NIS-2-Umsetzung nach NIS2UmsuCG für rund 30.000 Unternehmen.

Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft. Es weitet die EU-weiten Cybersicherheits-Pflichten auf 18 Sektoren aus und macht die Geschäftsleitung persönlich haftbar. Wir prüfen Ihre Betroffenheit und begleiten die Umsetzung.

9 Minuten Lesezeit · Themen: NIS2UmsuCG, Geschäftsführungs-Haftung, BSI-Registrierung
Inhalt
7 Abschnitte · 9 Minuten Lesezeit
  1. 01Was ist NIS-2 und wer hat sie umgesetzt?1 min
  2. 02Bin ich betroffen? Wesentliche und wichtige Einrichtungen2 min
  3. 03Welche Pflichten konkret entstehen2 min
  4. 04Persönliche Haftung der Geschäftsleitung1 min
  5. 05BSI-Registrierung und Meldepflichten1 min
  6. 06Bußgelder und Konsequenzen bei Verstößen1 min
  7. 07Häufig gestellte Fragen3 min

Was ist NIS-2 und wer hat sie umgesetzt?

NIS-2 steht für die zweite Network and Information Security Directive der EU (Richtlinie 2022/2555). Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet den Anwendungsbereich erheblich aus. In Deutschland ist NIS-2 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das Gesetz wurde am 13. November 2025 vom Bundestag beschlossen und trat am 6. Dezember 2025 in Kraft.

NIS-2 verfolgt zwei Ziele: ein einheitliches Mindestniveau an Cybersicherheit in der EU schaffen und die Resilienz kritischer Wirtschaftssektoren gegen Cyber-Angriffe erhöhen. Im Kern geht es um drei Hebel: erweiterten Anwendungsbereich (mehr Sektoren, mehr Unternehmen), höhere Anforderungen an Risikomanagement und Meldewesen und schärfere Sanktionen bei Verstößen — einschließlich persönlicher Haftung der Geschäftsleitung.

Bin ich betroffen? Wesentliche und wichtige Einrichtungen

NIS-2 erfasst grundsätzlich Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz, sofern sie in einem der 18 definierten Sektoren tätig sind. In Deutschland sind nach Schätzungen des BSI rund 30.000 Unternehmen betroffen — deutlich mehr als unter der alten NIS-Richtlinie.

Die 18 Sektoren teilen sich in zwei Kategorien:

Sektoren mit hoher Kritikalität (führen zur Klassifizierung als „wesentliche Einrichtung“):

  • Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen
  • Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur
  • IKT-Dienste-Verwaltung (B2B), Öffentliche Verwaltung, Weltraum

Sonstige kritische Sektoren (führen zur Klassifizierung als „wichtige Einrichtung“):

  • Post- und Kurierdienste, Abfallwirtschaft
  • Chemie, Lebensmittel, Verarbeitung und Herstellung
  • Digitale Anbieter, Forschung

Der Unterschied zwischen den beiden Klassen hat Konsequenzen für Aufsicht, Meldepflichten und Bußgeld-Rahmen. Wesentliche Einrichtungen unterliegen einer regelmäßigen, proaktiven Aufsicht durch das BSI — ähnlich wie KRITIS-Betreiber. Wichtige Einrichtungen werden überwiegend reaktiv geprüft, also bei Verdacht oder nach einem Vorfall.

Unabhängig von der Klassifizierung gelten dieselben grundlegenden Pflichten zu Risikomanagement, Meldewesen und Schulung. Größere Bedeutung hat die Klassifizierung beim Bußgeld-Rahmen.

Welche Pflichten konkret entstehen

Das NIS2UmsuCG listet zehn Mindestanforderungen, die jede betroffene Einrichtung erfüllen muss. Die wichtigsten:

