Oster-Aktion: 20% Cashback auf Neubestellungen!

Bis 06. April 2026

Promocode
Ostern2026
hosttech Startseite
Status
Kontakt und Support
Login
Login
hosttech Startseite
Blog

/

/

NIS-2 und Domains: Was Inhaber und Registrare in der DACH-Region jetzt wissen müssen

NIS-2 und Domains: Was Inhaber und Registrare in der DACH-Region jetzt wissen müssen

Veröffentlicht am 30. März 2026
  18 Min. Lesezeit
  Aktualisiert am 30. März 2026

Cyberangriffe auf Unternehmen, Behörden und kritische Infrastrukturen nehmen weltweit zu. Die Europäische Union reagierte darauf mit einem umfassenden Regelwerk: der NIS-2-Richtlinie. Was zunächst wie ein rein technisches Thema für große Konzerne klingt, hat auch handfeste Konsequenzen für Domaininhaber und Registrare in Deutschland, Österreich und der Schweiz. Dieser Beitrag gibt einen Überblick.

Illustration zur NIS2-Richtlinie EU, zeigt Schild mit Schloss-Symbol vor EU-Flagge. Zur Cybersicherheit für Domains und Registrare in der DACH-Region

Inhalt

Darum geht's

  • NIS-2 ist die neue EU-Richtlinie für Cybersicherheit: Die Richtlinie (EU) 2022/2555 trat am 16. Januar 2023 in Kraft und löst die ursprüngliche NIS-Richtlinie von 2016 ab. Die Umsetzungsfrist für alle Mitgliedstaaten endete am 17. Oktober 2024 – die meisten Länder waren zu spät.
  • Massiv erweiterter Anwendungsbereich: Statt sieben Sektoren wie bei NIS-1 umfasst NIS-2 nun 18 Sektoren – darunter erstmals auch Domain-Registrierungsdienste, Rechenzentren und Managed Service Provider.
  • Strengere Pflichten und persönliche Haftung: Geschäftsleitungen können bei Verstössen EU-weit persönlich haftbar gemacht werden. Bussen reichen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
  • Registrare stehen selbst in der Pflicht: Domain-Registrare wie hosttech sind unter NIS-2 nicht nur Vermittler, sondern selbst regulierte Akteure – mit Melde-, Sicherheits- und Dokumentationspflichten.
  • Handlungsbedarf besteht jetzt: Wer ccTLDs eines EU-Mitgliedstaats betreibt, muss Kontaktdaten aktuell halten. Betroffene Unternehmen sollten ihre Cybersicherheitsstrukturen anpassen und eng mit ihren Registraren zusammenarbeiten.

Was ist NIS-2? Ein kurzer Überblick

NIS-2 steht für „Network and Information Security Directive 2“, also die zweite Version der EU-Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016, die zwar ein wichtiger erster Schritt war, in der Praxis aber als zu eng und zu uneinheitlich galt. Auch haben in den letzten Jahren Cyberangriffe auf kritische Infrastrukturen in Europa dramatisch zugenommen. Staatlich geförderte Attacken und wachsende digitale Abhängigkeiten machten eine Verschärfung notwendig.

Im Dezember 2022 verabschiedete die EU die überarbeitete Fassung, die im Januar 2023 in Kraft trat. Offiziell als Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates bekannt, definiert sie verbindliche Mindeststandards für die Sicherheit von Netz- und Informationssystemen in allen Mitgliedstaaten. Ihr Ziel ist es, ein EU-weit einheitlich hohes Niveau an Cybersicherheit zu etablieren, mehr Sektoren zu erfassen und die Zusammenarbeit zwischen den Mitgliedstaaten zu stärken.

Die wichtigsten Eckdaten zu NIS-2:

  • Veröffentlichung im EU-Amtsblatt am 27. Dezember 2022
  • Inkrafttreten am 16. Januar 2023
  • Umsetzungsfrist für nationale Gesetzgebung: 17. Oktober 2024
  • Praktische Geltung für Unternehmen: ab Ende 2024/Anfang 2025
  • Erfasste Sektoren: 18 (u.a. Energie, Gesundheit, Verkehr, öffentliche Verwaltung, digitale Infrastrukturen, Domain-Registrierungsdienste)
  • Ziel: einheitliches Cybersicherheitsniveau zum Schutz der Bevölkerung und der Wirtschaft in Europa

Die Richtlinie schafft damit die Grundlage für ein gemeinsames Haus Europa in Sachen IT-Sicherheit – mit klaren Vorgaben für alle Mitgliedstaaten.

Gemeinsame Mindestanforderungen

Da NIS-2 eine Richtlinie ist, überführen die Mitgliedstaaten die Vorgaben in nationales Recht, wobei der konkrete Haftungsrahmen je nach Land variieren kann.

