Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2UmsuCG – und rund 29.500 Unternehmen stehen vor konkreten Cybersicherheitspflichten, die keine Übergangsfrist kennen. Dass die betriebliche Realität hinter diesem Anspruch zurückbleibt, zeigt eine ernüchternde Zahl: Zum Ablauf der Registrierungsfrist am 6. März 2026 hatten sich gerade einmal 38,5 Prozent der betroffenen Einrichtungen beim BSI registriert – über 18.000 Unternehmen befinden sich damit bereits in einer Situation, in der das BSI Zwangsmaßnahmen einleiten kann.
Dieser Leitfaden erklärt, was das NIS2UmsuCG konkret bedeutet: welche Schwellen die Betroffenheit nach §28 BSIG auslösen, welche zehn Risikomanagementmaßnahmen nach §30 BSIG verpflichtend umzusetzen sind, wie das BSI seine neuen Aufsichtsbefugnisse einsetzt – und welche Bußgelder nach §65 BSIG drohen, wenn Pflichten nicht erfüllt werden.
Was ist das NIS2UmsuCG?
Vollständiger Name: „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“. Dieses Gesetz setzt die EU-Richtlinie (EU) 2022/2555 in deutsches Recht um und novelliert das BSI-Gesetz (BSIG) grundlegend. Zentrale Pflichten sind in §§28–38 des neugefassten BSIG kodifiziert; die Bußgeldvorschriften finden sich in §65.
Die gesetzgeberische Dringlichkeit war erheblich: Die EU-Frist zur nationalen Umsetzung der NIS-2-Richtlinie lief bereits am 17. Oktober 2024 ab. Deutschland trat damit als eines der letzten EU-Mitgliedsländer in Verzug, bevor das Gesetz nach einem langen parlamentarischen Prozess am 6. Dezember 2025 in Kraft trat – ohne Übergangsfrist, ohne Schonfrist.
Was die Dimension dieses Schritts verdeutlicht: Vor dem NIS2UmsuCG unterlagen in Deutschland rund 4.500 KRITIS-Betreiber IT-Sicherheitspflichten. Das neue Gesetz stellt schätzungsweise 29.500 Unternehmen und Bundesbehörden unter BSI-Aufsicht – eine Ausweitung um den Faktor 6,5 in einem einzigen Gesetzgebungsschritt. Die Erweiterung erfasst erstmals auch mittlere Unternehmen in 18 Sektoren, die bis dahin keine formellen Cybersicherheitspflichten kannten.
Das NIS2UmsuCG richtet sich ausdrücklich an Einrichtungen, nicht nur an Infrastrukturbetreiber. Der Begriff „Einrichtung“ umfasst Unternehmen, öffentliche Stellen und andere Organisationen gleichermaßen. Die Einstufung als besonders wichtige oder wichtige Einrichtung erfolgt nicht durch einen BSI-Bescheid, sondern durch Selbsteinstufung anhand der gesetzlichen Kriterien – eine wesentliche Neuerung gegenüber dem alten KRITIS-System.
Einen Überblick über die europäische Grundlage dieser Regelungen bieten unsere NIS-2-Grundlagen.
Wer ist betroffen? Betroffenheitsschwellen nach §28 BSIG
§28 BSIG unterscheidet zwei Kategorien betroffener Einrichtungen, die sich in Pflichtentiefe und Aufsichtsintensität erheblich unterscheiden.
| Kategorie | Schwelle | Sektor | Aufsicht |
|---|---|---|---|
| Besonders wichtige Einrichtung (§28 Abs. 1) | ≥250 Beschäftigte ODER >50 Mio. € Umsatz UND >43 Mio. € Bilanzsumme | Anhang 1 | Proaktiv – unangemeldete Audits möglich |
| Wichtige Einrichtung (§28 Abs. 2) | ≥50 Beschäftigte ODER >10 Mio. € Umsatz UND >10 Mio. € Bilanzsumme | Anhang 1 oder 2 | Reaktiv – Aufsicht bei konkretem Verdacht |
Das Gesetz erfasst 18 Sektoren in zwei Anhängen. Anhang 1 – Sektoren hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung, Weltraum. Anhang 2 – Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittelproduktion und -verarbeitung, verarbeitendes Gewerbe, digitale Dienste, Forschung.
