Seit dem 6. Dezember 2025 ist die NIS2-Richtlinie durch das NIS2UmsuCG verbindliches deutsches Recht. Für rund 29.500 Unternehmen bedeutet das: neue Registrierungspflichten, konkrete Sicherheitsmaßnahmen in zehn Bereichen und eine persönliche Haftung der Geschäftsleitung. Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen — wer noch nicht registriert ist, sollte das unverzüglich nachholen.
Dieser Artikel erklärt, was NIS2 ist, welche Unternehmen betroffen sind, was das deutsche Umsetzungsgesetz über die EU-Richtlinie hinausgeht — und welche konkreten Schritte jetzt anstehen.
Was ist NIS2? Die Kurzantwort
NIS2 ist die EU-Richtlinie 2022/2555 für Netz- und Informationssicherheit — ein verbindlicher Cybersicherheitsrahmen, der Unternehmen in 18 kritischen Sektoren zu Risikomassznahmen, Meldepflichten und Registrierung verpflichtet. In Deutschland gilt sie seit dem 6. Dezember 2025 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSIG grundlegend reformiert.
Rund 29.500 deutsche Unternehmen sind betroffen — siebenmal mehr als unter der Vorgängerrichtlinie NIS1. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Wer sich noch nicht registriert hat, ist bereits nicht konform.
Von NIS1 zu NIS2: Was sich grundlegend geändert hat
NIS2 ist keine Überarbeitung — es ist ein Neustart. Die erste NIS-Richtlinie aus dem Jahr 2016 regulierte rund 4.500 Organisationen, hauptsächlich Betreiber kritischer Infrastrukturen (KRITIS). NIS2 zieht den Kreis deutlich weiter: mittlere Unternehmen ab 50 Beschäftigten in 18 Sektoren fallen nun in den Geltungsbereich. Was sich konkret geändert hat:
| Aspekt | NIS1 (bis 2024) | NIS2 (ab Dezember 2025) |
|---|---|---|
| Betroffene Unternehmen (DE) | ca. 4.500 | ca. 29.500 |
| Sektoren | 7 (Energie, Wasser, Gesundheit u.a.) | 18 (Anhang I + II) |
| Mindestgröße | Nur KRITIS-Betreiber | ≥ 50 Mitarbeiter oder > 10 Mio. € Umsatz |
| Sicherheitsmaßnahmen | Allgemeine Anforderungen | 10 konkrete Bereiche (Art. 21) |
| Meldepflicht | Kein einheitliches Fristenregime | 24h / 72h / 30 Tage (Drei-Stufen-Modell) |
| Geschäftsleiterhaftung | Nicht explizit geregelt | Persönliche Haftung, nicht delegierbar (§ 38 BSIG) |
| Bußgelder (besonders wichtig) | Gering, national unterschiedlich | Bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Lieferkettenpflicht | Nein | Ja — direkte Lieferanten müssen geprüft werden |
Welche Unternehmen sind betroffen?
Die Betroffenheit hängt von drei Faktoren ab: Sektor, Unternehmensgröße und Einrichtungstyp. Das Gesetz unterscheidet zwei Kategorien mit unterschiedlichen Pflichten.
Besonders wichtige Einrichtungen (bwE)
Unternehmen in den 11 Sektoren des Anhangs I (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste, Öffentliche Verwaltung, Weltraum) gelten als besonders wichtige Einrichtungen, wenn sie mindestens eines der folgenden Kriterien erfüllen:
- ≥ 250 Mitarbeiter (Vollzeitäquivalente, ohne Auszubildende), oder
- Jahresumsatz > 50 Mio. € und Bilanzsumme > 43 Mio. €
KRITIS-Betreiber gelten automatisch als besonders wichtige Einrichtungen — unabhängig von ihrer Größe.
Wichtige Einrichtungen (wE)
Unternehmen in den Sektoren beider Anhänge (Anhang I und Anhang II) sind wichtige Einrichtungen, wenn sie erfüllen:
- ≥ 50 Mitarbeiter, oder
- Jahresumsatz > 10 Mio. € und Bilanzsumme > 10 Mio. €
Anhang II umfasst 7 weitere Sektoren: Post und Kurierdienste, Abfallentsorgung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Größenunabhängige Einrichtungen
Einige Einrichtungstypen fallen unabhängig von ihrer Größe unter NIS2: qualifizierte Vertrauensdiensteanbieter, TLD-Registrare und DNS-Diensteanbieter sowie Betreiber öffentlicher Telekommunikationsnetze.