Alle Mitgliedstaaten müssen bestimmte Elemente übernehmen:

  • Verpflichtende Meldepflichten für Sicherheitsvorfälle
  • Systematisches Risikomanagement
  • Aufsichtsmechanismen und Sanktionsrahmen
  • Nationale Computer Security Incident Response Teams (CSIRT) für die Kommunikation und Reaktion
  • Koordinierte Cybersicherheitsstrategien

Chefsache: Persönliche Haftung der Geschäftsleitung

Ein zentrales und oft unterschätztes Element von NIS-2 ist die Haftung der Unternehmensführung. Diese ist direkt in Artikel 20 der EU-Richtlinie verankert. Führungskräfte müssen demnach die Cybersicherheitsmaßnahmen ihres Unternehmens nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen. Bei Verstößen können sie persönlich haftbar gemacht werden.

Der Grundsatz der Managementverantwortung ist ein EU-weites Mindestelement, das alle Mitgliedstaaten verbindlich umsetzen müssen. Haftungsfreistellungen und -begrenzungen in Bezug auf NIS-2-Schäden dürften in den meisten nationalen Umsetzungen unwirksam sein. Als einzige Möglichkeit zur Begrenzung des persönlichen Risikos gilt der Abschluss einer D&O-Versicherung (Manager-Haftpflicht).

Cybersicherheit ist damit nicht mehr delegierbar, sondern wird zur Chefsache in jedem NIS-2-betroffenen Unternehmen, egal in welchem EU-Land.

Was hat sich gegenüber NIS-1 geändert?

NIS-2 wurde entwickelt, um die konkreten Schwächen seines Vorgängers zu beheben. NIS-1 litt unter uneinheitlicher nationaler Umsetzung, einem zu engen Geltungsbereich und unklaren Pflichten für betroffene Einrichtungen. Die wichtigsten Neuerungen im Überblick:

Erweiterter Anwendungsbereich: NIS-1 erfasste lediglich sieben Sektoren, darunter Energie, Verkehr, Banken und Gesundheit. NIS-2 weitet das auf 18 Sektoren aus und schließt neu auch öffentliche elektronische Kommunikation, Abfallwirtschaft, kritische Fertigung, Postdienste, öffentliche Verwaltung und Raumfahrt ein – sowie, besonders relevant für diesen Beitrag: Domain-Registrierungsdienste, TLD-Registries und Rechenzentren.

Klare Größenschwellen (Size-Cap-Rule): NIS-2 führt einheitliche Schwellenwerte ein. Grundsätzlich betroffen sind Unternehmen ab 50 Beschäftigten und mit mindestens 10 Millionen Euro Jahresumsatz. Bestimmte kritische Einrichtungen – darunter DNS-Dienstleister und TLD-Registries – fallen unabhängig von ihrer Größe unter die Richtlinie.

Konkretisierte Sicherheits- und Meldepflichten: Die Anforderungen an das Risikomanagement werden deutlich spezifischer: Lieferkettensicherheit, Schwachstellenmanagement, Cyberhygiene, Multi-Faktor-Authentifizierung und Verschlüsselung sind verpflichtend. Sicherheitsvorfälle müssen gestaffelt gemeldet werden – innerhalb von 24 Stunden als Frühwarnung, innerhalb von 72 Stunden als Detailmeldung und innerhalb eines Monats als Abschlussbericht.

Verantwortung des Managements: Geschäftsleitungen müssen Cybersicherheitsschulungen nachweisen und können für Verstöße persönlich haftbar gemacht werden – dazu mehr im nächsten Abschnitt.

Harmonisierung und Sanktionen: NIS-2 schafft einen einheitlicheren Rahmen für ganz Europa mit verbindlichen Mindestanforderungen an Kontrollen, Aufsicht und Strafen. Nationale Cybersicherheitsstrategien und CSIRT-Netzwerke für den Bedrohungsaustausch werden verpflichtend.

Wer ist von NIS-2 betroffen?

NIS-2 betrifft nicht nur klassische Betreiber kritischer Infrastrukturen, sondern auch viele digitale Dienstleister – und damit explizit auch Unternehmen in der Domain- und Hosting-Branche.

Die 18 Sektoren

Die Richtlinie erfasst unter anderem Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme), Verkehr (Luft, Schiene, Wasser, Straße), Gesundheit (Krankenhäuser, Labore, Pharma), Trinkwasserversorgung und Abwasser, Finanzmarktinfrastruktur und Banken sowie die öffentliche Verwaltung. Besonders relevant für die Domain- und Hosting-Branche ist der Bereich digitale Infrastruktur: Er umfasst DNS-Dienstleister, TLD-Registries, Registrare, Rechenzentren und Cloud-Anbieter, aber auch Managed Service Provider und Online-Plattformen.