  1. Risikoanalyse und Sicherheitsmaßnahmen. Strukturiertes Risikomanagement-Konzept mit dokumentierten technischen und organisatorischen Maßnahmen.
  2. Bewältigung von Sicherheitsvorfällen. Definierte Prozesse für Erkennung, Reaktion, Eindämmung und Wiederherstellung.
  3. Backup- und Wiederherstellungs-Management. Geprüfte Backup-Strategien und Notfall-Konzepte.
  4. Sicherheit in der Lieferkette. Bewertung und Steuerung der Sicherheits-Risiken bei Lieferanten und Dienstleistern.
  5. Schwachstellen-Management. Prozesse zur Identifikation, Bewertung und Behebung von Schwachstellen.
  6. Wirksamkeits-Bewertung. Regelmäßige Tests und Überprüfungen der Sicherheitsmaßnahmen.
  7. Schulung und Awareness. Verpflichtende Schulung der Mitarbeitenden, einschließlich der Geschäftsleitung.
  8. Kryptografie und Verschlüsselung. Eingesetzte Verschlüsselungsverfahren müssen dokumentiert und nach Stand der Technik gewählt sein.
  9. Zugriffskontrolle. Regelungen zum Berechtigungs-Management und zur Authentifizierung.
  10. Multi-Faktor-Authentifizierung. Pflicht für bestimmte Zugänge, insbesondere für administrative Konten.

Persönliche Haftung der Geschäftsleitung

Eine der schärfsten Neuerungen des NIS2UmsuCG ist die persönliche Verantwortung der Geschäftsleitung nach §38. Das Gesetz schreibt vor, dass die Geschäftsleitung die Umsetzung der Risikomanagement-Maßnahmen genehmigen, überwachen und sich selbst regelmäßig in Cybersicherheit schulen lassen muss.

Bei Verletzung dieser Pflichten haftet die Geschäftsleitung persönlich. Das ist eine ähnlich strenge Regelung wie im Datenschutz (DSGVO) oder im Arbeitsschutz — sie kann nicht einfach an die IT-Abteilung delegiert werden. In der Praxis bedeutet das: Geschäftsführer und Vorstände müssen sich aktiv mit dem NIS-2-Compliance-Status ihres Unternehmens befassen.

Aus Beratungssicht ist diese Haftungs-Regelung der häufigste Auslöser für ein Mandat. Sie verlagert das Thema aus der IT-Abteilung in die Vorstandsebene — und macht NIS-2 zu einer Geschäftsführungs-Frage.

BSI-Registrierung und Meldepflichten

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren. Die Registrierung umfasst grundlegende Stammdaten, einen benannten Ansprechpartner für Sicherheitsfragen und Informationen zur Sektor-Zugehörigkeit.

Bei sicherheitsrelevanten Vorfällen gelten gestaffelte Meldepflichten:

  • Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme — mit den verfügbaren Informationen zum Vorfall
  • Aktualisierte Meldung innerhalb von 72 Stunden — mit erweiterten Erkenntnissen zu Ausmaß und Ursachen
  • Abschlussbericht innerhalb eines Monats — mit Bewertung, Maßnahmen und Lerneffekten

Was als „sicherheitsrelevant“ gilt, definiert das NIS2UmsuCG anhand von Schwellwerten zu Auswirkungen auf den Geschäftsbetrieb, den Diensteempfänger oder Dritte. In der Praxis ist die Schwelle niedrig genug, dass viele Vorfälle melde-pflichtig werden — ein robuster Meldeprozess ist deshalb Pflicht.

Bußgelder und Konsequenzen bei Verstößen

Die Bußgeld-Höhen unter NIS2UmsuCG sind erheblich. Sie orientieren sich am DSGVO-Modell:

  • Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Zusätzlich kann das BSI bei schwerwiegenden oder wiederholten Verstößen die Geschäftsleitung persönlich sanktionieren und in Extremfällen sogar die Tätigkeit untersagen. Das ist die Eskalations-Stufe für besonders kritische Fälle.

Wichtig: Die Bußgelder sind nicht gestaffelt nach Vorfall, sondern nach Pflichtverletzung. Wer Risikomanagement nicht umsetzt, sich nicht beim BSI registriert oder Meldepflichten verletzt, kann auch ohne konkreten Sicherheits-Vorfall sanktioniert werden.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem NIS-2-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Wie schnell muss die NIS-2-Compliance hergestellt sein?

Das NIS2UmsuCG ist seit Dezember 2025 in Kraft — die Pflichten gelten formal sofort. Realistisch ist allerdings eine strukturierte Umsetzung über 6 bis 12 Monate. Wer noch nicht angefangen hat, sollte mit der Betroffenheits-Prüfung und der BSI-Registrierung beginnen, dann den Risikomanagement-Aufbau strukturieren. Bei offenkundiger Untätigkeit ist nach Inkrafttreten mit aufsichtsrechtlichen Maßnahmen zu rechnen.

Reicht unser ISO-27001-Zertifikat als NIS-2-Nachweis?

