Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 in deutsches Recht überführt. Rund 29.000 Unternehmen in 18 kritischen Sektoren sind betroffen — von Energie über Gesundheit bis zur digitalen Infrastruktur. Die Pflichten sind konkret: Risikomanagementsysteme, Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden, BSI-Registrierung bis zum 6. März 2026 und bei Verstößen Bußgelder bis zu 10 Millionen Euro. Dieser Artikel zeigt, welche Maßnahmen unmittelbar umzusetzen sind und wie AWS-Services dabei helfen, NIS2-Anforderungen technisch abzubilden.

Was ist NIS2 und warum gilt sie jetzt?

Die NIS2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist die überarbeitete europäische Cybersicherheitsrichtlinie. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Geltungsbereich erheblich: Statt weniger Hundert besonders kritischer Betreiber sind nun rund 29.000 deutsche Organisationen direkt reguliert.

Deutschland hat die Richtlinie mit dem NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht umgesetzt. Die Regelungen sind am 6. Dezember 2025 in Kraft getreten. Für die Registrierung beim BSI gilt eine Dreimonatsfrist bis zum 6. März 2026.

Für Unternehmen, die Cloud-Infrastruktur betreiben oder nutzen, ergibt sich daraus eine klare Aufgabenstellung: Die technischen und organisatorischen Maßnahmen müssen nicht nur vorhanden sein — sie müssen auditierbar, dokumentiert und gegenüber dem BSI nachweisbar sein.

Welche Unternehmen sind betroffen?

NIS2 unterscheidet zwei Kategorien betroffener Einrichtungen. Die Einordnung bestimmt die Strenge der Aufsicht und die Höhe möglicher Bußgelder:

Kategorie Sektoren (Auswahl) Schwellenwerte Max. Bußgeld
Wesentliche Einrichtungen (Essential Entities) Energie, Trinkwasser, Verkehr, Gesundheit, Bankwesen, digitale Infrastruktur ≥ 250 MA oder ≥ 50 Mio. EUR Umsatz 10 Mio. EUR oder 2 % Jahresumsatz
Wichtige Einrichtungen (Important Entities) Post, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, digitale Dienste ≥ 50 MA oder ≥ 10 Mio. EUR Umsatz 7 Mio. EUR oder 1,4 % Jahresumsatz

Cloud-Dienste selbst (IaaS, PaaS, SaaS) fallen unter den Sektor „digitale Infrastruktur" und sind damit häufig als wesentliche Einrichtungen klassifiziert. Unternehmen, die Cloud-Dienste lediglich nutzen, können dennoch als wichtige Einrichtungen reguliert sein — abhängig vom Sektor und den Schwellenwerten.

Die acht Kernpflichten unter NIS2

Artikel 21 der NIS2-Richtlinie definiert die technischen und organisatorischen Mindestmaßnahmen. Für Cloud-Nutzer und -Betreiber sind folgende Pflichten besonders relevant:

  1. Risikomanagement: Einrichtung eines systematischen IT-Risikomanagementprozesses mit dokumentierten Risikoanalysen und Behandlungsmaßnahmen.
  2. Incident Response: Nachweis der Fähigkeit zur Erkennung, Analyse und Behebung von Sicherheitsvorfällen — mit definierten Eskalationspfaden.
  3. Meldepflicht bei Vorfällen: Schwerwiegende Sicherheitsvorfälle sind innerhalb von 24 Stunden an das BSI zu melden, eine ausführliche Meldung folgt innerhalb von 72 Stunden.
  4. Business Continuity: Backup-Konzepte, Disaster-Recovery-Pläne und Krisenmanagement müssen dokumentiert und getestet sein.
  5. Supply-Chain-Sicherheit: Sicherheitsanforderungen müssen auf direkte Lieferanten und Dienstleister ausgedehnt werden — inklusive Cloud-Provider.
  6. Zugangs- und Identitätsmanagement: Multi-Faktor-Authentifizierung und Zero-Trust-Prinzipien für alle privilegierten Zugänge.
  7. Kryptographie: Einsatz aktueller Verschlüsselungsstandards für Daten in Ruhe und bei der Übertragung.
  8. Schulungen und Awareness: Regelmäßige Cybersicherheitsschulungen für Mitarbeitende und Führungskräfte — nachweislich dokumentiert.

