Auf einen Blick: Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Deutschland in Kraft. Rund 30.000 Unternehmen sind betroffen – deutlich mehr als bisher. Dieser Artikel erklärt den aktuellen Stand, die neuen Pflichten, die Geschäftsführerhaftung und was Sie jetzt konkret tun müssen.
Letzte Aktualisierung: März 2026
Inhaltsverzeichnis
- Was ist die NIS-2-Richtlinie?
- NIS-2 in Deutschland: Der aktuelle Stand
- Wer ist betroffen? Sektoren und Schwellenwerte
- Die wichtigsten Pflichten im Überblick
- Geschäftsführerhaftung: Warum NIS-2 Chefsache ist
- Sanktionen und Bußgelder
- Praktische Schritte zur Compliance
- Weiterführende Links und Ressourcen
- Häufig gestellte Fragen (FAQ)
- Fazit
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (offiziell: Richtlinie (EU) 2022/2555) ist die zweite EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen. Sie trat am 16. Januar 2023 auf EU-Ebene in Kraft und ersetzt die ursprüngliche NIS-Richtlinie von 2016.
Wichtig: NIS-2 ist eine Richtlinie, keine Verordnung. Das bedeutet, dass sie nicht unmittelbar gilt, sondern von jedem EU-Mitgliedsstaat in nationales Recht umgesetzt werden muss. In Deutschland geschieht dies durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG).
Das übergeordnete Ziel der Richtlinie ist es, ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU zu schaffen. Im Vergleich zur ersten NIS-Richtlinie geht NIS-2 deutlich weiter: Mehr Sektoren, mehr Unternehmen, strengere Pflichten und empfindlichere Sanktionen.
NIS-2 in Deutschland: Der aktuelle Stand
Die EU-Mitgliedsstaaten hatten bis zum 17. Oktober 2024 Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen. Deutschland hat diese Frist deutlich überschritten – unter anderem bedingt durch die Bundestagsneuwahl 2025. Der tatsächliche Zeitverlauf sah wie folgt aus:
| Datum | Meilenstein |
|---|---|
| 16. Januar 2023 | NIS-2-Richtlinie tritt auf EU-Ebene in Kraft |
| 17. Oktober 2024 | Umsetzungsfrist für alle EU-Mitgliedsstaaten (von Deutschland verpasst) |
| 30. Juli 2025 | Neuer Regierungsentwurf vom Bundeskabinett beschlossen |
| 13. November 2025 | Bundestag verabschiedet das NIS-2-Umsetzungsgesetz |
| 21. November 2025 | Bundesrat stimmt zu |
| 6. Dezember 2025 | Gesetz tritt in Kraft (Verkündung im Bundesgesetzblatt am 5.12.) |
| 6. Januar 2026 | BSI-Portal zur Registrierung wird freigeschaltet |
| 6. März 2026 | Frist zur Registrierung beim BSI |
Die nationale Umsetzung erfolgte primär über eine umfassende Novellierung des BSI-Gesetzes (BSIG). Zusätzlich wurden Fachgesetze wie das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG) angepasst.
Wer ist betroffen? Sektoren und Schwellenwerte
Die Zahl der regulierten Unternehmen steigt mit NIS-2 massiv an: von bisher rund 4.500 auf etwa 30.000 Einrichtungen in Deutschland. Die Betroffenheit richtet sich nach zwei Kriterien – dem Sektor und der Unternehmensgröße.
Schwellenwerte
Grundsätzlich betroffen sind Unternehmen in den regulierten Sektoren, die mindestens einen der folgenden Schwellenwerte überschreiten:
| Kategorie | Mitarbeitende | Umsatz / Bilanz |
|---|---|---|
| Besonders wichtige Einrichtungen | ab 250 | über 50 Mio. € Umsatz und über 43 Mio. € Bilanz |
| Wichtige Einrichtungen | ab 50 | über 10 Mio. € Umsatz |
Bestimmte Einrichtungen wie Betreiber kritischer Infrastrukturen (KRITIS), qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Dienste und TK-Anbieter fallen unabhängig von ihrer Größe unter die Regulierung.
Die 18 regulierten Sektoren
NIS-2 unterscheidet zwischen 11 Sektoren hoher Kritikalität (darunter Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum) und 7 weiteren kritischen Sektoren (darunter Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung). Unternehmen im Bankwesen müssen zusätzlich die strengeren Anforderungen der DORA-Verordnung (EU 2022/2554) erfüllen.
Ob Ihr Unternehmen betroffen ist, können Sie mit dem Betroffenheitsprüfungs-Tool des BSI ermitteln.
Die wichtigsten Pflichten im Überblick
Das NIS-2-Umsetzungsgesetz definiert drei zentrale Pflichtenbereiche für betroffene Unternehmen:
1. Registrierungspflicht
Betroffene Unternehmen müssen sich über das BSI-Portal registrieren. Das Portal ist seit dem 6. Januar 2026 freigeschaltet. Die Frist für die Erstregistrierung endet am 6. März 2026. Wer diese Frist versäumt, begeht bereits eine Compliance-Verletzung. Voraussetzung für die Registrierung ist ein aktives Nutzerkonto bei „Mein Unternehmenskonto“ (MUK).