Für bestimmte Einrichtungen entfällt die Größenschwelle vollständig und sie gelten automatisch als besonders wichtig: KRITIS-Betreiber nach §28 Abs. 3, qualifizierte Vertrauensdienstleister, DNS-Resolver, TLD-Registrierungen sowie Anbieter öffentlicher elektronischer Kommunikationsnetze fallen unabhängig von Mitarbeiterzahl oder Umsatz in die strengste Kategorie.
Eine wichtige Unterscheidung, die in der Praxis häufig übersehen wird: Die Schwellen für Umsatz und Bilanzsumme sind kumulativ mit dem Umsatzkriterium verknüpft, nicht alternativ. Ein Unternehmen mit 80 Millionen Euro Umsatz, aber einer Bilanzsumme unter 10 Millionen Euro, fällt bei weniger als 50 Beschäftigten nicht automatisch unter §28 Abs. 2 BSIG. Die Betroffenheitsprüfung ist daher immer als Drei-Kriterien-Check durchzuführen: Sektor, Mitarbeiterzahl, Umsatz/Bilanz.
Ob Ihr Unternehmen konkret in den Anwendungsbereich fällt, können Sie im Detail über den Anwendungsbereich der NIS-2-Richtlinie prüfen.
Pflichten nach NIS2UmsuCG — §30, §32, §33 und §38 BSIG
Betroffene Einrichtungen haben vier Kernpflichten zu erfüllen, die mit Inkrafttreten des Gesetzes unmittelbar galten.
§30 BSIG — Risikomanagementmaßnahmen
§30 BSIG verpflichtet betroffene Einrichtungen zur Umsetzung von zehn Mindestsicherheitsmaßnahmen. Die Maßnahmen müssen „geeignet, verhältnismäßig und wirksam“ sein – ein Kriterium, das das BSI im Rahmen von Audits überprüfen kann und für das schriftliche Nachweise zu erbringen sind.
| # | Maßnahme (§30 Abs. 2 BSIG) | Praxisrelevanz |
|---|---|---|
| 1 | Risikoanalyse und Sicherheitskonzepte | Schriftliches Risikoregister mit Bewertungslogik |
| 2 | Bewältigung von Sicherheitsvorfällen | Incident-Response-Plan mit Zuständigkeitsmatrix |
| 3 | Aufrechterhaltung des Betriebs, Backup, Wiederherstellung | BCP/DRP-Dokumentation, regelmäßige Tests |
| 4 | Sicherheit der Lieferkette | Lieferantenklassifizierung, Vertragsanforderungen |
| 5 | Sicherheit in der Entwicklung und im Betrieb | Secure-SDLC-Policy, Patch-Management-Prozess |
| 6 | Bewertung der Wirksamkeit von Maßnahmen | Regelmäßige interne Audits, KPI-Tracking |
| 7 | Schulungen zur Cybersicherheit | Schulungsnachweise für alle Beschäftigten und GF |
| 8 | Kryptografie und Verschlüsselung | Kryptografierichtlinie mit Verfahrens- und Schlüsselverwaltung |
| 9 | Sicherheit des Personals, Zugangs- und Zugriffskontrolle | IAM-Richtlinie, Onboarding-/Offboarding-Prozess |
| 10 | Multi-Faktor-Authentifizierung und sichere Kommunikation | MFA-Policy, Dokumentation der eingesetzten Verfahren |
§32 BSIG — Meldepflichten bei erheblichen Sicherheitsvorfällen
Bei erheblichen Sicherheitsvorfällen gilt ein dreistufiges Meldeverfahren gegenüber dem BSI:
- Frühwarnung (24 Stunden): Unmittelbar nach Kenntnis des Vorfalls – kein Lagebericht, sondern eine erste Benachrichtigung.
- Erstmeldung (72 Stunden): Erste Einschätzung von Schwere, betroffenen Systemen und möglichen Auswirkungen.
- Abschlussbericht (30 Tage): Vollständige Beschreibung, tatsächliches Schadensausmaß, eingeleitete Abhilfemaßnahmen.
Als erheblich gilt ein Vorfall, wenn er schwerwiegende Betriebsstörungen, erhebliche finanzielle Verluste oder erhebliche Auswirkungen auf andere Personen oder Einrichtungen verursacht hat oder verursachen kann. Das BSI-Portal ist die zentrale Meldestelle; die Fristen laufen ab dem Zeitpunkt der Kenntnis des Vorfalls, nicht ab dem Zeitpunkt der vollständigen Analyse.