Wichtig: Konzernverbünde
Bei der Schwellenberechnung werden Tochter- und Partnerunternehmen ab einer Beteiligungsquote von 25 % konsolidiert — also auch ausländische Konzerngesellschaften. Ein mittelständischer Zulieferer, der Teil eines Großkonzerns ist, kann dadurch die Schwelle überschreiten, auch wenn er allein unter den Werten liegt.
Entscheidungsbaum: Bin ich betroffen?
| Frage | Ja | Nein |
|---|---|---|
| Tätig in einem der 18 NIS2-Sektoren? | Weiter zu Frage 2 | Kein NIS2-Betroffener |
| ≥ 50 Mitarbeiter oder > 10 Mio. € Umsatz+Bilanz? | Mindestens wichtige Einrichtung | Nicht direkt betroffen* |
| Anhang I-Sektor und ≥ 250 MA oder > 50 Mio. € Umsatz? | Besonders wichtige Einrichtung | Wichtige Einrichtung |
* Auch kleinere Unternehmen können durch Lieferkettenklauseln ihrer Auftraggeber de facto NIS2-Anforderungen unterliegen — ohne selbst direkt betroffen zu sein.
Nutzen Sie auch unseren interaktiven Betroffenheitscheck, um Ihre konkrete Situation zu prüfen.
Die vier Kernpflichten
Alle betroffenen Einrichtungen — unabhängig ob besonders wichtig oder wichtig — müssen vier Hauptpflichten erfüllen. Der Unterschied liegt in der Intensität der BSI-Aufsicht, nicht in den Grundpflichten selbst.
1. Registrierung beim BSI
Seit dem 6. Dezember 2025 müssen sich betroffene Unternehmen beim BSI registrieren. Die dreimonatige Frist endete am 6. März 2026. Wer sich noch nicht registriert hat, sollte dies umgehend nachholen: Das BSI-Portal ist online, die Registrierung erfolgt über ein ELSTER-Organisationszertifikat via „Mein Unternehmenskonto“. Änderungen (z.B. Kontaktdaten, neue Standorte) müssen innerhalb von zwei Wochen nachgemeldet werden.
2. Risikomanagementmaßnahmen
Artikel 21 der Richtlinie (§ 30 BSIG) schreibt vor, dass Unternehmen angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen in 10 konkreten Sicherheitsbereichen umsetzen. Die Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und dokumentiert werden.
3. Meldepflichten bei Sicherheitsvorfällen
Erhebliche Sicherheitsvorfälle müssen nach einem Drei-Stufen-Modell an das BSI gemeldet werden:
| Stufe | Frist | Inhalt |
|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden | Vorläufige Einschätzung: erheblicher Vorfall ja/nein, Verdacht auf kriminellen oder grenzüberschreitenden Angriff |
| Vollständige Meldung | Innerhalb von 72 Stunden | Erste Bewertung des Vorfalls, Schweregrad, Kompromittierungsindikatoren (IoCs) |
| Abschlussbericht | Innerhalb von 30 Tagen | Vollständige Analyse, Ursachen, eingeleitete Gegenmaßnahmen |
Mehr zu den Meldepflichten im Detail finden Sie in unserem Artikel zu den NIS2-Meldepflichten.
4. Geschäftsleiterhaftung
Das NIS2UmsuCG macht die Geschäftsleitung persönlich verantwortlich für die Umsetzung der Cybersicherheitspflichten. Diese Verantwortung ist nicht delegierbar. Konkret bedeutet das nach § 38 Abs. 2 BSIG: Geschäftsführer und Vorstände können von der Einrichtung selbst auf Schadensersatz in Anspruch genommen werden, wenn nachgewiesen wird, dass eine Pflichtverletzung den Schaden verursacht hat. Darüber hinaus müssen Führungskräfte regelmäßig an Schulungen zum Thema Cybersicherheitsrisiken teilnehmen.
