---
title: "NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)"
description: "Die NIS2-Richtlinie (RL (EU) 2022/2555) regelt die Cybersicherheit kritischer Sektoren. Sie überlagert den AI Act bei KI in kritischen Infrastrukturen und bei Vorfallsmeldungen."
summary_en: "This German glossary page explains \"NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/glossar/nis2-richtlinie/"
type: "glossary"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: in_force
license: CC-BY-4.0
---

# NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Geltendes Recht (im Amtsblatt verbindlich).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German glossary page explains "NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der unionsrechtliche Rahmen für ein hohes gemeinsames Cybersicherheitsniveau. Sie erfasst „wesentliche" und „wichtige" Einrichtungen in kritischen Sektoren (Energie, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser u. a.) und verpflichtet sie zu Risikomanagement-Maßnahmen (Art. 21), Meldepflichten bei erheblichen Vorfällen (Art. 23, frühwarnend 24 h, ausführlich 72 h) und Aufsicht. NIS2 überlagert den AI Act dort, wo KI in kritische Infrastrukturen eingebettet ist (Anhang III Nr. 2 AI Act) oder KI-Vorfälle auch NIS2-Vorfälle sind. Die nationalen Umsetzungen (in Deutschland NIS2UmsuCG) konkretisieren die Pflichten. Schnittstellen: Cybersecurity-Pflichten aus Art. 15 AI Act decken sich mit NIS2; Vorfallsmeldungen (Art. 73 AI Act ↔ Art. 23 NIS2) sind kumulativ.

## Gegenstand und Anwendungsbereich

NIS2 (RL (EU) 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie und erweitert erheblich den Anwendungsbereich. Erfasst sind „wesentliche Einrichtungen" und „wichtige Einrichtungen" in Sektoren wie Energie, Transport, Banken, Finanzmarkt, Gesundheit, Trinkwasser, digitale Infrastruktur, IT-Dienstleister, öffentliche Verwaltung, Raumfahrt. Ausgenommen: reine Telekommunikation (hat eigene Regeln), kleinste/mikro Einrichtungen (mit Ausnahmen). Die Pflichten: geeignete/verhältnismäßige technische/organisatorische Maßnahmen (Art. 21), Meldepflichten bei erheblichen Vorfällen (Art. 23), Management-Verantwortung, Schulung. Mitgliedstaaten müssen die Umsetzung bis Mitte Oktober 2024 national geregelt haben (in DE: NIS2UmsuCG).




## Schnittstellen zum AI Act

Zwei zentrale Schnittstellen: (1) KI in kritischen Infrastrukturen — wer als „wesentliche Einrichtung" hochrisiko-KI nach Anhang III Nr. 2 AI Act einsetzt, unterliegt sowohl Art. 8–15 AI Act als auch den NIS2-Risikomanagement-Pflichten (Art. 21). Die Cybersecurity-Anforderungen nach Art. 15 AI Act überschneiden sich mit NIS2-Art. 21. (2) Vorfallsmeldungen — ein KI-Vorfall kann zugleich ein NIS2-Vorfall sein (z. B. Cyberangriff auf KI-System in Krankenhaus). NIS2-Meldepflicht (Art. 23: frühwarnend 24 h, ausführlich 72 h, Abschlussbericht 1 Monat) und AI-Act-Meldepflicht (Art. 73) sind kumulativ. Eine konsolidierte Vorfall-Matrix ist für Betreiber kritischer Dienste unverzichtbar.




## Drei-Regime-Querschnitt (NIS2 + DSGVO + AI Act)

In der Praxis treten NIS2, DSGVO und AI Act häufig gemeinsam auf: eine KI-gestützte, personenbezogene, kritische Dienstleistung (z. B. KI-Diagnose im Krankenhaus) unterliegt allen drei. Eine Datenschutzverletzung kann NIS2-Vorfall und AI-Act-Vorfall zugleich sein — drei Meldepflichten (Art. 33 DSGVO 72 h, Art. 23 NIS2 gestaffelt, Art. 73 AI Act). Aufsichtlich wirken drei verschiedene Behörden parallel (Datenschutz, Cybersicherheits-Aufsicht, AI-Marktüberwachung). Eine integrierte Governance mit übergreifender Vorfall-Compliance, gemeinsamer Risikobewertung und abgestimmter Dokumentation ist die einzige praktikable Lösung. Für DACH-Unternehmen kritischer Sektoren ist der Drei-Regime-Querschnitt der Standardfall.