Wesentliche und wichtige Einrichtungen

NIS-2 unterscheidet zwischen zwei Kategorien, die unterschiedlich streng beaufsichtigt werden:

  • Wesentliche Einrichtungen betreiben lebenswichtige gesellschaftliche Funktionen – etwa in den Bereichen Gesundheit, Energie oder digitale Kerndienste. Sie unterliegen einer proaktiven, intensiven Aufsicht durch die zuständigen Behörden.
  • Wichtige Einrichtungen unterstützen wirtschaftliche und soziale Strukturen, werden aber eher nachträglich (ex-post) beaufsichtigt. Die Sicherheits- und Meldepflichten bleiben jedoch genauso verbindlich.

Viele Registrare und DNS-Provider fallen in die Kategorie der wichtigen Einrichtungen – große Betreiber kritischer DNS-Infrastruktur können als wesentliche Einrichtungen eingestuft werden.

Ein wichtiges Detail dabei: NIS-2 stellt auf die tatsächliche Kontrolle über die Infrastruktur ab. Wer eigene Nameserver betreibt und damit die Hardware kontrolliert, fällt per Definition unter die Richtlinie. Wer hingegen lediglich die Nameserver eines Drittanbieters über eine eigene Domain einbindet – wie es etwa bei Kunden der Fall ist, die den DNS-Editor von hosttech nutzen –, gilt nicht selbst als DNS-Dienstleister im Sinne von NIS-2. In diesem Fall fällt nur der Hauptbetreiber, also jener, der die Nameserver-Infrastruktur kontrolliert, unter die Regulierung. Für Kunden lohnt es sich daher, die eigene DNS-Konstellation zu prüfen und bei Unklarheiten den Registrar zu kontaktieren.

Gilt NIS-2 auch für Nicht-EU-Unternehmen?

Ja, unter bestimmten Voraussetzungen. Unternehmen außerhalb der EU, die Dienste für EU-Kunden oder EU-Infrastruktur erbringen, können ebenfalls in den Geltungsbereich fallen – etwa wenn sie als Registrar EU-ccTLDs verwalten oder als DNS-Provider EU-Endkunden bedienen. Für sie gilt die Pflicht, einen EU-Vertreter zu benennen.

Umsetzung der NIS-2-Richtlinie in den EU-Mitgliedstaaten

Eine EU-Richtlinie gilt nicht unmittelbar, sondern muss von jedem Land in nationales Recht umgesetzt werden. Die Frist hierfür endete am 17. Oktober 2024. Das Ergebnis war ernüchternd: Von 27 EU-Mitgliedstaaten haben lediglich vier die Richtlinie rechtzeitig umgesetzt – nämlich Belgien, Kroatien, Italien und Litauen. Die übrigen 23 Staaten verpassten die Deadline, darunter so große Volkswirtschaften wie Deutschland, Frankreich, Spanien und die Niederlande.

Die Europäische Kommission leitete am 28. November 2024 Vertragsverletzungsverfahren gegen alle säumigen Mitgliedstaaten ein.

Stand März 2026 haben rund 20 der 27 Mitgliedstaaten die NIS-2-Umsetzung offiziell abgeschlossen. In einigen Ländern – darunter Frankreich und Irland – laufen die Gesetzgebungsverfahren noch.

Deutschland: Neues Gesetz in Kraft – mit direkten Folgen für .de-Domains

Deutschland hat die NIS-2-Richtlinie mit dem NIS2-Umsetzungsgesetz (NIS2UmsG) in nationales Recht überführt. Zwar mit über einem Jahr Verspätung gegenüber der EU-Frist, aber ohne Übergangsfrist für Unternehmen. Das Gesetz ersetzt das bisherige IT-Sicherheitsgesetz 2.0 und passt zahlreiche bestehende Regelwerke an, darunter das BSI-Gesetz (BSIG), das Telekommunikationsgesetz (TKG) und das Energiewirtschaftsgesetz (EnWG). Die nationalen Regelungen sind seit dem 6. Dezember 2025 in Kraft – und sie haben unmittelbare Auswirkungen auf das deutsche Domainsystem.

DENIC und die neue WHOIS-Transparenz

Besonders konkret spürbar werden die Änderungen bei .de-Domains. Wie DENIC im Januar 2026 informierte, hat die Registry für .de-Domains ihre WHOIS-Abfragen angepasst: Bei Domains juristischer Personen wie Unternehmen, Vereinen oder Organisationen werden Name und Anschrift des Domaininhabers, E-Mail-Adresse und Telefonnummer sowie das Datum der Domainregistrierung öffentlich sichtbar. Zudem wird zu jeder .de-Domain das verwaltende DENIC-Mitglied – also der Registrar – veröffentlicht.

Bei Domains natürlicher Personen bleiben personenbezogene Inhaberdaten hingegen weiterhin geschützt – hier sind lediglich das Registrierungsdatum sowie Name und Kontaktdaten des DENIC-Mitglieds einsehbar.

Dritte mit berechtigtem Interesse – etwa Rechteinhaber, Behörden oder Insolvenzverwalter – können nach Einzelfallprüfung auch Einsicht in nicht öffentliche Daten beantragen.