Die 10 Sicherheitsmaßnahmen nach Artikel 21
Artikel 21 Abs. 2 der NIS2-Richtlinie (§ 30 BSIG) definiert zehn Bereiche, in denen Unternehmen konkrete Maßnahmen umsetzen müssen. Die Maßnahmen gelten für besonders wichtige und wichtige Einrichtungen gleichermaßen — mit dem Unterschied, dass besonders wichtige Einrichtungen alle drei Jahre extern auditiert werden (§ 39 BSIG).
| # | Bereich | Was konkret verlangt wird |
|---|---|---|
| 1 | Risikoanalyse | Dokumentierte Konzepte zur Risikoanalyse und Sicherheit der IT-Systeme |
| 2 | Vorfallmanagement | Verfahren zur Erkennung, Analyse und Bewältigung von Sicherheitsvorfällen |
| 3 | Business Continuity & Backup | Backup-Management, Notfallwiederherstellung und Krisenmanagement |
| 4 | Lieferkettensicherheit | Prüfung direkter Lieferanten und Dienstleister auf IT-Sicherheit und Schwachstellen |
| 5 | Sicherheit bei IT-Beschaffung und Entwicklung | Security-by-Design-Anforderungen bei Einkauf, Entwicklung und Wartung von Systemen |
| 6 | Wirksamkeitsbewertung | Regelmäßige Überprüfung der Risikomanagementmaßnahmen auf Wirksamkeit |
| 7 | Cyberhygiene und Schulungen | Grundlegende Sicherheitspraktiken und Pflichtschulungen für alle Mitarbeiter |
| 8 | Kryptografie | Konzepte für Kryptografie und Verschlüsselung beim Schutz sensibler Daten |
| 9 | Personalsicherheit & Zugangskontrolle | Zugriffsverwaltung, Need-to-know-Prinzip, Hintergrundprüfungen für Schlüsselpositionen |
| 10 | Multi-Faktor-Authentifizierung (MFA) | MFA oder kontinuierliche Authentifizierung; gesicherte Kommunikationssysteme (Sprache, Video, Text) |
Unternehmen mit bestehendem ISO-27001-Zertifikat haben einen strukturellen Vorteil: Ein ISMS nach ISO 27001 deckt schätzungsweise 70 bis 80 Prozent der NIS2-Anforderungen ab. Die wesentlichen Lücken liegen typischerweise bei den spezifischen Meldepflichten, der Lieferkettendokumentation und den Pflichtschulungen für die Geschäftsleitung. Einen detaillierten Vergleich finden Sie in unserem Artikel NIS2 vs. ISO 27001.
Das NIS2UmsuCG: Was das deutsche Gesetz über die EU-Richtlinie hinausgeht
Die EU-Richtlinie setzt Mindestanforderungen — Deutschland hat bei der Umsetzung in mehreren Punkten über diese Mindestanforderungen hinausgegangen. Das schafft Pflichten, die in den meisten europäischen NIS2-Leitfäden nicht auftauchen.
Erweiterter IT-Geltungsbereich
Die EU-Richtlinie richtet sich an Einrichtungen für ihre NIS2-regulierten Tätigkeiten. Das NIS2UmsuCG geht weiter: Es erfasst nach überwiegender Rechtsauffassung sämtliche IT-Aktivitäten einer betroffenen Einrichtung — nicht nur die, die dem regulierten Bereich zuzuordnen sind. Für ein Krankenhaus bedeutet das beispielsweise, dass auch die Buchhaltungs-IT unter die Sicherheitspflichten fällt, nicht nur die medizinischen Systeme.
Branchenspezifische Sicherheitsstandards (§ 30 Abs. 7–8 BSIG)
Branchenverbände können beim BSI eigene Sicherheitsstandards für ihre Branche einreichen. Erkennt das BSI diese an, gelten sie als Nachweis für die Erfüllung der Anforderungen des § 30 BSIG. Dieses Branchenstandards-Modell gibt Industrieverbands — etwa im Gesundheitswesen oder im Maschinenbau — die Möglichkeit, praxisnähere Compliance-Wege zu definieren.