§33 BSIG — Registrierungspflicht
Besonders wichtige und wichtige Einrichtungen müssen sich innerhalb von drei Monaten nach ihrer Identifikation als NIS2-pflichtige Einrichtung beim BSI registrieren. Die Registrierung erfolgt über das BSI-Portal und erfordert Angaben zu Name, Rechtsform, Kontaktdaten, IP-Adressbereichen, Sektor und etwaigen grenzüberschreitenden EU-Aktivitäten. Änderungen sind in der Regel jährlich zu melden; wesentliche Änderungen müssen innerhalb von zwei Wochen nachgemeldet werden. Den vollständigen Ablauf mit allen Pflichtangaben beschreibt unser Leitfaden zur BSI-Registrierung.
§38 BSIG — Geschäftsleitungspflichten und persönliche Haftung
§38 BSIG ist der Paragraph, der in Vorstandsetagen Aufmerksamkeit erzeugt: Mitglieder der Geschäftsleitung sind persönlich verpflichtet, Risikomanagementmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und sich regelmäßig zu Cybersicherheitsthemen schulen zu lassen. Bei Verletzung dieser Pflicht haften Geschäftsführer und Vorstandsmitglieder persönlich – nach allgemeinen gesellschaftsrechtlichen Grundsätzen (§93 AktG für AG, §43 GmbHG für GmbH) gegenüber der Einrichtung sowie über §65 BSIG gegenüber dem Staat.
Die persönliche Haftung nach §38 BSIG lässt sich nicht durch interne Delegation oder gesellschaftsvertragliche Regelungen ausschließen. Eine Geschäftsführerin, die Risikomaßnahmen an den IT-Leiter delegiert hat, bleibt nach §38 BSIG persönlich verantwortlich für deren Genehmigung und Überwachung.
Die vollständige Compliance-Checkliste mit allen Umsetzungsschritten finden Sie unter der NIS-2-Compliance-Checkliste.
BSI als zentrale Aufsichtsbehörde — Befugnisse und Kontrollen
Das BSI ist für den überwiegenden Teil der nach NIS2UmsuCG regulierten Einrichtungen die alleinige nationale Aufsichtsbehörde. Die zentrale Neuerung gegenüber dem alten BSIG: Das BSI verfolgt ein zweigleisiges Aufsichtsmodell, das nach der Kategorie der Einrichtung differenziert.
Proaktive Aufsicht für besonders wichtige Einrichtungen: Das BSI darf unangekündigte Vor-Ort-Prüfungen durchführen, jederzeit umfassende Informationsanfragen stellen und Sicherheitsaudits anordnen – unabhängig davon, ob ein konkreter Verdacht oder Vorfall vorliegt. Für diese Kategorie ist dauerhafte Auditbereitschaft der Dokumentation keine Empfehlung, sondern eine praktische Notwendigkeit.
Reaktive Aufsicht für wichtige Einrichtungen: Das BSI greift hier erst bei konkretem Verdacht auf Verstöße oder nach einem gemeldeten Sicherheitsvorfall ein. Ohne Anlassbegründung sind unangekündigte Audits für wichtige Einrichtungen nicht zulässig. Im Normalbetrieb ist die Aufsichtsintensität damit spürbar geringer – solange keine Vorfälle bekannt werden.
Das Instrumentarium des BSI umfasst darüber hinaus:
- Anordnung von Mängelbeseitigungen mit bindenden Fristen
- Verpflichtung zur externen Sicherheitsüberprüfung auf Kosten der Einrichtung
- Aussetzung oder Entzug von Zertifizierungen und Genehmigungen
- Als ultima ratio: vorübergehendes Tätigkeitsverbot für Leitungsorgane besonders wichtiger Einrichtungen
Seit dem 7. März 2026 – dem Tag nach Ablauf der Registrierungsfrist – kann das BSI gegen nicht registrierte Unternehmen Zwangsgelder festsetzen, um die Registrierung zu erzwingen. Das ist der erste Anwendungsfall, bei dem aktive Vollstreckungsmaßnahmen möglich sind, ohne dass ein Sicherheitsvorfall vorgelegen haben muss. Parallel dazu berechtigt eine fehlende Registrierung das BSI zur Einleitung weitergehender Aufsichtsmaßnahmen, die häufig mit einer Überprüfung des gesamten Sicherheitskonzepts einhergehen.
