Die NIS2-Richtlinie (EU-Richtlinie 2022/2555)[1] weitet den Kreis der betroffenen Unternehmen massiv aus: Statt bisher rund 2.000 Betreiber kritischer Infrastruktur fallen nun geschätzt 29.000 bis 40.000 Unternehmen in Deutschland unter die verschärften Cybersecurity-Pflichten — die häufig genannte Zahl von rund 30.000 Unternehmen stammt aus Schätzungen des BMI im Rahmen des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz (NIS2UmsuCG).[2][3] Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft — die Pflichten gelten ohne Übergangsfrist.[3] Die Geschäftsführung haftet persönlich.

Sind Sie betroffen?

Die Betroffenheitsprüfung klärt, ob NIS2 aus Empfehlung zur gesetzlichen Pflicht wird.
Abbildung 1: Die Betroffenheitsprüfung klärt, ob NIS2 aus Empfehlung zur gesetzlichen Pflicht wird.

NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Betroffen sind Unternehmen in 18 Sektoren, die mindestens 50 Mitarbeitende beschäftigen — oder deren Jahresumsatz und Jahresbilanzsumme jeweils über 10 Millionen Euro liegen. Bestimmte Einrichtungen, etwa Anbieter digitaler Infrastruktur, fallen unabhängig von ihrer Größe unter die Regelung:[1]

  • Wesentlich (strengere Aufsicht): Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum
  • Wichtig: Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung

Neu und oft übersehen: die Sicherheit der Lieferkette (Artikel 21 Abs. 2 lit. d der Richtlinie).[1] Regulierte Unternehmen müssen die Risiken ihrer Zulieferer und Dienstleister im eigenen Risikomanagement adressieren — und reichen die Anforderungen in der Praxis vertraglich an ihre Lieferanten weiter. Wer selbst nicht unter NIS2 fällt, bekommt die Pflichten so über Kundenverträge zu spüren. Davon zu unterscheiden ist die direkte Betroffenheit: Ein mittelständischer IT-Dienstleister mit 60 Mitarbeitenden, der Krankenhäuser betreut, kann selbst unter NIS2 fallen — nicht wegen der Lieferketten-Klausel, sondern weil er als Anbieter verwalteter Dienste (Managed Service Provider) zu den regulierten Einrichtungen gehört. Das BSI bietet eine Online-Betroffenheitsprüfung an.[4]

Registrierungspflicht nicht vergessen: Das NIS2UmsuCG verpflichtet betroffene Einrichtungen, sich innerhalb von drei Monaten, nachdem sie erstmals unter das Gesetz fallen, beim BSI zu registrieren — über das BSI-Portal (portal.bsi.bund.de) mit einem ELSTER-Organisationszertifikat. Für Unternehmen, die bereits seit Inkrafttreten betroffen sind, ist diese Frist inzwischen abgelaufen; das BSI fordert Nachzügler ausdrücklich auf, die Registrierung umgehend nachzuholen.[3]

Meldepflichten: 24 Stunden, nicht 72

NIS2-Meldepflichten verlangen klare Abläufe, bevor ein Sicherheitsvorfall eskaliert.
Abbildung 2: NIS2-Meldepflichten verlangen klare Abläufe, bevor ein Sicherheitsvorfall eskaliert.

NIS2 verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich (Artikel 23 der Richtlinie):[1]

  • 24 Stunden: Erste Meldung an BSI (Frühwarnung) — auch am Wochenende
  • 72 Stunden: Detaillierte Vorfallsmeldung mit erster Bewertung der Auswirkungen
  • 1 Monat: Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen

Das bedeutet: Sie brauchen einen Incident-Response-Prozess, der rund um die Uhr funktioniert. Eine Meldung um 3 Uhr morgens am Sonntag muss genauso möglich sein wie am Dienstag um 10 Uhr. Wer keine 24/7-Bereitschaft hat, braucht einen externen Incident-Response-Dienstleister.

Die persönliche Haftung der Geschäftsführung ist der eigentliche Gamechanger von NIS2. Cybersecurity ist damit keine IT-Aufgabe mehr — es ist Chefsache. Und zwar nicht optional.

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen müssen als zusammenhängendes Kontrollsystem funktionieren.
Abbildung 3: Technische und organisatorische Maßnahmen müssen als zusammenhängendes Kontrollsystem funktionieren.

