NIS-2-Richtlinie: Diese Pflichten gelten jetzt für Unternehmen
Das NIS-2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025. Erfahren Sie, welche Unternehmen betroffen sind, welche Pflichten jetzt gelten und wie Sie die Anforderungen des Gesetzes Schritt für Schritt umsetzen.
Das Wichtigste auf einen Blick
- Das NIS-2-Umsetzungsgesetz gilt in Deutschland seit dem 6. Dezember 2025 und verschärft die Anforderungen an die Cybersicherheit.
- Rund 29.500 Unternehmen sind nach Schätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) direkt von den neuen Vorgaben betroffen.
- Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Für die Registrierung gilt derzeit eine Nachfrist bis 31. Juli 2026.
- Geschäftsleitungen sind verpflichtet, geeignete Risikomanagementmaßnahmen umzusetzen, deren Einhaltung zu überwachen und regelmäßig Schulungen zu absolvieren.
- Verstöße gegen die gesetzlichen Vorgaben können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden.
Das NIS-2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 und verpflichtet rund 29.500 Unternehmen in Deutschland zu Cybersicherheitsmaßnahmen, einer Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie zur Einhaltung gesetzlicher Meldepflichten bei Sicherheitsvorfällen. Betroffen sind nicht mehr nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche mittelständische Unternehmen sowie in vielen Fällen deren Zulieferer. Wer unter das Gesetz fällt, muss organisatorische und technische Sicherheitsmaßnahmen umsetzen, Verantwortlichkeiten festlegen und die Anforderungen dauerhaft nachweisen können. Dieser Artikel zeigt, welche Unternehmen betroffen sind, welche Pflichten gelten und wie sich die gesetzlichen Vorgaben in der Praxis umsetzen lassen.
Inhaltsverzeichnis
- Was ist die NIS-2-Richtlinie und was ist das NIS-2-Umsetzungsgesetz?
- Welche Unternehmen sind von NIS-2 betroffen?
- Welche Pflichten gelten seit Dezember 2025?
- Wie funktioniert die BSI-Registrierung?
- Welche Meldepflichten gelten bei Sicherheitsvorfällen?
- Welche Pflichten hat die Geschäftsleitung?
- NIS-2-Checkliste: Wie setzen Unternehmen die Anforderungen jetzt um?
- NIS 2: Fazit
Was ist die NIS-2-Richtlinie und was ist das NIS-2-Umsetzungsgesetz?
Die NIS-2-Richtlinie (EU-Richtlinie 2022/2555) ist eine europäische Richtlinie, die ein einheitlich hohes Cybersicherheitsniveau in den Mitgliedstaaten schaffen und die Widerstandsfähigkeit wichtiger Einrichtungen gegenüber Cyberangriffen stärken soll. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und erweitert den Kreis der betroffenen Unternehmen sowie die Anforderungen an das Risikomanagement deutlich.
In Deutschland wurde die Richtlinie durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt. Das Gesetz wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und ist seit diesem Tag ohne Übergangsfrist in Kraft. Kern der Umsetzung ist die Novellierung des BSI-Gesetzes (BSIG), das die Pflichten betroffener Unternehmen, die Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Melde- und Registrierungsverfahren verbindlich regelt.
Ziel der neuen Regelungen ist es, Cybersicherheitsrisiken frühzeitig zu erkennen, Sicherheitsvorfälle wirksam zu bewältigen und die Widerstandsfähigkeit kritischer und besonders wichtiger Einrichtungen sowie weiterer betroffener Unternehmen nachhaltig zu stärken.
Welche Unternehmen sind von NIS-2 betroffen?
Unternehmen sind von der NIS-2-Richtlinie betroffen, wenn sie einer der im BSI-Gesetz definierten Branchen angehören und in der Regel mindestens 50 Mitarbeitende oder einen Jahresumsatz beziehungsweise eine Jahresbilanzsumme von mehr als 10 Millionen Euro erreichen. Neben großen Unternehmen fallen damit auch zahlreiche mittelständische Betriebe unter die gesetzlichen Vorgaben.
Das NIS-2-Umsetzungsgesetz unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Beide Kategorien unterliegen den Anforderungen des BSI-Gesetzes. Unterschiede bestehen vor allem bei der behördlichen Aufsicht und dem Bußgeldrahmen.
| Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
| höhere Kritikalität | sonstige kritische Sektoren |
| intensivere Aufsicht | überwiegend anlassbezogene Aufsicht |
| Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Bußgelder bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Zu den betroffenen Sektoren gehören insbesondere:
- Energie
- Verkehr und Transport
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasserentsorgung
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe und Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Welche Unternehmen innerhalb dieser Sektoren konkret unter die gesetzlichen Vorgaben fallen, richtet sich nach den Anlagen 1 und 2 des BSI-Gesetzes (BSIG). Neben der Branchenzugehörigkeit sind insbesondere die Unternehmensgröße und weitere gesetzliche Kriterien maßgeblich.