Verbot von Komponenten aus unsicheren Drittstaaten (§ 41 BSIG)
§ 41 BSIG ermöglicht es der Bundesregierung, Einrichtungen den Einsatz von IT-Komponenten bestimmter Hersteller zu untersagen — insbesondere wenn diese aus Drittstaaten stammen, die als sicherheitspolitisch problematisch eingestuft werden. Diese Regelung zielt auf vertrauenswürdige Lieferketten ab und geht erheblich über das hinaus, was die EU-Richtlinie fordert.
Persönliche Haftung der Geschäftsleitung (§ 38 BSIG)
§ 38 Abs. 2 BSIG kodifiziert eine Besonderheit, die im EU-Direktivtext so nicht enthalten ist: Wenn die Geschäftsleitung ihre NIS2-Pflichten verletzt und daraus ein Schaden entsteht, kann die Einrichtung ihre eigenen Führungskräfte auf Schadensersatz verklagen. Ein Verzicht auf diesen Anspruch oder ein Vergleich ist für drei Jahre nach der Pflichtverletzung ausgeschlossen. Das macht Cybersicherheit zur Frage persönlicher finanzieller Haftung — nicht nur zu einem IT-Thema.
Bußgelder bis 20 Millionen Euro
Die EU-Richtlinie sieht für besonders wichtige Einrichtungen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor. § 65 BSIG geht bei schwerwiegenden Verstößen darüber hinaus: In bestimmten Fällen kann das BSI Bußgelder von bis zu 20 Mio. € verhängen. Für wichtige Einrichtungen bleibt es bei 7 Mio. € oder 1,4 % des Jahresumsatzes. Eine Übersicht der NIS2-Bußgelder finden Sie in unserem entsprechenden Leitfaden.
Geteilte Aufsichtszuständigkeit
Nicht alle NIS2-Bereiche liegen beim BSI. Energieversorgungsunternehmen und Telekommunikationsanbieter unterstehen weiterhin der Bundesnetzagentur (BNetzA) als sektorspezifischer Regulierungsbehörde. Für diese Sektoren gelten parallele Zuständigkeiten, was die Compliance-Koordination komplexer macht.
Aufsicht: BSI-Überwachung nach Einrichtungstyp
| Merkmal | Besonders wichtige Einrichtungen (bwE) | Wichtige Einrichtungen (wE) |
|---|---|---|
| Aufsichtsmodus | Proaktiv (§ 61 BSIG) — BSI prüft von sich aus | Reaktiv (§ 62 BSIG) — BSI prüft bei Anlass oder Beschwerde |
| Pflichtaudit | Alle 3 Jahre, externe Prüfung (§ 39 BSIG) | Kein Pflichtaudit; Nachweis auf BSI-Anforderung |
| Maximales Bußgeld | 10 Mio. € oder 2 % (§ 65 bis 20 Mio. €) | 7 Mio. € oder 1,4 % |
Nächste Schritte: Der BSI-Fahrplan für betroffene Unternehmen
Das BSI empfiehlt einen sechsstufigen Umsetzungsweg. Wer die Registrierungsfrist bereits verpasst hat, sollte mit Schritt 3 beginnen und die Schritte 1 und 2 nachholen.
| Schritt | Maßnahme | Aufwand |
|---|---|---|
| 1 | Betroffenheitsprüfung: Sektor, Größe, Einrichtungstyp — BSI-Selbstauskunft nutzen | Gering |
| 2 | Interne Verantwortlichkeiten klären: mindestens zwei Personen mit koordinierender Sicherheitsrolle benennen | Gering |
| 3 | BSI-Portal-Registrierung via ELSTER-Organisationszertifikat (Mein Unternehmenskonto) — Frist abgelaufen, trotzdem sofort nachholen | Gering |
| 4 | Meldeprozesse einrichten: interne Eskalationskette für Vorfallmeldung (24h/72h/30d) definieren | Mittel |
| 5 | Geschäftsleitungsschulung: Pflichttraining für alle Mitglieder der Geschäftsleitung zu Cyber-Risikomanagement | Gering |
| 6 | 10 Sicherheitsmaßnahmen nach Art. 21: Gap-Analyse und Umsetzungsplan — typischer Gesamtaufwand 6–18 Monate | Hoch |
Eine detaillierte Schritt-für-Schritt-Anleitung zur Umsetzung finden Sie in unserem Artikel zur NIS2-Umsetzung in Deutschland. Den vollständigen Richtlinientext können Sie über unsere EUR-Lex-Navigationsanleitung abrufen.
