Die NIS2-Richtlinie ist eine EU-weite Vorschrift zur Verbesserung der Cybersicherheit kritischer Netzwerke und Informationssysteme. Sie erweitert die Sicherheits- und Meldepflichten über bisherige Regelungen der NIS (in Deutschland: KRITIS) hinaus, betrifft mehr Unternehmen und verstärkt die Anforderungen an das Risikomanagement und die Resilienz gegenüber Cybervorfällen. Ziel ist es, ein hohes, einheitliches Sicherheitsniveau in allen Mitgliedstaaten sicherzustellen und die Zusammenarbeit bei der Cybersicherheit zu verbessern.

Die Anforderungen an die Unternehmen beinhalten Basisanforderungen an ein Informations-Management-System, eine Registrierungspflicht für unter die Richtlinie fallende Unternehmen bei einer nach nationalem Recht zu definierenden Stelle, Incident-Melde-Pflichten und eine persönliche Haftung der Geschäftsleitung. Viele Anforderungen werden in der IT-Sicherheits-Community als „Best Practice“ und nicht neu gesehen.

Die Richtlinie muss erst durch ein nationales Umsetzungsgesetz in nationales Recht überführt werden, da eine Richtlinie – anders als eine Verordnung – kein anwendbares Recht in den EU-Mitgliedsstaaten ist.

Es wird erwartet, dass durch die Verpflichtung zu einem sicheren Lieferantenmanagement auch solche Firmen in Zugzwang geraten, die originär unter NIS2 fallen, aber von ihren Kunden faktisch zur Umsetzung gezwungen werden.