AWS-Services für NIS2-Compliance

AWS stellt eine umfangreiche Palette von Services bereit, die NIS2-Anforderungen technisch unterstützen. Die folgende Übersicht ordnet Anforderungen konkreten AWS-Diensten zu:

NIS2-Anforderung AWS-Service Funktion
Schwachstellenmanagement Amazon Inspector Kontinuierliches Vulnerability Scanning für EC2, Lambda, Container-Images
Bedrohungserkennung Amazon GuardDuty KI-basierte Threat Intelligence, Erkennung von Anomalien und Angriffsmuster
Audit-Logging AWS CloudTrail Lückenlose Protokollierung aller API-Aufrufe — unveränderlich in S3 gespeichert
Security Information AWS Security Hub Zentrale Sammlung und Priorisierung von Security Findings über alle Services
Backup & Recovery AWS Backup Zentralisierte, richtliniengesteuerte Backups mit unveränderlichem Speicher
Identitätsmanagement AWS IAM Identity Center SSO mit MFA, feingranulare Berechtigungen, zentrales Audit-Trail
Netzwerksicherheit AWS Network Firewall Stateful Inspection, Intrusion Prevention, URL-Filterung
Verschlüsselung AWS KMS Verwaltung kryptographischer Schlüssel mit vollständigem Audit-Trail
Compliance-Monitoring AWS Config Kontinuierliche Konfigurationsprüfung gegen definierte Compliance-Regeln

Verantwortungsteilung: Was AWS liefert, was Sie verantworten

Ein häufiges Missverständnis bei NIS2 und Cloud: Wer ist für was verantwortlich? Das Shared Responsibility Model von AWS definiert klare Grenzen — und NIS2 ändert daran nichts grundlegend, verlangt aber explizite Dokumentation dieser Grenzen.

AWS-Verantwortung (Security of the Cloud)
Physische Sicherheit der Rechenzentren, Hypervisor-Sicherheit, Netzwerkinfrastruktur, Hardware-Integrität. AWS hält hierfür zahlreiche Zertifizierungen: ISO 27001, SOC 2, BSI C5 Type II, CSA STAR Level 2. Diese Zertifizierungen können als Nachweise gegenüber dem BSI verwendet werden.
Kundenseitige Verantwortung (Security in the Cloud)
Konfiguration der AWS-Services, Zugriffsverwaltung (IAM), Betriebssystem- und Applikations-Patching auf EC2, Datenverschlüsselung, Netzwerksegmentierung (VPC, Security Groups), Monitoring und Incident Response. Diese Ebene ist vollständig in der Verantwortung des Kunden — und genau hier greifen die NIS2-Maßnahmen.
Vertragliche Grundlage
Der AWS Data Processing Addendum (DPA) regelt die Auftragsverarbeitung gemäß DSGVO. Für NIS2 ist zusätzlich der AWS-Kundensicherheitsvertrag relevant, der die Sicherheitspflichten beider Seiten beschreibt. AWS stellt auf Anfrage Audit-Berichte (ISO, SOC, C5) bereit.

NIS2-Umsetzung in der Praxis: Ein 6-Schritte-Plan

  1. Betroffenheit prüfen: Anhand der Sektorliste und Schwellenwerte feststellen, ob und in welcher Kategorie das Unternehmen fällt. Das BSI stellt dafür eine Selbstauskunft-Möglichkeit bereit.
  2. BSI-Registrierung: Spätestens bis zum 6. März 2026 beim BSI registrieren. Voraussetzung ist die Benennung von Ansprechpartnern und die Dokumentation der IT-Infrastruktur.
  3. Gap-Analyse: Bestehende Sicherheitsmaßnahmen gegen die NIS2-Anforderungen abgleichen. Lücken dokumentieren und priorisieren — idealerweise gegen einen anerkannten Standard wie ISO 27001 oder BSI IT-Grundschutz.
  4. Technische Maßnahmen umsetzen: GuardDuty, Security Hub und CloudTrail aktivieren. Incident-Response-Playbooks für die 24-Stunden-Meldepflicht entwickeln.
  5. Supply-Chain-Anforderungen umsetzen: Bestehende Lieferantenverträge auf NIS2-Konformität prüfen. Cloud-Provider (AWS) liefern ihre Compliance-Nachweise — diese sind einzuholen und zu dokumentieren.
  6. Governance verankern: Verantwortlichkeiten im CISO-Bereich klar zuordnen. Schulungsprogramme starten. Jährliche Überprüfungszyklen etablieren.