Bußgeldrahmen nach §65 BSIG — Sanktionen und Haftung
Das Sanktionssystem des NIS2UmsuCG ist nach Einrichtungskategorie und Schwere des Verstoßes gestaffelt. Die Höchstgrenzen sind gesetzlich festgelegt; das BSI hat Ermessensspielraum bei der konkreten Bemessung, muss aber den höheren der beiden Werte (Betrag oder Umsatzanteil) zugrunde legen.
| Verstoß | Besonders wichtige Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Risikomanagement (§30 Abs. 1) | bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | bis 7 Mio. € oder 1,4 % des Umsatzes |
| Meldepflichten (§32) | bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | bis 7 Mio. € oder 1,4 % des Umsatzes |
| Registrierung (§33) | bis 100.000 € (Ordnungswidrigkeit) | |
| Mitwirkungspflichten / sonstige Pflichten | gestaffelt, bis 100.000 € | |
Die Höchstbeträge von 10 bzw. 7 Millionen Euro gelten für Verstöße gegen §30 BSIG (Risikomanagement) und §32 BSIG (Meldepflichten) – also genau jene Pflichten, die am aufwendigsten umzusetzen sind und in der Praxis am häufigsten versäumt werden.
Neben Geldbußen sieht das Gesetz nicht-monetäre Sanktionen vor: bindende Anordnungen zur Mängelbeseitigung, Anordnung externer Audits und – als schwerste Maßnahme für besonders wichtige Einrichtungen – die vorübergehende Untersagung der Ausübung von Leitungsfunktionen durch die verantwortlichen Führungspersonen.
Persönliche Haftung der Geschäftsleitung: §38 BSIG verankert eine zweistufige persönliche Haftung. Gegenüber dem Staat über §65 BSIG (Bußgeld), und gegenüber der eigenen Einrichtung nach gesellschaftsrechtlichen Grundsätzen (§93 AktG, §43 GmbHG), wenn die Pflichtverletzung zu einem nachweisbaren Schaden geführt hat. Ein Vorstandsmitglied, das nachweislich die Genehmigung oder Überwachung von Risikomanagementmaßnahmen unterlassen hat, kann damit auf beiden Ebenen gleichzeitig in Haftung genommen werden.
Umsetzungsstand Deutschland 2026 — Wo die Praxis steht
Die Zahlen zur Registrierungsquote verdeutlichen, wie groß der Abstand zwischen gesetzlichem Anspruch und betrieblicher Realität noch ist.
Zum 6. März 2026 hatten sich rund 11.500 der etwa 29.500 verpflichteten Einrichtungen beim BSI registriert – eine Quote von 38,5 Prozent. Über 18.000 Unternehmen haben damit die erste und formell einfachste Pflicht des NIS2UmsuCG versäumt. Bemerkenswert ist der Anmeldungsverlauf: Zwei Wochen vor Fristablauf waren erst rund 4.856 Unternehmen registriert – ein deutlicher Last-Minute-Effekt in den letzten Tagen.
Das BSI wertete den Anstieg kurz vor Fristende als Signal für weitere Nachregistrierungen, machte aber deutlich: Die fehlende Registrierung ist kein bloßer Formalfehler. Ab dem 7. März 2026 berechtigt das versäumte Datum das BSI, Zwangsgelder festzusetzen und Aufsichtsmaßnahmen einzuleiten, die mit einer Überprüfung des gesamten Sicherheitskonzepts verbunden sein können.
Parallel entwickelt sich das BSI-Portal weiter. Am 1. Juni 2026 wurde der zweite Schritt des Registrierungsprozesses freigeschaltet, der auch erweiterte Funktionen bietet: tagesaktuelle Lageberichte, Ressourcen für die Risikoanalyse nach §30 BSIG und anonyme Schwachstellenmeldungen. Die vollständige Prüfbefugnis nach §39 BSIG entfaltet ihre volle Wirkung drei Jahre nach Inkrafttreten – also ab Dezember 2028. Bis dahin baut das BSI seine Aufsichtskapazitäten schrittweise aus.
Für Unternehmen, die noch keine Schritte unternommen haben, gilt: Die Registrierungspflicht besteht fort. Eine nachträgliche Registrierung reduziert das Bußgeldrisiko, hebt es aber nicht rückwirkend auf. Wichtiger noch: Die Registrierung ist nur der administrative Einstieg – dahinter stehen die zehn Risikomanagementmaßnahmen nach §30 BSIG, deren Dokumentation bei einem BSI-Audit belegt werden muss.