2. Risikomanagement-Maßnahmen
Unternehmen müssen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik umsetzen und dokumentieren. Laut §30 BSIG umfassen diese Maßnahmen mindestens:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Bewältigung von Sicherheitsvorfällen (Incident Response)
- Business Continuity Management und Krisenmanagement
- Sicherheit der Lieferkette – einschließlich der Beziehungen zu Zulieferern und Dienstleistern
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Konzepte für Kryptografie und Multi-Faktor-Authentifizierung
- Zugriffskontrolle und sichere Authentifizierung
- Schulungen zur Cybersicherheit für alle Mitarbeitenden
Die Umsetzung dieser Maßnahmen orientiert sich stark an bestehenden Standards wie ISO 27001 und dem BSI-Grundschutz. Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, haben einen erheblichen Vorsprung. Mehr dazu erfahren Sie in unserem Beitrag zu Datenschutz-Audits und Zertifizierungen.
3. Meldepflichten
Erhebliche Sicherheitsvorfälle müssen dem BSI in einem dreistufigen Verfahren gemeldet werden:
| Stufe | Frist | Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden | Vorläufiger Bericht über den Vorfall – erste Einschätzung, ob ein böswilliger Angriff vorliegt |
| Aktualisierung | 72 Stunden | Ausführlicherer Bericht mit Bewertung des Vorfalls, Schwere, Auswirkungen und Kompromittierungsindikatoren |
| Abschlussbericht | 1 Monat | Detaillierte Beschreibung des Vorfalls, Ursachenanalyse, ergriffene Gegenmaßnahmen und grenzüberschreitende Auswirkungen |
Meldungen erfolgen über das BSI-Portal. Einrichtungen, die noch nicht registriert sind und einen erheblichen Vorfall erleiden, können diesen vorübergehend über ein Online-Formular des BSI melden.
Geschäftsführerhaftung: Warum NIS-2 Chefsache ist
Eines der weitreichendsten Elemente des NIS-2-Umsetzungsgesetzes ist die persönliche Verantwortung der Geschäftsleitung. Gemäß §38 BSIG gilt:
- Die Geschäftsleitung muss die Umsetzung der Risikomanagement-Maßnahmen anordnen, finanzieren und deren Durchführung persönlich überwachen.
- Eine bloße Delegation an die IT-Abteilung reicht nicht aus.
- Geschäftsführer haften bei schuldhaften Verstößen gegenüber dem Unternehmen (Binnenhaftung). Ein Verzicht auf diese Ersatzansprüche durch das Unternehmen ist unwirksam.
- Mitglieder der Geschäftsleitung sind verpflichtet, regelmäßig an Schulungen zur Cybersicherheit teilzunehmen.
Diese Regelung macht Cybersicherheit endgültig zum Vorstandsthema. Wenn Sie als Geschäftsführer Ihre Pflichten verstehen und umsetzen möchten, empfehlen wir unsere Fortbildung: NIS2 für Geschäftsführer.
Sanktionen und Bußgelder
Die Bußgelder nach §65 BSIG orientieren sich an der Kategorie der Einrichtung und fallen deutlich höher aus als unter der bisherigen Regelung:
| Kategorie | Maximales Bußgeld |
|---|---|
| Besonders wichtige Einrichtungen | bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtungen | bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
Bußgelder können unter anderem verhängt werden bei: Verstößen gegen die Registrierungspflicht, mangelhaften oder fehlenden Risikomanagement-Maßnahmen, verspäteter oder unterlassener Meldung von Sicherheitsvorfällen, Behinderung behördlicher Prüfungen oder Übermittlung falscher Informationen.
Über die direkten Bußgelder hinaus drohen bei Sicherheitsvorfällen erhebliche indirekte Kosten durch Betriebsausfälle, Reputationsschäden und mögliche Schadensersatzforderungen Betroffener. Auch Cyber-Versicherungen könnten die Leistung verweigern, wenn gesetzliche Mindeststandards nicht eingehalten wurden.
Praktische Schritte zur Compliance
Die Umsetzung der NIS-2-Anforderungen ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die folgenden Schritte bieten einen strukturierten Einstieg:
| Schritt | Beschreibung |
|---|---|
| 1. Betroffenheitsprüfung | Prüfen Sie mit dem BSI-Tool, ob Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung eingestuft wird. |
| 2. Registrierung beim BSI | Legen Sie ein Konto bei „Mein Unternehmenskonto“ an und registrieren Sie sich im BSI-Portal (Frist: 6. März 2026). |
| 3. Gap-Analyse | Vergleichen Sie Ihre bestehenden IT-Sicherheitsmaßnahmen mit den Anforderungen des §30 BSIG. Identifizieren Sie Lücken bei Risikomanagement, Incident Response und Lieferkettensicherheit. |
| 4. ISMS aufbauen oder erweitern | Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS), idealerweise orientiert an ISO 27001 oder BSI-Grundschutz. Dokumentieren Sie alle Maßnahmen sorgfältig. |
| 5. Meldeprozesse einrichten | Etablieren Sie ein Incident-Response-Team und definieren Sie klare Abläufe für die dreistufige Meldekette (24h / 72h / 1 Monat). |
| 6. Geschäftsleitung einbinden | Stellen Sie sicher, dass die Geschäftsführung ihre Aufsichtspflicht wahrnimmt und an Cybersicherheitsschulungen teilnimmt. |
| 7. Lieferkette absichern | Bewerten Sie die Cybersicherheit Ihrer Zulieferer und Dienstleister. Verankern Sie Sicherheitsanforderungen in Verträgen. |
| 8. Regelmäßige Überprüfung | Führen Sie regelmäßige Sicherheitsaudits und Penetrationstests durch. KRITIS-Betreiber müssen ihre Maßnahmen alle drei Jahre nachweisen. |
Planen Sie für die vollständige Umsetzung einen Zeitraum von 6 bis 18 Monaten ein. Je früher Sie starten, desto besser – insbesondere da qualifizierte Berater aktuell stark nachgefragt sind.