Phase II: Risk Assessment ab April 2026

In Phase II, die am 14. April 2026 startet, werden Contact- und Domainaufträge einem automatisierten Risk Assessment unterzogen. Das System arbeitet mit einem Ampel-Prinzip und klassifiziert Domains nach Risikograd (Low/Suspicious/High Risk). Reagiert der Provider nicht oder kann die Daten nicht verifizieren, drohen Konsequenzen: Die betroffene Domain wird in Quarantäne versetzt, was ihre DNS-Auflösung deaktiviert, und kann bei weiterem Ausbleiben einer Reaktion gelöscht werden.

Was das für Domaininhaber bedeutet: Wer eine .de-Domain besitzt, sollte jetzt sicherstellen, dass alle hinterlegten Kontaktdaten vollständig, korrekt und aktuell sind – insbesondere E-Mail-Adressen und Telefonnummern. In Deutschland sind schätzungsweise 29500 Unternehmen von den neuen Cybersicherheitspflichten betroffen.

Registrierungspflicht beim BSI: Nur ein Bruchteil der Unternehmen hat gehandelt

Am 6. März 2026 lief in Deutschland eine weitere wichtige Frist ab: Alle betroffenen Unternehmen und Behörden mussten sich bis zu diesem Datum beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Laut heise online hatten zwei Wochen vor dem Stichtag erst knapp 4900 Einrichtungen ihre Registrierung abgeschlossen – bei einer Schätzung der Bundesregierung von rund 30000 betroffenen Stellen. Das entspricht einer Compliance-Quote von deutlich unter 20 Prozent.

Wer die Registrierung versäumt hat, muss nun damit rechnen, dass das BSI aktiv auf betroffene Unternehmen zugeht und die Angaben einfordert. Die Nichtregistrierung kann als bußgeldbewehrte Ordnungswidrigkeit geahndet werden.

Technische Pflichten: Was Domaininhaber konkret umsetzen müssen

Unternehmen, die unter NIS-2 fallen und eigene Domains sowie Webdienste betreiben, sollten folgende Punkte prüfen und umsetzen:

  • Fällt mein Unternehmen überhaupt in den Anwendungsbereich (richtiger Sektor + Größenschwelle)?
  • Ist ein Informationssicherheitsmanagementsystem (ISMS) vorhanden oder muss eines aufgebaut werden?
  • Sind Sicherheitsverantwortliche benannt (CISO, IT-Sicherheitsbeauftragte)?
  • Sind technische Mindestmaßnahmen umgesetzt – insbesondere DNSSEC auf den Nameservern, Multi-Faktor-Authentifizierung für Domain-Logins und dokumentierte Notfallprozesse?
  • Sind die Meldewege an das BSI eingerichtet, inklusive der 24-Stunden-Frühwarnung bei erheblichen Sicherheitsvorfällen?
  • Sind Notfallkontakte beim Registrar aktuell hinterlegt?

Diese Punkte gelten sinngemäß auch für österreichische Unternehmen unter dem NISG 2026.

Österreich: Verspätet, aber beschlossen – Pflichten ab Oktober 2026

Österreich ist – wie viele andere EU-Mitgliedstaaten – bereits im Verzug: Die Umsetzungsfrist endete am 17. Oktober 2024, weshalb aktuell ein Vertragsverletzungsverfahren läuft.

Nach einem gescheiterten ersten Anlauf im Jahr 2024 gelang es im Dezember 2025 schließlich doch: ÖVP, SPÖ, NEOS und Grüne gaben dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) grünes Licht. Das NISG 2026 wurde am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht und tritt neun Monate nach Kundmachung, somit ab 1. Oktober 2026, in Kraft.

Was das NISG 2026 bringt

Aufgrund der bisherigen Rechtslage standen in Österreich rund 100 Unternehmen im Fokus. Mit dem NISG 2026 wird der Anwendungsbereich auf mehrere tausend Einrichtungen ausgeweitet, die 18 Sektoren umfassen – von Energie und digitaler Infrastruktur über Verkehr, Gesundheit und öffentliche Verwaltung bis hin zu Lebensmittelproduktion, Abfallbewirtschaftung und Forschung.

Auch in Österreich gilt: TLD-Namenregister und DNS-Diensteanbieter fallen unabhängig von ihrer Größe unter die Richtlinie.

Der Zeitplan für betroffene Unternehmen:

  • 1. Oktober 2026: NISG 2026 tritt in Kraft, Risikomanagementmaßnahmen müssen umgesetzt werden.
  • 31. Dezember 2026: Frist für die Registrierung bei der neuen Cybersicherheitsbehörde (Bundesamt für Cybersicherheit).
  • 31. Dezember 2027: Selbstdeklaration über umgesetzte Risikomanagementmaßnahmen.
  • Ab Oktober 2028: Mögliche Aufforderung zu formalen Umsetzungsnachweisen.