Häufig gestellte Fragen
Muss ich mich beim BSI registrieren, wenn ich in mehreren EU-Ländern tätig bin?
Maßgeblich ist der Hauptsitz Ihrer Einrichtung. Hat Ihr Unternehmen seinen Hauptsitz in Deutschland, registrieren Sie sich beim BSI – unabhängig davon, in welchen anderen EU-Staaten Sie tätig sind. Haben Sie Ihren Hauptsitz in einem anderen EU-Mitgliedstaat, richtet sich die Zuständigkeit nach der nationalen Aufsichtsbehörde dieses Staates.
Gilt das NIS2UmsuCG auch für Unternehmen mit weniger als 50 Beschäftigten?
Grundsätzlich nicht, wenn die Größenschwellen aus §28 Abs. 2 BSIG nicht erreicht werden. Ausnahmen bestehen für Einrichtungen, bei denen die Größe irrelevant ist: KRITIS-Betreiber, qualifizierte Vertrauensdienstleister, DNS-Resolver, TLD-Registrierungen und Anbieter öffentlicher Kommunikationsnetze fallen unabhängig von ihrer Größe unter das Gesetz.
Kann ich die Registrierung noch nachholen?
Ja. Die Pflicht zur Registrierung besteht fort; die Frist war nicht anspruchsausschließend, sondern löst ab dem Versäumnis die Vollstreckungsmöglichkeit des BSI aus. Eine Registrierung nach Fristablauf reduziert das Bußgeldrisiko und beendet die Grundlage für Zwangsgelder. Sie hebt jedoch nicht auf, dass bereits ein formeller Verstoß vorliegt.
Welche Dokumentation reicht das BSI für §30 BSIG als Nachweis aus?
Das Gesetz schreibt keine spezifische Dokumentationsform vor. Das BSI erwartet prüfbare Nachweise für jede der zehn Maßnahmen: schriftliche Richtlinien, Protokolle von Schulungen und Risikoanalysen, Incident-Response-Pläne mit dokumentierten Tests sowie ein Risikoregister mit Bewertungslogik. Mündliche Auskunft ohne Schriftnachweis gilt im Rahmen eines Audits als unzureichend.
Was passiert, wenn ein erheblicher Vorfall nicht innerhalb von 24 Stunden gemeldet wird?
Ein Versäumnis der 24-Stunden-Frist ist ein eigenständiger Bußgeldtatbestand nach §65 BSIG i.V.m. §32. Das BSI kann bis zu 10 Millionen Euro (besonders wichtige Einrichtungen) oder 7 Millionen Euro (wichtige Einrichtungen) verhängen – unabhängig davon, wie der eigentliche Sicherheitsvorfall gehandhabt wurde. Die Meldefrist beginnt mit dem Zeitpunkt, zu dem die Einrichtung von dem Vorfall Kenntnis erlangt, nicht mit dem Zeitpunkt seiner vollständigen Aufklärung.
Wie unterscheidet sich das NIS2UmsuCG vom bisherigen IT-Sicherheitsgesetz 2.0?
Das IT-SiG 2.0 (2021) regulierte primär KRITIS-Betreiber und bestimmte Anbieter digitaler Dienste. Das NIS2UmsuCG erweitert den Anwendungsbereich um den Faktor 6,5, führt die Kategorie der wichtigen Einrichtungen neu ein, macht Geschäftsleitungen persönlich haftbar (§38 BSIG) und gibt dem BSI ein breiteres Aufsichtsinstrumentarium einschließlich proaktiver unangekündigter Audits für besonders wichtige Einrichtungen.
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die Anforderungen können je nach Jurisdiktion und Organisationstyp variieren. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.
Quellen
- Cybersicherheitsrecht: NIS-2-Umsetzungsgesetz ab morgen in Kraft — BSI Pressemitteilung, 05.12.2025
- NIS-2-Pflichten — Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Das NIS2-Umsetzungsgesetz NIS2UmsuCG — OpenKRITIS
- Bußgelder und Sanktionen in NIS2 — OpenKRITIS
- NIS-2: Nur 38,5 % der Unternehmen im BSI-Portal registriert — Security Insider
- BSI und NIS2: Registrierung, Aufsicht und Pflichten 2026 — SecJur
- Zweiter Schritt zur NIS-2-Registrierung: BSI-Portal ab sofort freigeschaltet — BSI Pressemitteilung, 01.06.2026