Kleine Unternehmen sind grundsätzlich nicht von den Größenkriterien erfasst. In bestimmten Fällen können sie dennoch unter die NIS-2-Vorgaben fallen, etwa wenn sie besondere digitale Dienste erbringen oder aufgrund ihrer Tätigkeit ausdrücklich vom Gesetz erfasst werden.
Auch Unternehmen, die die gesetzlichen Schwellenwerte nicht erreichen, können mittelbar betroffen sein. Viele nach NIS-2 regulierte Unternehmen verlangen von ihren Lieferanten und Dienstleistern Nachweise über geeignete Cybersicherheitsmaßnahmen. Dadurch können auch für kleinere Unternehmen Anforderungen innerhalb der Lieferkette entstehen.
Betroffenheitsprüfung: Prüfen Sie Ihr Unternehmen beim BSI
Ob Ihr Unternehmen unter die NIS-2-Regelungen fällt, müssen Sie selbst prüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert betroffene Unternehmen nicht automatisch. Das BSI stellt eine kostenfreie Online-Betroffenheitsprüfung zur Verfügung. Anhand eines Fragenkatalogs können Unternehmen eine erste Einschätzung erhalten, ob sie unter die Regelungen des NIS-2-Umsetzungsgesetzes fallen. Das Ergebnis dient als Orientierungshilfe und ersetzt keine rechtliche Prüfung. Das BSI informiert betroffene Unternehmen nicht aktiv, sodass die Prüfung der eigenen Betroffenheit in der Verantwortung des Unternehmens liegt.
Welche Pflichten gelten seit Dezember 2025?
Betroffene Unternehmen müssen seit Inkrafttreten des NIS-2-Umsetzungsgesetzes geeignete Cybersicherheitsmaßnahmen umsetzen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Sicherheitsvorfälle fristgerecht melden. Die Anforderungen dienen dazu, Cyberrisiken zu reduzieren und die Widerstandsfähigkeit von Unternehmen gegenüber Angriffen zu erhöhen.
1. Risikomanagementmaßnahmen umsetzen
Das BSI-Gesetz verpflichtet betroffene Unternehmen dazu, angemessene technische, organisatorische und personelle Maßnahmen zum Schutz ihrer Netzwerk- und Informationssysteme zu ergreifen. Dazu gehören insbesondere:
- Risikoanalysen und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen (Incident Response)
- Business Continuity Management sowie Backup- und Wiederherstellungskonzepte
- Sicherheit in der Lieferkette
- Sichere Beschaffung, Entwicklung und Wartung von IT-Systemen
- Regelmäßige Überprüfung der Wirksamkeit der Sicherheitsmaßnahmen
- Cyberhygiene sowie Schulungen und Sensibilisierung der Beschäftigten
- Einsatz von Kryptografie und Verschlüsselungsverfahren
- Zugriffskontrollen, Personalsicherheit und Schutz kritischer Systeme
- Multi-Faktor-Authentifizierung sowie sichere Sprach-, Video- und Textkommunikation.
2. Registrierung beim BSI
Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren und die gesetzlich geforderten Unternehmensdaten übermitteln. Die Registrierung erfolgt über das BSI-Melde- und Informationsportal (MIP). Wie die Registrierung abläuft und welche Fristen gelten, erläutern wir im nächsten Abschnitt.
3. Sicherheitsvorfälle melden
Unternehmen sind verpflichtet, erhebliche Sicherheitsvorfälle innerhalb der gesetzlichen Fristen an das BSI zu melden. Dazu gehören eine Frühwarnung, eine ausführliche Meldung sowie ein Abschlussbericht. Die einzelnen Meldefristen und der Ablauf werden im weiteren Verlauf dieses Beitrags erläutert.
Wie funktioniert die BSI-Registrierung?
Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Registrierung erfolgt online über das BSI-Melde- und Informationsportal (MIP) und dient dazu, betroffene Einrichtungen zu erfassen sowie eine schnelle Kommunikation bei Sicherheitsvorfällen sicherzustellen.
Die Registrierung erfolgt in wenigen Schritten:
- Betroffenheit prüfen: Stellen Sie zunächst fest, ob Ihr Unternehmen unter das NIS-2-Umsetzungsgesetz fällt. Das BSI stellt dafür eine Online-Betroffenheitsprüfung zur Verfügung.
- Unternehmensdaten erfassen: Halten Sie die erforderlichen Angaben bereit. Dazu gehören unter anderem der Unternehmensname, die Rechtsform, die Kontaktdaten, die zuständigen Ansprechpersonen sowie Informationen zur betroffenen Einrichtung und zum jeweiligen Sektor.
