Die NIS2-Richtlinie (EU-Richtlinie 2022/2555)[1] weitet den Kreis der betroffenen Unternehmen massiv aus: Statt bisher rund 2.000 Betreiber kritischer Infrastruktur fallen nun geschätzt 29.000 bis 40.000 Unternehmen in Deutschland unter die verschärften Cybersecurity-Pflichten — die häufig genannte Zahl von rund 30.000 Unternehmen stammt aus Schätzungen des BMI im Rahmen des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz (NIS2UmsuCG).[2][3] Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft — die Pflichten gelten ohne Übergangsfrist.[3] Die Geschäftsführung haftet persönlich.

Sind Sie betroffen?

Die Betroffenheitsprüfung klärt, ob NIS2 aus Empfehlung zur gesetzlichen Pflicht wird.
Abbildung 1: Die Betroffenheitsprüfung klärt, ob NIS2 aus Empfehlung zur gesetzlichen Pflicht wird.

NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in 18 Sektoren:[1]

  • Wesentlich (strengere Aufsicht): Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum
  • Wichtig: Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung

Neu und oft übersehen: Die Lieferketten-Klausel (Artikel 21 Abs. 2 lit. d der Richtlinie).[1] Auch Zulieferer betroffener Unternehmen müssen Sicherheitsstandards nachweisen. Ein mittelständischer IT-Dienstleister mit 60 Mitarbeitenden, der Krankenhäuser betreut, fällt damit unter NIS2. Das BSI bietet eine Online-Betroffenheitsprüfung an.[4]

Meldepflichten: 24 Stunden, nicht 72

NIS2-Meldepflichten verlangen klare Abläufe, bevor ein Sicherheitsvorfall eskaliert.
Abbildung 2: NIS2-Meldepflichten verlangen klare Abläufe, bevor ein Sicherheitsvorfall eskaliert.

NIS2 verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich (Artikel 23 der Richtlinie):[1]

  • 24 Stunden: Erste Meldung an BSI (Frühwarnung) — auch am Wochenende
  • 72 Stunden: Detaillierte Vorfallsmeldung mit erster Bewertung der Auswirkungen
  • 1 Monat: Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen

Das bedeutet: Sie brauchen einen Incident-Response-Prozess, der rund um die Uhr funktioniert. Eine Meldung um 3 Uhr morgens am Sonntag muss genauso möglich sein wie am Dienstag um 10 Uhr. Wer keine 24/7-Bereitschaft hat, braucht einen externen Incident-Response-Dienstleister.

Die persönliche Haftung der Geschäftsführung ist der eigentliche Gamechanger von NIS2. Cybersecurity ist damit keine IT-Aufgabe mehr — es ist Chefsache. Und zwar nicht optional.

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen müssen als zusammenhängendes Kontrollsystem funktionieren.
Abbildung 3: Technische und organisatorische Maßnahmen müssen als zusammenhängendes Kontrollsystem funktionieren.

NIS2 fordert einen risikobasierten Ansatz mit mindestens diesen Elementen (Artikel 21 der Richtlinie):[1]

  • Risikoanalyse: Systematische Bewertung der IT-Risiken, mindestens jährlich aktualisiert
  • Incident Handling: Dokumentierte Prozesse für Erkennung, Reaktion und Wiederherstellung
  • Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement
  • Supply Chain Security: Sicherheitsanforderungen an Lieferanten und Dienstleister vertraglich festlegen
  • Kryptografie und Verschlüsselung: Angemessener Einsatz nach Stand der Technik
  • Zugangskontrolle: Multi-Faktor-Authentifizierung für privilegierte Zugänge, Zero-Trust-Ansätze
  • Schulungen: Regelmäßige Cybersecurity-Awareness für alle Mitarbeitenden, speziell für die Geschäftsleitung

Das BSI empfiehlt den IT-Grundschutz als Rahmenwerk zur Erfüllung der NIS2-Anforderungen.[5]

Geschäftsführerhaftung — das unterschätzte Risiko

Die Haftungsfrage macht Cybersicherheit endgültig zur Geschäftsführungsaufgabe.
Abbildung 4: Die Haftungsfrage macht Cybersicherheit endgültig zur Geschäftsführungsaufgabe.

NIS2 macht Cybersecurity zur persönlichen Verantwortung der Geschäftsleitung (Artikel 20 der Richtlinie):[1]

  • Genehmigungspflicht: Die Geschäftsführung muss Risikomanagement-Maßnahmen formell genehmigen
  • Schulungspflicht: Geschäftsführer müssen selbst an Cybersecurity-Schulungen teilnehmen
  • Persönliche Haftung: Bei Pflichtverletzungen können Geschäftsführer persönlich haftbar gemacht werden
  • Bußgelder: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen; bis zu 7 Millionen Euro oder 1,4 % des Umsatzes für wichtige Einrichtungen (Artikel 34 der Richtlinie)[1][6]

Das ist kein theoretisches Risiko. Die Aufsichtsbehörden erhalten mit NIS2 deutlich erweiterte Befugnisse für Audits und Durchsetzung.

Was das für Ihre IT-Strategie bedeutet

  1. Führen Sie sofort eine Betroffenheitsprüfung durch — nutzen Sie die BSI-Online-Prüfung[4] und prüfen Sie Sektor, Unternehmensgröße und Lieferkettenbeziehungen
  2. Implementieren Sie einen 24/7-fähigen Incident-Response-Prozess — intern oder über einen MSSP
  3. Dokumentieren Sie Ihre Risikoanalyse formal und lassen Sie sie von der Geschäftsführung unterzeichnen
  4. Buchen Sie eine Cybersecurity-Schulung für Ihre Geschäftsleitung — die Teilnahme ist Pflicht, nicht Kür
  5. Überprüfen Sie alle Lieferantenverträge auf Cybersecurity-Klauseln — NIS2 macht Sie für Ihre Lieferkette mitverantwortlich

Quellen und Referenzen

  1. Europäisches Parlament und Rat: Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie), Amtsblatt der Europäischen Union, 14. Dezember 2022. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  2. Bundesministerium des Innern und für Heimat (BMI): Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), 2024.
  3. Datensicherheit.de: "Cybersicherheitsrecht verschärft — NIS-2-Umsetzungsgesetz seit 6. Dezember 2025 wirksam", 2025. https://www.datensicherheit.de
  4. Bundesamt für Sicherheit in der Informationstechnik (BSI): NIS-2-Betroffenheitsprüfung, 2025. https://www.bsi.bund.de
  5. Bundesamt für Sicherheit in der Informationstechnik (BSI): "IT-Grundschutz-Kompendium", Edition 2024. https://www.bsi.bund.de/IT-Grundschutz
  6. NIS2 Directive EU: "NIS2 Fines and Penalties", 2024. https://nis2directive.eu/nis2-fines/
  7. IHK: "NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen", 2024.