Häufig gestellte Fragen zu NIS2
Gilt NIS2 auch für kleine Unternehmen unter 50 Mitarbeitern?
In der Regel nicht direkt. Ausnahmen gelten für Vertrauensdiensteanbieter, DNS-Betreiber, TLD-Registrare und Telekommunikationsnetzbetreiber — diese fallen unabhängig von ihrer Größe unter NIS2. Alle anderen Unternehmen unter 50 Beschäftigten und unter 10 Mio. € Umsatz sind nicht direkt betroffen. Indirekt können jedoch NIS2-Pflichten entstehen, wenn Auftraggeber Sicherheitsanforderungen vertraglich weitergeben.
Was passiert, wenn mein Unternehmen sich nicht registriert hat?
Die dreimonatige Registrierungsfrist lief am 6. März 2026 ab. Das Fehlen der Registrierung ist eine Ordnungswidrigkeit. Das BSI kann Bußgelder verhängen und bei anhaltender Nichtkonformität Betriebseinschränkungen anordnen. Die Empfehlung: sofortige Nachholung der Registrierung und parallele Dokumentation der bereits umgesetzten Sicherheitsmaßnahmen.
Wie unterscheidet sich NIS2 von KRITIS?
KRITIS und NIS2 existieren in Deutschland als parallele Systeme. KRITIS-Betreiber — Unternehmen, die kritische Dienste für mindestens 500.000 Personen erbringen — gelten automatisch als besonders wichtige Einrichtungen unter NIS2 und unterliegen zusätzlich den KRITIS-Anforderungen des BSI-Gesetzes. Die KRITIS-Schwellenwerte basieren auf der Anzahl versorgter Personen; NIS2-Schwellenwerte auf Unternehmensgröße und Sektor.
Deckt ISO 27001 die NIS2-Anforderungen ab?
Teilweise. Ein zertifiziertes ISMS nach ISO 27001 deckt schätzungsweise 70 bis 80 Prozent der NIS2-Anforderungen ab. Die Lücken liegen bei: BSI-Registrierung, den 24h/72h-Meldezeiträumen, der Lieferkettendokumentation nach NIS2-Standard und den Pflichtschulungen für die Geschäftsleitung. ISO 27001 ist ein starkes Fundament, ersetzt aber nicht die NIS2-Compliance vollständig.
Welche Unternehmen fallen unter Anhang I, welche unter Anhang II?
Anhang I umfasst die 11 Sektoren hoher Kritikailtät: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienstemanagement, Öffentliche Verwaltung und Weltraum. Anhang II umfasst 7 sonstige kritische Sektoren: Post- und Kurierdienste, Abfallentsorgung, Chemikalien, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung. Unternehmen aus Anhang II können nur wichtige — nicht besonders wichtige — Einrichtungen sein.
Quellen
Dieser Artikel enthält allgemeine Informationen und stellt keine Rechts- oder Compliance-Beratung dar. Die Anforderungen können je nach Rechtsgebiet und Unternehmenstyp variieren. Bitte lassen Sie Ihre spezifische Situation von einem qualifizierten Rechtsanwalt oder Compliance-Spezialisten prüfen.
- BSI — NIS-2-regulierte Unternehmen. Bundesamt für Sicherheit in der Informationstechnik.
- BSI — NIS-2-Pflichten. Bundesamt für Sicherheit in der Informationstechnik.
- BSI — Allgemeine FAQ zu NIS-2. Bundesamt für Sicherheit in der Informationstechnik.
- BSI — NIS-2: Was tun? Bundesamt für Sicherheit in der Informationstechnik.
- Einrichtungen und Unternehmen in NIS2. OpenKRITIS.
- NIS2-Umsetzungsgesetz in Deutschland 2025. OpenKRITIS.
- Umsetzung der NIS-2-Richtlinie beschlossen. Bundesregierung.de.