- Registrierung im MIP abschließen: Übermitteln Sie die erforderlichen Daten über das BSI-Melde- und Informationsportal (MIP). Änderungen der Unternehmensdaten sollten zeitnah aktualisiert werden.
Die reguläre Registrierungsfrist endete am 6. März 2026. Aufgrund der bislang geringen Zahl registrierter Unternehmen hat das BSI eine Nachfrist bis zum 31. Juli 2026 eingeräumt. Unternehmen, die ihre Registrierung noch nicht vorgenommen haben, sollten dies daher schnellstmöglich nachholen. Eine verspätete Registrierung ist deutlich besser als eine unterlassene Registrierung.
Unternehmen, die ihrer Registrierungspflicht nicht nachkommen, müssen mit aufsichtsrechtlichen Maßnahmen und Bußgeldern rechnen.
Welche Meldepflichten gelten bei Sicherheitsvorfällen?
Betroffene Unternehmen müssen erhebliche Sicherheitsvorfälle unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Das NIS-2-Umsetzungsgesetz sieht dafür ein dreistufiges Meldeverfahren vor, das über das BSI-Melde- und Informationsportal (MIP) abgewickelt wird.
- Frühwarnung innerhalb von 24 Stunden: Sobald ein erheblicher Sicherheitsvorfall bekannt wird, ist innerhalb von 24 Stunden eine erste Meldung an das BSI erforderlich. Sie dient dazu, die Behörde frühzeitig über den Vorfall zu informieren.
- Ausführliche Meldung innerhalb von 72 Stunden: Innerhalb von 72 Stunden muss eine detaillierte Meldung erfolgen. Sie enthält unter anderem Informationen über die Art des Vorfalls, mögliche Auswirkungen sowie bereits eingeleitete Gegenmaßnahmen.
- Abschlussbericht innerhalb eines Monats: Spätestens einen Monat nach dem Sicherheitsvorfall ist ein Abschlussbericht einzureichen. Auf Anforderung des BSI können zusätzlich Zwischenmeldungen erforderlich sein.
Sind bei einem Sicherheitsvorfall auch personenbezogene Daten betroffen, gelten neben den Vorgaben des NIS-2-Umsetzungsgesetzes auch die Meldepflichten der Datenschutz-Grundverordnung (DSGVO).
Welche Pflichten hat die Geschäftsleitung?
Die Geschäftsleitung trägt nach § 38 BSIG die persönliche Verantwortung für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen. Diese Pflicht kann nicht vollständig auf andere Personen oder Abteilungen übertragen werden. Auch wenn Fachbereiche oder externe Dienstleister mit der Umsetzung beauftragt werden, bleibt die Gesamtverantwortung bei der Geschäftsleitung.
Zu den zentralen Aufgaben gehören:
- die Umsetzung angemessener Risikomanagementmaßnahmen sicherzustellen,
- deren Wirksamkeit regelmäßig zu überwachen,
- ausreichende personelle und finanzielle Ressourcen bereitzustellen sowie
- dafür zu sorgen, dass die gesetzlichen Anforderungen dauerhaft eingehalten werden.
Darüber hinaus verpflichtet § 38 BSIG die Mitglieder der Geschäftsleitung, regelmäßig an Schulungen zur Cybersicherheit teilzunehmen. Ziel ist es, Cyberrisiken besser beurteilen und fundierte Entscheidungen zum Schutz des Unternehmens treffen zu können.
Verletzt die Geschäftsleitung ihre gesetzlichen Pflichten schuldhaft, kann sie nach den allgemeinen gesellschaftsrechtlichen Vorschriften gegenüber dem Unternehmen auf Schadensersatz haften. Die im Zusammenhang mit früheren Gesetzesentwürfen diskutierte persönliche Haftung mit dem Privatvermögen oder eine Haftung in Höhe von zwei Prozent des weltweiten Jahresumsatzes ist nicht Bestandteil des geltenden Rechts.
Welche Bußgelder drohen bei Verstößen?
Verstöße gegen die Vorgaben des NIS-2-Umsetzungsgesetzes können mit erheblichen Bußgeldern geahndet werden. Die Höhe der Sanktionen richtet sich danach, ob ein Unternehmen als besonders wichtige oder wichtige Einrichtung eingestuft ist. Maßgeblich ist jeweils der höhere Betrag aus dem festgelegten Bußgeld oder dem prozentualen Anteil am weltweiten Jahresumsatz.
| Einrichtung | Maximaler Bußgeldrahmen |
| Besonders wichtige Einrichtungen | bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes |
Die Einhaltung der gesetzlichen Anforderungen ist daher nicht nur aus Sicht der Cybersicherheit wichtig. Unternehmen sollten ihre Pflichten regelmäßig überprüfen und dokumentieren, um aufsichtsrechtliche Maßnahmen und Bußgelder zu vermeiden.