Was das für Domaininhaber in Österreich bedeutet: Die Uhr tickt. Unternehmen mit .at-Domains oder anderen EU-ccTLDs sollten jetzt prüfen, ob sie unter das NISG 2026 fallen, und die Umsetzung der Anforderungen vorbereiten – auch wenn die Pflichten erst ab Oktober 2026 greifen.

NIS-2 in der Schweiz: Nicht direkt betroffen, aber auch nicht außen vor

Als Nicht-EU-Mitglied ist die Schweiz nicht direkt an NIS-2 gebunden. Dennoch ist das Thema auch für Schweizer Domaininhaber und Registrare wie hosttech relevant – aus mehreren Gründen.

Der eigene Weg: ISG und KRITIS-G

In der Schweiz gilt seit dem 1. Januar 2024 das Informationssicherheitsgesetz (ISG). Damit orientiert sich die Schweiz teilweise an NIS-2, ohne selbst EU-Mitglied zu sein. Das ISG richtet sich primär an Bundesbehörden, kantonale Behörden und Betreiber kritischer Infrastrukturen.

Ab dem 1. Januar 2025 müssen Cyberangriffe auf kritische Infrastrukturen innerhalb von 24 Stunden gemeldet werden. Eine Verletzung der Meldepflicht kann mit einer Busse von bis zu CHF 100000 bestraft werden.

Parallel dazu arbeitet die Schweiz an einem eigenständigen Pendant zu NIS-2: dem KRITIS-G, das gemeinsam mit einer revidierten Version des ISG einen Rahmen schaffen soll, der sich stark an der EU-Architektur orientiert – inklusive eigener Schwellenwerte und Sanktionen.

Indirekte NIS-2-Betroffenheit über Lieferketten

Auch ohne direkte Rechtsverbindlichkeit kann NIS-2 für Schweizer Unternehmen Pflichten erzeugen. Für Schweizer Unternehmen ist die EU-Richtlinie relevant, weil sie explizit Lieferketten und Partnerunternehmen (Supply Chain) einbezieht.

Konkret: Wer als Schweizer IT-Dienstleister, Registrar oder Softwareanbieter Kunden in der EU bedient, die selbst unter NIS-2 fallen, kann vertraglich zu Cybersicherheitsnachweisen verpflichtet werden. Es kann sein, dass man als Schweizer Unternehmen einen Nachweis für die Cybersicherheit erbringen muss, wenn man Dienstleistungen oder Produkte für kritische Sektoren in der EU liefert.

Für .ch-Domains und die Schweizer Registry SWITCH gelten die NIS-2-Anforderungen derzeit noch nicht direkt – aber auch hier lohnt es sich, die Datenpflege ernst zu nehmen, da ähnliche Transparenzpflichten im Zuge des KRITIS-G kommen könnten.

Was NIS-2 für hosttech-Kundschaft in der DACH-Region bedeutet

Als Domain-Registrar und Hosting-Anbieter mit Kundschaft in Deutschland, Österreich und der Schweiz nimmt hosttech eine zentrale Rolle in der NIS-2-Compliance-Kette ein: Zwischen den nationalen Registries und den Domaininhabern ist hosttech die Schnittstelle, über die Verifizierungsanforderungen weitergegeben werden.

Artikel 28 der NIS-2-Richtlinie schreibt vor, dass Registries von TLDs im EU-Raum aktuelle und verifizierte Informationen über Domaininhaber führen müssen. Diese Anforderung reichen die Registries an die Registrare weiter – und damit letztlich an die Domaininhaber selbst. Praktisch bedeutet das auch, dass Domaininhaber künftig häufiger mit vertraglichen Sicherheitsanforderungen ihrer Registrare konfrontiert werden. Etwa in Form von Auftragsverarbeitungsverträgen, Sicherheitsanhängen oder der Pflicht, aktuelle Notfallkontakte zu hinterlegen.

Konkret gilt für hosttech-Kundschaft

Wer über hosttech eine oder mehrere ccTLD eines EU-Mitgliedstaates wie .de, .at, .fr oder andere betreibt, muss sicherstellen, dass alle hinterlegten Kontaktdaten vollständig, korrekt und aktuell sind. Das gilt unabhängig davon, ob man in Deutschland, Österreich oder der Schweiz ansässig ist.

Für .ch-Domains gelten die NIS-2-Anforderungen derzeit noch nicht direkt. Es ist jedoch ratsam, auch hier die Datenpflege sorgfältig zu betreiben – ähnliche Transparenzpflichten dürften im Zuge des geplanten Schweizer KRITIS-G folgen.

Darüber hinaus lohnt sich frühzeitiges Handeln auch strategisch: Wer als Hosting-Anbieter oder Domaininhaber im DACH-Raum proaktiv auf NIS-2-kompatible Standards setzt – mit aktuellen Kontaktdaten, aktiviertem DNSSEC und dokumentierten Sicherheitsprozessen –, positioniert sich als vertrauenswürdiger Partner für EU-Kunden aus regulierten Sektoren.

