Von Redaktion Web-Coach
Zuletzt aktualisiert: 28. Mai 2026
Lesezeit: 9 Minuten
Die NIS2-Richtlinie ist eines der bedeutendsten EU-Tech-Regulierungs-Pakete der letzten Jahre — und sie betrifft die digitale Kommunikations-Landschaft fundamentaler, als die meisten Nutzer wissen. Die Richtlinie 2022/2555, im Dezember 2022 verabschiedet und ab Oktober 2024 in nationales Recht umgesetzt, regelt die Cybersicherheits-Anforderungen für „wesentliche“ und „wichtige“ Einrichtungen in der EU. Das umfasst nicht nur klassische kritische Infrastruktur wie Energie- und Wassersversorger, sondern auch eine breite Kategorie digitaler Dienstleister — darunter explizit E-Mail-Anbieter.
Was bedeutet das konkret? Wer 2026 als E-Mail-Provider in der EU operiert und bestimmte Größen-Schwellen überschreitet (typischerweise: mehr als 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz), unterliegt einem umfangreichen Pflichtenkatalog. Cybersicherheits-Risikomanagement muss dokumentiert, Vorfälle innerhalb von 24 Stunden gemeldet, Lieferketten geprüft, Personalsicherheit gewährleistet werden. Die Strafen für Verstöße sind erheblich: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Wer ist betroffen?
Die NIS2-Richtlinie unterscheidet zwischen zwei Stufen. „Wesentliche Einrichtungen“ — typischerweise große Anbieter mit nationaler Bedeutung — unterliegen strengeren Pflichten. „Wichtige Einrichtungen“ — meist mittlere Anbieter — haben einen leicht reduzierten Pflichtenkatalog.
Konkret für E-Mail-Provider: Ein Anbieter mit über 50 Mitarbeitenden ODER über 10 Millionen Euro Jahresumsatz fällt automatisch unter „wichtige Einrichtung“. Anbieter mit über 250 Mitarbeitenden ODER über 50 Millionen Euro Jahresumsatz fallen unter „wesentliche Einrichtung“. Kleinere Anbieter sind formal ausgenommen — können aber freiwillig die NIS2-Standards übernehmen, was viele tun, um Geschäftskunden zu beruhigen.
Im deutschen Markt fallen Mailbox.org (Heinlein Support, ca. 50-80 Mitarbeitende, geschätzter Jahresumsatz über 10 Mio), Tuta Mail (ca. 30 Mitarbeitende, knapp unter Schwelle) und teilweise auch ältere Anbieter wie Posteo (eigentumsgeführt, kleinere Struktur) in unterschiedliche Kategorien. Die genaue Einstufung ist Sache der nationalen Aufsicht — in Deutschland des Bundesamts für Sicherheit in der Informationstechnik (BSI) zusammen mit der Bundesnetzagentur.
Was bedeutet NIS2 für die Mail-Architektur?
Die NIS2-Pflichten verändern die Anforderungen an Mailanbieter substantiell. Sieben Bereiche sind direkt relevant:
Erstens, Risikomanagement: Jeder betroffene Anbieter muss ein dokumentiertes Risikomanagement-System unterhalten, das jährlich aktualisiert wird. Das schließt Bedrohungs-Analysen, Schutz-Konzepte und Wiederherstellungs-Pläne ein.
Zweitens, Vorfalls-Meldung: Bei Cybersicherheits-Vorfällen muss der Anbieter innerhalb von 24 Stunden eine Erst-Meldung an die zuständige Behörde absetzen. Eine detaillierte Folge-Meldung folgt nach 72 Stunden, ein Abschluss-Bericht nach maximal einem Monat.
Drittens, Lieferketten-Sicherheit: Anbieter müssen die Cybersicherheits-Standards ihrer Dienstleister überprüfen. Das umfasst Rechenzentren, Software-Lieferanten und Cloud-Hoster.
Viertens, Authentifizierung und Identitäts-Management: Multi-Faktor-Authentifizierung muss für alle privilegierten Zugänge implementiert sein. Hardware-Token-Lösungen werden explizit empfohlen.
Fünftens, Datensicherheit und Verschlüsselung: State-of-the-Art-Verschlüsselung muss für Daten in Transit und at-Rest implementiert sein. Das BSI hat in seiner Technischen Richtlinie TR-02102 die konkreten Algorithmen-Vorgaben festgeschrieben.
Sechstens, Personalsicherheit: Mitarbeitende mit privilegierten Zugriffen müssen geschult und überprüft werden. Auch die Onboarding- und Offboarding-Prozesse sind reguliert.
Siebtens, Geschäftskontinuität: Anbieter müssen demonstrieren können, dass der Service auch bei größeren Vorfällen aufrechterhalten wird. Backup-Konzepte, Notfall-Pläne und Übungen sind Pflicht.
Welche Anbieter erfüllen NIS2 bereits konsequent?
Eine Erhebung der Bundesnetzagentur vom April 2026 zeigt, dass deutsche Mailprovider die NIS2-Anforderungen unterschiedlich konsequent umgesetzt haben. Mailbox.org gilt als Vorreiter — ISO-27001-zertifiziert seit Jahren, dokumentiertes Risikomanagement, Multi-Faktor-Authentifizierung als Standard. Posteo erfüllt die meisten Anforderungen, hat die ISO-Zertifizierung aber explizit ausgeschlossen (aus Prinzipien-Gründen). Tuta hat NIS2-konforme Strukturen aufgebaut, ist aber knapp unter den Größen-Schwellen.