Digitale Transformation im Mittelstand erfolgreich umsetzen
Mit den passenden Lösungen von Sage digitalisieren Sie Ihre Geschäftsprozesse, automatisieren Abläufe und schaffen die Grundlage für mehr Effizienz und nachhaltiges Wachstum.
NIS-2-Checkliste: Wie setzen Unternehmen die Anforderungen jetzt um?
Unternehmen sollten die Anforderungen des NIS-2-Umsetzungsgesetzes systematisch umsetzen. Die folgende Checkliste hilft dabei, die wichtigsten Schritte in der richtigen Reihenfolge anzugehen.
- Betroffenheit prüfen
Prüfen Sie zunächst, ob Ihr Unternehmen unter das NIS-2-Umsetzungsgesetz fällt. Das BSI stellt dafür eine Online-Betroffenheitsprüfung zur Verfügung. - Verantwortlichkeiten festlegen
Benennen Sie klare Zuständigkeiten für die Cybersicherheit und Compliance. Die Geschäftsleitung bleibt für die Umsetzung und Überwachung der gesetzlichen Anforderungen verantwortlich. - Gap-Analyse durchführen
Vergleichen Sie den aktuellen Stand Ihrer IT-Sicherheitsmaßnahmen mit den gesetzlichen Anforderungen. So lassen sich Schwachstellen erkennen und priorisieren. - BSI-Registrierung abschließen
Registrieren Sie Ihr Unternehmen über das BSI-Melde- und Informationsportal (MIP) und halten Sie Ihre Unternehmensdaten aktuell. - Sicherheitsmaßnahmen priorisieren
Setzen Sie die erforderlichen technischen und organisatorischen Maßnahmen schrittweise um, von Risikoanalysen und Backup-Konzepten bis hin zu Zugriffskontrollen und Multi-Faktor-Authentifizierung. - Meldeprozesse einrichten
Definieren Sie interne Abläufe für die Erkennung, Bewertung und Meldung von Sicherheitsvorfällen, damit die gesetzlichen Fristen eingehalten werden können. - Geschäftsleitung und Mitarbeiter schulen
Sensibilisieren Sie Ihre Beschäftigten regelmäßig für Cyberrisiken und stellen Sie sicher, dass die Geschäftsleitung ihrer gesetzlichen Schulungspflicht nachkommt. - Lieferkette einbeziehen
Berücksichtigen Sie auch Dienstleister und Lieferanten. Viele Unternehmen verlangen inzwischen Nachweise über angemessene Cybersicherheitsmaßnahmen, sodass auch kleinere Unternehmen unterhalb der gesetzlichen Schwellenwerte indirekt von den Anforderungen betroffen sein können.
Auch Unternehmen, die nicht unmittelbar unter das NIS-2-Umsetzungsgesetz fallen, sollten ihre Cybersicherheitsmaßnahmen regelmäßig überprüfen. Auftraggeber fordern zunehmend Nachweise über die Sicherheit ihrer Lieferkette. Wer sich frühzeitig vorbereitet, stärkt nicht nur seine Compliance, sondern auch seine Wettbewerbsfähigkeit.
NIS 2: Fazit
Die Anforderungen des NIS-2-Umsetzungsgesetzes gehen weit über die klassische IT-Sicherheit hinaus. Unternehmen sollten ihre Betroffenheit zeitnah prüfen, bestehende Prozesse anpassen und Cybersicherheitsmaßnahmen kontinuierlich weiterentwickeln. Sichere digitale Prozesse, regelmäßige Software-Updates, Zugriffskontrollen und zuverlässige Datensicherungen bilden dabei eine wichtige Grundlage für eine nachhaltige NIS-2-Compliance.
Weitere interessante Artikel
- KI-Aufsicht: Warum die Bundesnetzagentur jetzt für Ihr Unternehmen zählt
- Digitale Transformation im Mittelstand: Wo Deutschland wirklich steht
- 5 bis 7 Stunden pro Woche gespart – mehr Effizienz im Mittelstand mit Sage 100 xRM
- Cyber Resilience Act: Was Mittelständler bis 2027 umsetzen müssen
- DSGVO und die digitale Personalakte
Interesse an weiteren Tipps & Insights zu den Themen Recht, Steuern und Finanzen?
…mit unserem Newsletter 1x im Monat
- Neue Trends aus der Business Welt
- Aktuelle Urteile verständlich erklärt
- Tipps zu Recht, Steuern & Finanzen
- Experten-Interviews, Studien u.v.m