Praktische Anleitungen

Wenn du nicht mehr sicher bist, wo und wie du deine Kontaktdaten überprüfst und anpasst oder wie die Einrichtung von DNSSEC funktioniert, findest du praktische Anleitungen dazu in unseren FAQ.

Hier die wichtigsten Links für die Anpassung deiner Kontaktdaten:

Was bedeuten die NIS-2-Anforderungen für Registrare und DNS-Provider?

Domain-Registrare, DNS-Provider und Hosting-Unternehmen sind unter NIS-2 keine neutralen Durchlaufstationen. Sie zählen zur digitalen Infrastruktur und stehen entsprechend selbst im regulatorischen Fokus. Das deutsche NIS2UmsG stuft Domainregistrare explizit als wichtige Einrichtungen ein, sofern sie die Größenkriterien erfüllen. Große Registrare und DNS-Betreiber können je nach Umfang und technischer Rolle sogar als wesentliche Einrichtungen gelten.

Konkrete Sicherheitsanforderungen

Für Registrare und DNS-Provider ergibt sich aus NIS-2 ein klarer Katalog an Pflichten. In der Infrastruktur sind Maßnahmen wie die Härtung von Nameservern und ein belastbarer DDoS-Schutz vorgeschrieben. Der Zugang zu kritischen Systemen muss durch Multi-Faktor-Authentifizierung gesichert sein – auch und besonders für Kundenzugänge. Hinzu kommen Anforderungen an Backup- und Recovery-Konzepte, Business-Continuity-Management sowie Risikoanalysen entlang der gesamten Software-Lieferkette. Die 24/7-Überwachung kritischer Systeme ist dabei keine Empfehlung, sondern eine Erwartung.

Melde- und Dokumentationspflichten

Sicherheitsvorfälle, die die Verfügbarkeit von Domains oder DNS-Diensten gefährden, müssen an die nationalen CSIRTs gemeldet werden. Die Fristen sind dabei strikt: Innerhalb von 24 Stunden ist eine Frühwarnung fällig, innerhalb von 72 Stunden ein ausführlicher Detailbericht. Interne Prozesse für Erkennung, Reaktion und Kommunikation müssen schriftlich dokumentiert sein.

Strategische Bedeutung für Registrare

NIS-2 ist für Registrare nicht nur eine Compliance-Pflicht, sondern auch ein Anreiz, Sicherheitsstandards konsequent weiterzuentwickeln. Angebote wie DNSSEC-Aktivierung, sichere Login-Optionen und transparente Kommunikation bei Vorfällen werden unter NIS-2 vom Nice-to-have zum Standard. Gleichzeitig stärken sie das Vertrauen der Kundschaft in eine stabile und sichere Online-Infrastruktur.

NIS-2 wird bereits weiterentwickelt: Was die EU-Kommission plant

Kaum ist die Richtlinie in den meisten EU-Staaten umgesetzt, plant die Kommission schon die nächste Runde. Im Januar 2026 stellte sie ein neues Cybersicherheitspaket vor, das laut heise online auch Änderungsvorschläge zur NIS-2-Richtlinie selbst enthält.

Die wichtigsten geplanten Anpassungen im Überblick:

Neue Zwischenkategorie «Small Mid-Caps»: Unternehmen zwischen 50 und 750 Mitarbeitenden, die über dem KMU-Schwellenwert liegen, sollen im Regelfall nur noch als «wichtige» und nicht mehr als «wesentliche» Einrichtungen gelten. Das würde die Zahl der intensiver beaufsichtigten Unternehmen spürbar reduzieren.

Klarere Schwellenwerte bei Energie: Bislang war umstritten, ob bereits kleine Photovoltaikanlagen unter NIS-2 fallen. Der Vorschlag zieht eine klare Grenze: Erfasst werden sollen künftig nur noch Stromerzeuger ab 1 Megawatt Leistung.

Dual-Use-Infrastruktur: Infrastruktur mit ziviler und militärischer Nutzung soll neu und grössenunabhängig erfasst werden – allerdings nur, wenn Mitgliedstaaten diese zuvor national definiert haben.

Vereinfachte Compliance: Cybersicherheitsnachweise sollen künftig über europäische Zertifizierungen erbracht werden können. Außerdem plant die Kommission Leitlinien, um den Aufwand für Lieferanten und Dienstleister zu reduzieren, die heute oft mit Fragebögen überhäuft werden.

Wichtig: Bislang sind das alles Vorschläge. An der aktuellen Rechtslage hat sich nichts geändert. Und angesichts der bereits schwierigen Umsetzungserfahrung in den EU-Mitgliedstaaten ist offen, wie schnell nationale Anpassungen folgen würden.

NIS-2: Das Wichtigste in Kürze

NIS-2 ist da – und sie verändert, wie Domaininhaber und Registrare in ganz Europa mit Registrierungsdaten umgehen müssen. Das Ziel: mehr Transparenz, weniger Missbrauch, schnellere Reaktion bei Sicherheitsvorfällen.

