/DPA, Audit-Rechte, Sub-Processor-Transparenz, Incident-Notification-Klauseln), Nachweise wie ISO/IEC 27001 oder SOC-2-Berichte und eine dokumentierte Anbieterbewertung.

Hier ergibt sich auch ein DACH-spezifischer Schnittpunkt zur Sovereign-AI-Diskussion: Workloads in regulierten oder kritischen Sektoren – etwa Finanzdienstleistungen unter DORA oder kritische Infrastruktur unter NIS-2 – profitieren strukturell von EU-residenten, souveränen AI-Plattformen, weil sie Datenresidenz, Sub-Processor-Transparenz und Lieferketten-Bewertung vereinfachen. McKinsey schätzt den globalen Markt für Sovereign AI auf rund 600 Mrd. USD pro Jahr bis 2030, davon 180–200 Mrd. EUR Europa-Anteil (McKinsey, zitiert in Blck Alpaca Research, 2026) – ein Indikator dafür, dass der regulatorische Druck (NIS-2, DORA, EU AI Act, DSGVO) souveräne Architekturentscheidungen kommerziell trägt.

Verantwortung der Geschäftsleitung und Sanktionen

NIS-2 adressiert ausdrücklich die Leitungsorgane. Diese müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich für Verstöße verantworten. Vorgesehen sind zudem verpflichtende Schulungen für Leitungsorgane, damit diese Cyberrisiken bewerten und Auswirkungen einschätzen können. Bei schwerwiegenden Verstößen können nationale Behörden – je nach Umsetzung – auch die vorübergehende Aussetzung von Leitungsfunktionen verfügen.

Der Bußgeldrahmen ist signifikant: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für wesentliche Einrichtungen, bis zu 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen. Damit rückt Cybersicherheit auf eine ähnliche Vorstands-Risikoebene wie die DSGVO. Wichtig im DACH-Kontext: Die konkrete Ausgestaltung der Sanktionen, der Aufsicht und etwaiger Haftungsregeln für Leitungsorgane erfolgt im nationalen NISG/NIS2-Umsetzungsgesetz und kann von Land zu Land abweichen – die genannten Werte sind die Richtlinien-Vorgaben, die nationale Umsetzung ist im Detail zu prüfen (informativ, keine Rechtsberatung).

AI-Agent-spezifische Cybersicherheit im NIS-2-Rahmen

Autonome AI-Agenten erweitern die Angriffsfläche gegenüber klassischen Anwendungen, weil sie Eingaben interpretieren, Entscheidungen treffen und über Tools real auf Systeme wirken. Innerhalb eines NIS-2-Risikomanagements sollten daher mindestens folgende Aspekte adressiert werden:

• Prompt Injection und Datenvergiftung als primäre Bedrohungsklasse – Inhalte aus E-Mails, Dokumenten oder Webseiten können einen Agenten zu unbeabsichtigten Aktionen verleiten. Gegenmaßnahmen: Input-Validierung, Trennung von Instruktions- und Datenkontext, Output-Filterung.
• Least-Privilege-Tool-Zugriff – Agenten nur mit den minimal nötigen Berechtigungen ausstatten; sensible Tool-Aufrufe (Zahlungen, Löschungen, externe Kommunikation) mit Human-in-the-Loop absichern.
• Guardrails und Policy-Enforcement – technische Leitplanken für zulässige Aktionen, Rate-Limits und Allow-/Deny-Listen für Tools und Domains.
• Identitäts- und Zugriffsmanagement – starke Authentifizierung (MFA), kurzlebige Tokens und sauberes Secrets-Management für Agenten-Identitäten.
• Lückenloses Logging und Auditierbarkeit – Nachvollziehbarkeit jeder Agenten-Entscheidung und jedes Tool-Aufrufs, um Meldepflichten und Forensik zu erfüllen.
• Lieferketten-Härtung – Absicherung von Modell-Endpoints, MCP-Servern und Drittanbieter-Tools.

Diese Maßnahmen überschneiden sich mit etablierten Sicherheits-Katalogen wie der OWASP-Top-10-Liste für LLM-Anwendungen und der OWASP-Liste für agentische Systeme. NIS-2 schreibt diese Kataloge nicht direkt vor, liefert aber den rechtlichen Anlass, sie verbindlich im Sicherheitskonzept zu verankern.

Abgrenzung zu EU AI Act, DSGVO und DORA

NIS-2 ist ein Cybersicherheits-Regime und deckt sich nicht mit den parallelen EU-Rahmenwerken. Eine saubere Abgrenzung verhindert sowohl Lücken als auch doppelten Aufwand:

In regulierten Branchen greifen mehrere Regime gleichzeitig. DORA verdrängt als sektorspezifische Spezialregelung für den Finanzsektor in weiten Teilen die NIS-2-Anforderungen, geht teils aber darüber hinaus. Pragmatisch empfiehlt sich, etablierte Management-Standards als gemeinsame Implementierungs-Baseline zu nutzen: ISO/IEC 27001 für das Informationssicherheits-Managementsystem (ISMS) und ISO/IEC 42001 (AI-Management-System, Dezember 2023) für die AI-Governance. ISO/IEC 42001 entwickelt sich laut Blck Alpaca Research (2026) zunehmend zum „Multi-Jurisdictional-Compliance-Simplifier", der über mehrere Rechtsordnungen hinweg als prudentieller Baseline-Anker referenziert wird.

Praxis-Ausblick und Handlungsempfehlung

Der provisorische Stand 2026 für den DACH-Raum lautet: Die NIS-2-Pflichten sind durch die Richtlinie inhaltlich klar, die nationale Umsetzung in Österreich (NISG) und Deutschland verzögert sich über die EU-Frist (17. Oktober 2024) hinaus, und die genauen Registrierungs-, Fristen- und Sanktionsdetails ergeben sich erst aus dem finalen nationalen Gesetz. Organisationen sollten diese Verzögerung nicht als Aufschub missverstehen: Die materiellen Anforderungen sind absehbar, und die Vorbereitungszeit für ein belastbares Risikomanagement ist erheblich.

Konkret empfiehlt sich ein dreistufiges Vorgehen: erstens eine ehrliche Betroffenheits- und Größenanalyse je Sektor (inkl. Selbstregistrierungs-Pflicht); zweitens ein Gap-Assessment gegen den Art.-21-Maßnahmenkatalog, das AI-Agenten und deren Lieferkette ausdrücklich einbezieht; drittens der Aufbau eines Incident-Response-Prozesses, der das 24/72-Stunden-Meldefenster einhalten kann. Für AI-Agenten heißt das: Guardrails, Least-Privilege-Tool-Zugriff, lückenloses Logging und eine dokumentierte Anbieterbewertung von Beginn an mitdenken – am besten verankert in einem ISMS (ISO/IEC 27001) und einem AI-Management-System (ISO/IEC 42001).