Nicht automatisch — aber ein ISO-27001-Managementsystem deckt den Großteil der NIS-2-Anforderungen ab. Was meist zusätzlich kommt: spezifische NIS-2-Themen wie die Lieferketten-Sicherheit, das nationale Meldewesen und die persönlichen Schulungspflichten der Geschäftsleitung. Wer ISO 27001 zertifiziert ist, hat 70-80 Prozent der Arbeit erledigt.

Müssen wir Lieferanten kontrollieren oder reicht eine Erklärung?

NIS-2 verlangt eine risikobasierte Bewertung der Lieferkette, nicht eine pauschale Kontrolle aller Lieferanten. Kritisch sind Lieferanten, die direkt sicherheitsrelevante Leistungen erbringen — Cloud-Dienstleister, IT-Outsourcer, Softwareanbieter mit Zugriff auf produktive Systeme. Für diese sind belastbare Sicherheits-Nachweise erforderlich. Für unkritische Lieferanten reicht in der Regel eine vertragliche Klausel.

Wir sind ein 60-Personen-Unternehmen in der Lebensmittel-Verarbeitung. Wirklich betroffen?

Ja — Sie liegen über der Schwelle von 50 Mitarbeitenden und sind im Sektor „Verarbeitung und Herstellung“ tätig. Sie würden als „wichtige Einrichtung“ eingestuft. Die genauen Pflichten hängen vom Geschäftsmodell und der Risiko-Bewertung ab — sind aber grundsätzlich vergleichbar mit den Anforderungen an größere Unternehmen, mit Erleichterungen beim Aufsichts-Niveau.

Wer kontrolliert die NIS-2-Umsetzung?

Die zentrale Aufsicht liegt beim BSI. Daneben können sektorspezifische Aufsichtsbehörden zuständig sein — etwa BaFin im Finanzwesen oder Bundesnetzagentur in Telekommunikation und Energie. Aufsichts-Maßnahmen umfassen Stichproben-Audits, Anlass-Prüfungen nach Vorfällen und in Einzelfällen anlasslose Vor-Ort-Prüfungen bei wesentlichen Einrichtungen.

Was passiert, wenn wir uns nicht beim BSI registrieren?

Die Nicht-Registrierung ist ein eigenständiger Bußgeld-Tatbestand. Unternehmen, die offensichtlich unter NIS-2 fallen und sich nicht registrieren, riskieren ein Bußgeldverfahren. Die Registrierung selbst ist organisatorisch unaufwendig — sie sollte deshalb als erster Schritt jeder NIS-2-Umsetzung erfolgen, parallel zur eigentlichen Compliance-Arbeit.

Unser Ansatz

Wie wir Sie bei der NIS-2-Umsetzung unterstützen.

Wir prüfen zunächst Ihre Betroffenheit — ob Sie unter NIS-2 fallen und in welcher Klasse. Daran schließt sich eine strukturierte Gap-Analyse gegen die zehn NIS2UmsuCG-Mindestanforderungen an, die Lücken zur Compliance offenlegt. Aus dieser Analyse entsteht ein priorisierter Maßnahmenplan, den wir mit Ihnen umsetzen oder begleiten.

Besonders wichtig: Wir bereiten die Geschäftsleitung gezielt auf ihre persönliche Haftung nach §38 NIS2UmsuCG vor — mit Briefings, Schulungs-Nachweisen und einer dokumentierten Governance-Struktur. Bestehende ISO-27001-Strukturen werden integriert, nicht ersetzt.

Erstgespräch zur NIS-2-Betroffenheit.

30 Minuten. Wir klären, ob Sie unter NIS-2 fallen, in welcher Klasse und welche Schritte als nächstes anstehen — einschließlich BSI-Registrierung und Geschäftsleitungs-Briefing.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

NIS-2 ist Teil eines größeren Compliance-Bildes.

In den meisten Mandaten überschneidet sich NIS-2 mit anderen Regulierungs- und Sicherheits-Themen:

Informationssicherheits-Managementsystem Ein ISO-27001-ISMS deckt 70–80 Prozent der NIS-2-Pflichten ab KRITIS-Beratung Viele NIS-2-Einrichtungen fallen zusätzlich unter §8a BSIG Security Awareness Schulung Schulungspflichten der Geschäftsleitung und Mitarbeitenden sind NIS-2-Kern