Für Domaininhaber in der DACH-Region gilt:

  • .de-Domains: Kontaktdaten jetzt überprüfen und aktualisieren – das automatisierte Risk Assessment startet im April 2026.
  • .at-Domains: NISG 2026 tritt im Oktober 2026 in Kraft – betroffene Unternehmen sollten jetzt mit der Vorbereitung beginnen.
  • Weitere EU-ccTLDs (.fr, .nl, .eu, .it u. a.): NIS-2 gilt EU-weit. Auch wer Domains anderer europäischer Länder betreibt, ist von den Transparenz- und Verifizierungspflichten betroffen – je nach nationalem Umsetzungsstand teils bereits jetzt, teils in Kürze.
  • .ch-Domains: Zwar keine direkte NIS-2-Pflicht, aber Lieferketten-Compliance und das kommende Schweizer KRITIS-G machen eine sorgfältige Datenpflege zur klugen Vorsorge.

Hast du Fragen zu deinen Domains oder der Domaindatenpflege? Unser Support-Team hilft gerne weiter.

FAQ zu NIS-2 für Domaininhaber und Registrare

Bin ich als Domaininhaber automatisch von NIS-2 betroffen?

Nicht automatisch. NIS-2 gilt für Unternehmen in bestimmten Sektoren, die bestimmte Größenschwellen erreichen – ab 50 Beschäftigten und 10 Millionen Euro Jahresumsatz. Wer einfach eine Domain betreibt, ohne in einem der 18 erfassten Sektoren tätig zu sein, fällt nicht direkt unter die Richtlinie. Indirekt betroffen ist man aber trotzdem: Weil Registrare und DNS-Provider nun strengere Anforderungen erfüllen müssen, können sich daraus auch für Domaininhaber neue Pflichten ergeben. Etwa zur Datenpflege oder zu vertraglichen Sicherheitsnachweisen.

Was muss ich mit meiner .de-Domain jetzt konkret tun?

Sicherstellen, dass alle bei deinem Registrar hinterlegten Kontaktdaten vollständig, korrekt und aktuell sind – insbesondere E-Mail-Adresse und Telefonnummer. Ab April 2026 werden .de-Domains automatisch einem Risk Assessment durch die DENIC unterzogen. Können Daten nicht verifiziert werden, droht die Quarantäne der Domain mit Deaktivierung der DNS-Auflösung.

Gilt NIS-2 auch für meine .ch-Domain?

Nein, nicht direkt. Die NIS-2-Richtlinie ist EU-Recht und gilt nicht für Schweizer ccTLDs. Die Schweizer Registry SWITCH und .ch-Domains unterliegen derzeit keinen entsprechenden Transparenzpflichten. Allerdings arbeitet die Schweiz mit dem KRITIS-G an einem eigenen Regelwerk, das sich stark an NIS-2 orientiert. Wer bereits jetzt auf saubere Registrierungsdaten achtet, ist gut vorbereitet.

Fällt mein Unternehmen unter NIS-2, wenn wir die Nameserver von hosttech nutzen?

Das kommt auf die Konstellation an. Wer die Nameserver-Infrastruktur selbst betreibt und die Hardware kontrolliert, gilt als DNS-Dienstleister im Sinne von NIS-2. Wer hingegen lediglich die Nameserver eines Anbieters wie hosttech über eine eigene Domain einbindet, betreibt damit keine eigene DNS-Infrastruktur. In diesem Fall fällt nur der Hauptbetreiber der Nameserver, etwa hosttech, unter die Regulierung. Im Zweifelsfall lohnt sich eine Rückfrage beim Registrar.

Haftet die Geschäftsleitung persönlich für NIS-2-Verstösse?

Ja – und das EU-weit. Artikel 20 der NIS-2-Richtlinie verpflichtet Führungskräfte, Cybersicherheitsmaßnahmen aktiv zu überwachen und nicht nur zu genehmigen. Bei Verstößen können sie persönlich haftbar gemacht werden. Haftungsfreistellungen sind in den meisten nationalen Umsetzungen unwirksam. Der Abschluss einer D&O-Versicherung gilt als wichtigste Maßnahme zur Begrenzung des persönlichen Haftungsrisikos.

Inhalt

Artikel teilen

Link kopieren

Artikel teilen

Link kopieren
Bild von Thomas Goll

Domain Manager    11 Artikel

  • Thomas gehört seit 2020 zum hosttech-Team. Schon als Kind stark von Technik und IT begeistert, kümmert er sich um die Domain- und DNS-Verwaltung und ist unsere Schnittstelle zu den Registries. Grosskunden und Reseller betreut und berät er kompetent bei allen Anliegen rund um Domains. Vor seiner Zeit bei hosttech war er als Musiker tätig, eine Karriere, welche er aufgrund eines Unfalls aufgeben musste.
523
Kategorie
  • Weitere Beiträge zum Thema Domains
Aufnahme aus dem unterirdischen Datacenter DATAROCK von hosttech. Ein langer Gang mit verschlossenen Server-Racks auf beiden Seiten.