Weiterführende Links und Ressourcen
Offizielle Quellen
- BSI: NIS-2-regulierte Unternehmen – Zentrale Informationsseite des Bundesamts für Sicherheit in der Informationstechnik
- BSI: NIS-2-Betroffenheitsprüfung – Interaktives Tool zur Prüfung der eigenen Betroffenheit
- BSI: FAQ zu NIS-2 – Offizielle Fragen und Antworten
- EUR-Lex: Richtlinie (EU) 2022/2555 – Volltext der NIS-2-Richtlinie
- Bundesgesetzblatt: NIS-2-Umsetzungsgesetz – Gesetzestext der deutschen Umsetzung
Unsere weiterführenden Beiträge
- Fortbildung: NIS2 für Geschäftsführer – Pflichtschulung für die Geschäftsleitung
- Zertifikat: NIS2 Experte (TÜV) – Zertifizierung zum NIS2-Fachexperten
- Webinar: NIS2 – Fokus Betroffenheitsprüfung
- Cybersicherheit in Deutschland: Aktuelle Bedrohungen und Lösungen
- Zwei-Faktor-Authentisierung: Ein Muss für die Sicherheit
- Sichere Passwörter – Was sie ausmacht und wie Hacker sie knacken
Häufig gestellte Fragen (FAQ)
- Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (EU 2022/2555) ist eine EU-Richtlinie, die ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union sicherstellen soll. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich. - Wer ist von NIS-2 betroffen?
Betroffen sind Unternehmen in 18 definierten Sektoren, die mindestens 50 Mitarbeitende beschäftigen oder mehr als 10 Millionen Euro Jahresumsatz erzielen. Bestimmte Einrichtungen wie KRITIS-Betreiber oder TK-Anbieter fallen unabhängig von ihrer Größe unter die Regulierung. In Deutschland sind rund 30.000 Unternehmen betroffen. - Seit wann gilt NIS-2 in Deutschland?
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es gibt keine Übergangsfristen – die Pflichten gelten ab sofort. Die Registrierungsfrist beim BSI endet am 6. März 2026. - Welche Strafen drohen bei Nichteinhaltung?
Besonders wichtige Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden. Für wichtige Einrichtungen liegen die Bußgelder bei bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Zusätzlich haften Geschäftsführer persönlich. - Was muss ich jetzt als Erstes tun?
Führen Sie zunächst eine Betroffenheitsprüfung über das BSI-Tool durch. Falls Sie betroffen sind, registrieren Sie sich umgehend im BSI-Portal und starten Sie mit einer Gap-Analyse Ihrer bestehenden IT-Sicherheitsmaßnahmen. - Hilft ein bestehendes ISO-27001-Zertifikat bei der Umsetzung?
Ja, erheblich. Viele NIS-2-Anforderungen lassen sich auf ISO-27001-Controls abbilden. Ein bestehendes ISMS ist eine sehr gute Grundlage, muss aber möglicherweise um NIS-2-spezifische Aspekte wie die Meldepflichten und Lieferkettensicherheit ergänzt werden.
Fazit
Das NIS-2-Umsetzungsgesetz ist in Kraft und stellt die bisher umfassendste Cybersicherheitsregulierung in Deutschland dar. Mit rund 30.000 betroffenen Unternehmen, persönlicher Geschäftsführerhaftung und empfindlichen Bußgeldern setzt der Gesetzgeber ein klares Signal: Cybersicherheit ist keine optionale Investition mehr, sondern eine geschäftskritische Pflicht.
Unternehmen sollten die verbleibende Zeit nutzen, um ihre Betroffenheit zu prüfen, sich beim BSI zu registrieren und ein systematisches Cybersicherheitsmanagement aufzubauen. Wer bereits über ein ISMS verfügt, hat einen Vorsprung – doch auch für diese Unternehmen gibt es Handlungsbedarf bei den NIS-2-spezifischen Pflichten.
Sie möchten sich oder Ihr Team gezielt auf NIS-2 vorbereiten? Informieren Sie sich über unsere Fortbildung: NIS2 für Geschäftsführer oder die Zertifizierung zum NIS2 Experten (TÜV).