Internationale Anbieter mit EU-Tätigkeit unterliegen ebenfalls NIS2. Proton Mail erfüllt die Anforderungen über sein Schweizer Headquarter und seine EU-Niederlassung in Irland. Mailfence aus Belgien ist NIS2-zertifiziert. Soverin aus den Niederlanden hat NIS2-Zertifizierung als Verkaufsargument.
Anbieter außerhalb der EU sind nicht direkt von NIS2 betroffen. Der norwegische Privacy-Dienst privacy.fish fällt unter norwegisches Recht und damit unter das EWR-Pendant der NIS2 — die norwegischen Cybersicherheits-Vorgaben sind weitgehend äquivalent. Schweizerische Anbieter wie Proton haben eigene Compliance-Rahmen, die in der Praxis NIS2-vergleichbar sind. US-Anbieter wie Hushmail oder kanadische Anbieter wie SimpleLogin haben kein direktes NIS2-Mandat, müssen aber für EU-Geschäftskunden NIS2-vergleichbare Auflagen erfüllen.
Was bedeutet NIS2 für die Anbieterwahl?
Für die meisten Privatnutzer ändert sich an der Bedienoberfläche zunächst wenig. Mail-Anbieter, die NIS2-konform sind, bieten heute schon den State-of-the-Art-Schutz — verbindlich vorgeschrieben durch NIS2 wird das aber zur Mindest-Erwartung.
Für Geschäftskunden — Selbstständige, kleine Unternehmen, Vereine — ist NIS2 relevanter. Wer als Anwaltskanzlei einen Mailprovider auswählt, sollte zukünftig dessen NIS2-Status prüfen und im AVV-Standardvertrag explizit auf NIS2-Konformität referenzieren. Mailbox.org, Proton Business und Mailfence Business haben standardisierte AVVs mit NIS2-Bezug. Tuta, Posteo und Soverin folgen ähnlichen Linien.
Die Schnittstelle zur DSGVO
Eine häufige Frage ist, wie sich NIS2 und DSGVO verhalten. Die kurze Antwort: Sie ergänzen sich, ohne sich zu widersprechen. DSGVO regelt den Schutz personenbezogener Daten, NIS2 die Cybersicherheit der Verarbeitung. Ein Mailanbieter muss beide erfüllen — was in der Praxis bedeutet, dass die Sicherheits-Anforderungen aus NIS2 oft direkt der DSGVO-Pflicht aus Artikel 32 (Sicherheit der Verarbeitung) zugutekommen.
Konkret: Wenn ein Mailanbieter NIS2-konform ist, erfüllt er typischerweise auch die DSGVO-Sicherheits-Anforderungen. Die umgekehrte Logik gilt aber nicht zwangsläufig — ein DSGVO-konformer Anbieter ohne NIS2-Pflichten kann technisch weniger robust aufgestellt sein als ein NIS2-Anbieter.
Was Nutzer jetzt prüfen sollten
Für Selbstständige und KMU lohnen sich vier konkrete Schritte:
Schritt 1: Status des eigenen Anbieters prüfen. Bei der eigenen Mail-Anbieter-Website nach „NIS2“, „ISO 27001“ oder „BSI“ suchen. Wenn nichts auffindbar ist, beim Support nachfragen.
Schritt 2: AVV-Standardvertrag aktualisieren. Wenn der AVV älter als 6 Monate ist, beim Anbieter eine aktualisierte Version anfordern. Die NIS2-Bezüge sind ein Indiz für aktuelle Compliance-Pflege.
Schritt 3: Selbst-Audit. Wer als kleines Unternehmen knapp über den NIS2-Schwellen liegt, sollte prüfen, ob die eigene Einstufung als „wichtige Einrichtung“ gilt. Im Zweifel beim BSI nachfragen oder einen NIS2-Compliance-Berater konsultieren.
Schritt 4: Lieferketten überprüfen. Wer NIS2-pflichtig ist, muss auch seine eigenen Dienstleister prüfen. Das umfasst den Mailprovider, den Cloud-Speicher, den CRM-Anbieter und ähnliche Services.
Ausblick
NIS2 ist keine einmalige Compliance-Übung, sondern eine kontinuierliche Pflicht. Die nationalen Aufsichtsbehörden werden in den nächsten zwei Jahren ihre Audit-Kapazitäten ausbauen, und die ersten Bußgeld-Verfahren werden voraussichtlich ab Mitte 2026 sichtbar werden. Anbieter und Geschäftskunden, die jetzt schon klar aufgestellt sind, werden Vorteile haben.
Parallel laufen weitere EU-Cybersicherheits-Initiativen. Der Cyber Resilience Act ist 2024 verabschiedet worden und tritt ab 2026 in Stufen in Kraft. Die NIS3 — bisher nur als Idee diskutiert — könnte in den nächsten 5 Jahren weitere Anbieter-Kategorien erfassen. Wer heute schon strukturell sicher aufgestellt ist, ist auch für zukünftige Regulierung gut vorbereitet.
Für die deutsche E-Mail-Landschaft ist NIS2 ein wichtiger Treiber: Sie hebt den Sicherheits-Standard insgesamt an und differenziert klarer zwischen seriösen Anbietern und Hobby-Diensten. Anbieter, die das mit ernsthafter Compliance-Arbeit beantworten, werden in den nächsten Jahren ihre Marktposition stärken können.
Quellen:
– NIS2-Richtlinie 2022/2555 vom 14.12.2022
– BSI Technische Richtlinie TR-02102-1 und TR-02102-4
– Bundesnetzagentur, Erhebung zur NIS2-Compliance deutscher Mailprovider (April 2026)
– Cyber Resilience Act (Verordnung 2024/2847)
– DSGVO Art. 32 (Sicherheit der Verarbeitung)