Die besten europäischen Cloud-Alternativen zu AWS und Azure

AWS und Azure dominieren den Cloud-Markt. Doch wer seine Daten einem US-amerikanischen Hyperscaler anvertraut, geht ein oft unterschätztes Risiko ein. Echte Datensouveränität lässt sich aufgrund des CLOUD Acts nicht garantieren. Zum Glück hat sich in den letzten Jahren ein starkes europäisches Cloud-Ökosystem entwickelt, das den Vergleich mit den großen Hyperscalern nicht scheuen muss. Wir zeigen, worauf es bei der Wahl eines Cloud-Providers wirklich ankommt, und stellen die überzeugendsten europäischen Alternativen zu AWS und Azure vor.

Nahaufnahme eines Rootservers

Restpostenserver: Gut für den Geldbeutel und für die Umwelt

Heute ist internationaler Recycling Day und wir finden, auch Server-Hardware verdient eine zweite Chance! Denn auch für Rootserver gilt: Neuer ist nicht automatisch gleich besser. Bei unseren Restpostenservern findest du hochwertige Server-Hardware etwas älterer Generationen zu günstigen Preisen. Reinschauen lohnt sich!

Phishing E-Mails: Gefälschter hosttech-Absender

Achtung: Zurzeit werden Phishing E-Mails mit gefälschtem hosttech-Absender versendet. Bitte komme keiner Forderung nach und lösche diese E-Mails.

Screenshot der hosttech-Website mit SSL-Zertifikate-Seite auf einem Laptop, daneben ein 3D-Kalender mit den Zahlen 47 und 398 Tage, symbolisiert die künftig kürzeren Laufzeiten von SSL/TLS-Zertifikaten.

SSL/TLS-Zertifikate werden kürzer: Was das für dich bedeutet

Seit Jahren sind SSL/TLS-Zertifikate das Rückgrat des verschlüsselten Webs. Jetzt wird ihre maximale Laufzeit drastisch verkürzt – von 398 auf künftig nur noch 47 Tage. Was steckt hinter diesem Entscheid, und was ändert sich konkret für dich als hosttech-Kunde?

Headerbild zum Blogbeitrag über neue Begriffe wie GEO, AEO und LLMO. Titel in weißer Schrift: SEO vs. GEO Darunter ist eine Suchmaske zu sehen, in der steht "Suchbegriff eingeben" Unterhalb der Suchmaske ist links eine menschliche Hand zu sehen und rechts eine Roboterhand. Die beiden Hände strecken die Fingerspitzen zueinander aus.

GEO, AEO, LLMO & Co.: Diese neuen Begriffe prägen die Zukunft im Netz

In der digitalen Welt verändert sich die Suche gerade grundlegend. In den letzten Jahren gewinnen neue Konzepte und Begriffe an Bedeutung, die weit über klassische SEO hinausgehen. Für dich als Website-Betreiber, KMU oder Marketer ist es wichtig zu verstehen, was diese neuen Begriffe bedeuten, wie sie sich voneinander unterscheiden und wie du deine Inhalte 2026 sichtbar machst – sowohl für Menschen als auch für KI-gestützte Systeme.

Alexander M. Hefele, CEO von AMZ Racing, sitzt in der AMZ Werkstatt und erklärt, weshalb sein Team auf die Cloud-Lösung von hosttech setzt. Hinter ihm sind zwei Renn-Boliden von AMZ zu sehen. Rechts im Bild die Logos von hosttech und AMZ.

AMZ Racing: Dank Cloud-Computing zu Höchstleistungen

AMZ Racing ist das Formula Student Team der ETH Zürich. Aktuell steht das Team an der Spitze der Weltrangliste. Zudem hält es seit 2023 den Weltrekord für die schnellste Beschleunigung von 0 auf 100 km/h mit einem Elektrofahrzeug. hosttech unterstützt AMZ Racing seit einigen Jahren mit Cloud-Computing-Ressourcen im virtual Datacenter. In einer dreiteiligen Video-Serie gibt das AMZ-Team Einblick in seine Arbeit und zeigt, wie es unsere Cloud-Lösung einsetzt, um seine Fahrzeuge laufend zu optimieren.

Grafik zu DKIM (DomainKeys Identified Mail) mit Schutzschild zur Darstellung von E-Mail-Authentifizierung und Schutz vor Phishing.

DKIM aktivieren: So schützt du deine E-Mails vor Manipulation

E-Mail-Kommunikation ist ein zentraler Bestandteil deines Online-Auftritts – egal ob geschäftlich oder privat. Doch ohne die richtigen Sicherheitsmaßnahmen landen Nachrichten leicht im Spam oder können manipuliert werden. DKIM ist eine der wichtigsten Methoden, um die Integrität deiner E-Mails zu sichern.

myhosttech Kundencenter

Jetzt testen