NIS2 fordert einen risikobasierten Ansatz mit mindestens diesen Elementen (Artikel 21 der Richtlinie):[1]

  • Risikoanalyse: Systematische Bewertung der IT-Risiken, mindestens jährlich aktualisiert
  • Incident Handling: Dokumentierte Prozesse für Erkennung, Reaktion und Wiederherstellung
  • Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement
  • Supply Chain Security: Sicherheitsanforderungen an Lieferanten und Dienstleister vertraglich festlegen
  • Kryptografie und Verschlüsselung: Angemessener Einsatz nach Stand der Technik
  • Zugangskontrolle: Multi-Faktor-Authentifizierung für privilegierte Zugänge, Zero-Trust-Ansätze
  • Schulungen: Regelmäßige Cybersecurity-Awareness für alle Mitarbeitenden, speziell für die Geschäftsleitung

Das BSI empfiehlt den IT-Grundschutz als Rahmenwerk zur Erfüllung der NIS2-Anforderungen.[5]

Geschäftsführerhaftung — das unterschätzte Risiko

Die Haftungsfrage macht Cybersicherheit endgültig zur Geschäftsführungsaufgabe.
Abbildung 4: Die Haftungsfrage macht Cybersicherheit endgültig zur Geschäftsführungsaufgabe.

NIS2 macht Cybersecurity zur persönlichen Verantwortung der Geschäftsleitung (Artikel 20 der Richtlinie):[1]

  • Genehmigungspflicht: Die Geschäftsführung muss Risikomanagement-Maßnahmen formell genehmigen
  • Schulungspflicht: Geschäftsführer müssen selbst an Cybersecurity-Schulungen teilnehmen
  • Persönliche Haftung: Bei Pflichtverletzungen können Geschäftsführer persönlich haftbar gemacht werden
  • Bußgelder: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen; bis zu 7 Millionen Euro oder 1,4 % des Umsatzes für wichtige Einrichtungen (Artikel 34 der Richtlinie)[1]

Das ist kein theoretisches Risiko. Die Aufsichtsbehörden erhalten mit NIS2 deutlich erweiterte Befugnisse für Audits und Durchsetzung.

Was das für Ihre IT-Strategie bedeutet

  1. Führen Sie sofort eine Betroffenheitsprüfung durch — nutzen Sie die BSI-Online-Prüfung[4] und prüfen Sie Sektor, Unternehmensgröße und Lieferkettenbeziehungen
  2. Registrieren Sie Ihre Einrichtung beim BSI — die gesetzliche Frist von drei Monaten nach Eintritt der Betroffenheit ist für Bestandsfälle bereits abgelaufen; die Registrierung erfolgt über das BSI-Portal (portal.bsi.bund.de) mit ELSTER-Organisationszertifikat[3]
  3. Implementieren Sie einen 24/7-fähigen Incident-Response-Prozess — intern oder über einen MSSP
  4. Dokumentieren Sie Ihre Risikoanalyse formal und lassen Sie sie von der Geschäftsführung unterzeichnen
  5. Buchen Sie eine Cybersecurity-Schulung für Ihre Geschäftsleitung — die Teilnahme ist Pflicht, nicht Kür
  6. Überprüfen Sie alle Lieferantenverträge auf Cybersecurity-Klauseln — NIS2 macht Sie für Ihre Lieferkette mitverantwortlich

Quellen und Referenzen

  1. Europäisches Parlament und Rat: Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-Richtlinie), Amtsblatt der Europäischen Union, 14. Dezember 2022. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  2. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), verkündet im Bundesgesetzblatt Teil I, Dezember 2025. https://www.recht.bund.de
  3. Bundesamt für Sicherheit in der Informationstechnik (BSI): "NIS-2-regulierte Unternehmen" — Informationen zu Inkrafttreten, Registrierung und Pflichten, 2025/2026. https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
  4. Bundesamt für Sicherheit in der Informationstechnik (BSI): NIS-2-Betroffenheitsprüfung. https://betroffenheitspruefung-nis-2.bsi.de/
  5. Bundesamt für Sicherheit in der Informationstechnik (BSI): "IT-Grundschutz-Kompendium", Edition 2024. https://www.bsi.bund.de/IT-Grundschutz