Im Oktober 2024 lief die EU-Frist zur Umsetzung der NIS2-Richtlinie (Network and Information Security Directive 2) ab - Deutschland hat sie mit Verspätung umgesetzt: Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft und gilt ohne Übergangsfrist für rund 29.500 Unternehmen. Was zunächst wie eine weitere Compliance-Anforderung klingt, ist in Wirklichkeit die größte Erweiterung der Cybersicherheitspflichten für Unternehmen in der Geschichte der Europäischen Union.
Wer ist von NIS2 betroffen?
NIS2 betrifft Unternehmen aus 18 Sektoren mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Die Richtlinie unterscheidet zwischen 'wesentlichen' und 'wichtigen' Einrichtungen.
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Bahn, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Cloud, Rechenzentren, DNS)
- IKT-Dienstleistungsmanagement
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie, Lebensmittel, Fertigung
- Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
Welche Maßnahmen sind nach Art. 21 NIS2 vorgeschrieben?
Artikel 21 der NIS2-Richtlinie definiert 10 Mindestanforderungen, die alle betroffenen Einrichtungen umsetzen müssen:
- Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
- Bewältigung von Sicherheitsvorfällen (Incident Management)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette (Supply Chain Security)
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
- Grundlegende Cyberhygiene und Cybersicherheitsschulungen
- Kryptografie und Verschlüsselung
- Personalsicherheit und Zugangskontrollen
- Verwendung von Multi-Faktor-Authentifizierung
Welche Strafen drohen bei NIS2-Verstößen?
Die Bußgelder bei NIS2-Verstößen sind empfindlich hoch, vergleichbar mit der DSGVO:
- Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
- Persönliche Haftung von Geschäftsführern bei grober Fahrlässigkeit
Wichtig: Geschäftsführer und Vorstände haften persönlich für schwere NIS2-Verstöße. Das BSI kann die öffentliche Bekanntmachung von Verstößen anordnen.
Registrierungspflicht beim BSI: Die Frist ist abgelaufen
Betroffene Einrichtungen mussten sich bis zum 6. März 2026 beim BSI registrieren. Seit dem 6. Januar 2026 steht dafür das Melde- und Informationsportal (MIP) des BSI bereit. Wer die Registrierung versäumt hat, sollte sie unverzüglich nachholen - eine fehlende Registrierung ist bußgeldbewehrt und fällt der Aufsichtsbehörde spätestens beim ersten meldepflichtigen Sicherheitsvorfall auf.
NIS2-Umsetzung: Die wichtigsten ersten Schritte
Schritt 1: Betroffenheitsprüfung
Prüfen Sie zunächst, ob Ihr Unternehmen in einen der 18 NIS2-Sektoren fällt und die Schwellenwerte (50 MA oder 10 Mio. € Umsatz) überschreitet. Nutzen Sie unseren kostenlosen NIS2-Check für eine erste Einschätzung.
Schritt 2: Gap-Analyse
Eine strukturierte Gap-Analyse vergleicht Ihren aktuellen Sicherheitsstatus mit den NIS2-Anforderungen und identifiziert konkrete Handlungsfelder.
Schritt 3: Maßnahmenplan und Umsetzung
Priorisieren Sie die identifizierten Lücken nach Risiko und erstellen Sie einen realistischen Umsetzungsplan. Technische Maßnahmen (Pentest, MFA, Logging) und organisatorische Maßnahmen (Richtlinien, Schulungen) greifen ineinander.
Fazit: NIS2 als Chance begreifen
NIS2 erzwingt das, was in der IT-Sicherheit ohnehin Best Practice ist. Unternehmen, die NIS2-Anforderungen erfüllen, sind schlicht sicherer aufgestellt. Ein professioneller Pentest als Teil der NIS2-Umsetzung ist dabei einer der wirksamsten Schritte. Erfahren Sie mehr über unsere NIS2-Compliance-Beratung oder laden Sie unsere NIS2-Checkliste als PDF herunter.
Häufige Fragen
Wer ist von NIS2 betroffen?
NIS2 betrifft Unternehmen aus 18 Sektoren mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur und Fertigung.
Welche Strafen drohen bei NIS2-Verstößen?
Wesentliche Einrichtungen können mit bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes bestraft werden. Wichtige Einrichtungen mit bis zu 7 Millionen Euro oder 1,4% des Umsatzes.
Was muss bis wann nach NIS2 umgesetzt werden?
Das deutsche NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten. Registrierungs-, Melde- und Risikomanagementpflichten gelten seitdem unmittelbar; die Frist zur Registrierung beim BSI lief am 6. März 2026 ab.
Passende Leistung
NIS2-Compliance Beratung
Betroffenheitsprüfung, Gap-Analyse und Umsetzung nach Art. 21 NIS2.
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.