BSI C5: Der AWS-Compliance-Nachweis für Deutschland

Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist das vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Prüfschema für Cloud-Dienste. AWS ist einer der wenigen globalen Cloud-Provider mit einem C5 Type II Attest — d.h. die Anforderungen wurden nicht nur erklärt, sondern durch einen unabhängigen Prüfer über einen Zeitraum auditiert.

Für NIS2-pflichtige Unternehmen ist das C5-Attest von AWS ein wesentlicher Baustein der Supply-Chain-Sicherheitsdokumentation. Es belegt, dass der Cloud-Provider die notwendigen technischen und organisatorischen Maßnahmen trifft. Das aktuelle C5-Attest von AWS kann über aws.amazon.com/compliance/bsi-c5 abgerufen werden.

Häufig gestellte Fragen zu NIS2

Wer ist von NIS2 betroffen?
NIS2 betrifft in Deutschland rund 29.000 Organisationen in 18 Sektoren. Unterschieden wird zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz in kritischen Sektoren.
Bis wann müssen sich Unternehmen beim BSI registrieren?
Die BSI-Registrierungspflicht für betroffene Einrichtungen gilt seit dem 6. März 2026. Wer sich bis dahin nicht registriert hat, riskiert Bußgelder und aufsichtliche Maßnahmen.
Welche Strafen drohen bei NIS2-Verstößen?
Wesentliche Einrichtungen riskieren Bußgelder bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes. Für wichtige Einrichtungen gilt eine Obergrenze von 7 Millionen Euro oder 1,4 % des Jahresumsatzes.
Muss jedes Unternehmen ISO 27001 haben?
ISO 27001 ist keine explizite NIS2-Anforderung, aber ein anerkannter Nachweis für systematisches Informationssicherheitsmanagement. Das BSI akzeptiert alternativ den IT-Grundschutz als Nachweisrahmen. Entscheidend ist, dass Maßnahmen dokumentiert, getestet und auditierbar sind.
Gilt NIS2 auch für Cloud-Nutzer?
Ja. NIS2 gilt für alle betroffenen Einrichtungen, unabhängig davon, ob sie On-Premises oder in der Cloud operieren. Cloud-Nutzer müssen sicherstellen, dass ihre Konfiguration und ihr Betrieb die NIS2-Anforderungen erfüllen — der Cloud-Provider übernimmt nur die Infrastruktur-Sicherheit.

Storm Reply: NIS2-Compliance auf AWS

Storm Reply — AWS Premier Consulting Partner im DACH-Markt — unterstützt Unternehmen bei der NIS2-Umsetzung: von der initialen Betroffenheitsprüfung und Gap-Analyse über die technische Implementierung von GuardDuty, Security Hub und CloudTrail bis zum Aufbau von Incident-Response-Playbooks.

Mit der AWS Security Competency und über 1.500 AWS-Zertifizierungen in der Reply Group verfügen wir über das notwendige Know-how, um NIS2-Compliance nicht als einmaliges Projekt, sondern als nachhaltigen Betriebsmodus zu etablieren — auditierbar und BSI-ready.

Quellen

  1. EU-Richtlinie 2022/2555 (NIS2) im EUR-Lex
  2. BSI — NIS2-Informationsseite
  3. AWS BSI C5 Compliance
  4. AWS NIS2 Compliance Center

NIS2-Compliance umsetzen?

Storm Reply analysiert Ihren Handlungsbedarf und implementiert NIS2-konforme Maßnahmen auf AWS.

Kontakt aufnehmen

Weitere Insights

BSI IT-Grundschutz und AWS

Compliant Cloud für den öffentlichen Sektor — Bausteine auf AWS-Services gemappt.

DORA beyond Finance

Operational Resilience Prinzipien aus DORA für alle Branchen adaptieren.