## Rechtsstellen

- **[Hochrisiko-Pflichten Anhang III (stand-alone): spätestens 2. Dezember 2027](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Hochrisiko-Pflichten Anhang I (produktintegriert): spätestens 2. August 2028](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 15 — Genauigkeit, Robustheit, Cybersecurity](https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 73 — Meldung schwerer Vorfälle (in der Regel max. 15 Tage)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Artikelnummern- und Klassifizierungs-Verifikation Welle 2 (Roles, Governance, Obligations, Processes) gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikelnummern, Definitionen und Klassifizierungen verifiziert; mehrere Fehler korrigiert

## Verwandte Themen

- [eu ai office](/glossar/eu-ai-office/)
- [konformitaetsbewertung](/glossar/konformitaetsbewertung/)
- [anbieter](/glossar/anbieter/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) - Amtsblatt der Europäischen Union; Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
- [Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) - Amtsblatt der Europäischen Union; IT-Sicherheitsanforderungen für kritische Sektoren.
- [Digital Services Act (VO (EU) 2022/2065) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/2065/oj) - Amtsblatt der Europäischen Union; Plattformregulierung; Schnittstelle zu KI-Systemen.
- [Data Governance Act (VO (EU) 2022/868) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2022/868/oj) - Amtsblatt der Europäischen Union; Rahmen für Datenvermittlung und -weitergabe.
- [Vorschlag AI Liability Directive (COM(2022)496)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496) - Europäische Kommission; Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
- [Bundesamt für Sicherheit in der Informationstechnik (BSI)](https://www.bsi.bund.de/) - BSI; IT-Sicherheitsbehörde Deutschland.

## FAQ

### Wen erfasst NIS2?

„Wesentliche" und „wichtige" Einrichtungen in kritischen Sektoren (Energie, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser u. a.) — Risikomanagement (Art. 21), Meldepflichten (Art. 23).

### Wie überlappt NIS2 mit dem AI Act?

KI in kritischen Infrastrukturen unterliegt beiden (Art. 8–15 AI Act + Art. 21 NIS2). Cybersecurity-Anforderungen (Art. 15 AI Act) überschneiden sich; Vorfallsmeldungen sind kumulativ (Art. 73 ↔ Art. 23).

### Was gilt bei einem Vorfall in kritischer KI?

Drei Meldepflichten kumulativ: Art. 33 DSGVO (72 h), Art. 23 NIS2 (gestaffelt), Art. 73 AI Act. Eine konsolidierte Vorfall-Matrix und abgestimmte Governance sind unverzichtbar.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/glossar/nis2-richtlinie/#webpage",
      "url": "https://dataact-compliance.de/glossar/nis2-richtlinie/",
      "name": "NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die NIS2-Richtlinie (RL (EU) 2022/2555) regelt die Cybersicherheit kritischer Sektoren. Sie überlagert den AI Act bei KI in kritischen Infrastrukturen und bei Vorfallsmeldungen.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/glossar/nis2-richtlinie/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/glossar/nis2-richtlinie/#article"
      }
    },
    {
      "@type": "DefinedTerm",
      "@id": "https://dataact-compliance.de/glossar/nis2-richtlinie/#article",
      "headline": "NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "name": "NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die NIS2-Richtlinie (RL (EU) 2022/2555) regelt die Cybersicherheit kritischer Sektoren. Sie überlagert den AI Act bei KI in kritischen Infrastrukturen und bei Vorfallsmeldungen.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/glossar/nis2-richtlinie/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/2847/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/dir/2022/2555/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/2065/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2022/868/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0496",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.bsi.bund.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-ai-office/#article",
          "url": "https://dataact-compliance.de/glossar/eu-ai-office/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/konformitaetsbewertung/#article",
          "url": "https://dataact-compliance.de/glossar/konformitaetsbewertung/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/anbieter/#article",
          "url": "https://dataact-compliance.de/glossar/anbieter/"
        }
      ],
      "termCode": "nis2-richtlinie"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/glossar/nis2-richtlinie/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Glossar",
          "item": "https://dataact-compliance.de/glossar/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "NIS2-Richtlinie: Definition und rechtliche Bedeutung (AI Act / Data Act)",
          "item": "https://dataact-compliance.de/glossar/nis2-richtlinie/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/glossar/nis2-richtlinie/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Wen erfasst NIS2?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "„Wesentliche\" und „wichtige\" Einrichtungen in kritischen Sektoren (Energie, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Trinkwasser u. a.) — Risikomanagement (Art. 21), Meldepflichten (Art. 23)."
          }
        },
        {
          "@type": "Question",
          "name": "Wie überlappt NIS2 mit dem AI Act?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "KI in kritischen Infrastrukturen unterliegt beiden (Art. 8–15 AI Act + Art. 21 NIS2). Cybersecurity-Anforderungen (Art. 15 AI Act) überschneiden sich; Vorfallsmeldungen sind kumulativ (Art. 73 ↔ Art. 23)."
          }
        },
        {
          "@type": "Question",
          "name": "Was gilt bei einem Vorfall in kritischer KI?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Drei Meldepflichten kumulativ: Art. 33 DSGVO (72 h), Art. 23 NIS2 (gestaffelt), Art. 73 AI Act. Eine konsolidierte Vorfall-Matrix und abgestimmte Governance sind unverzichtbar."
          }
        }
      ]
    }
  ]
}
```
