NIS2-Umsetzung in Deutschland 2026 — Leitfaden für Unternehmen

1. Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (EU) 2022/2555 ist der Nachfolger der NIS1-Richtlinie von 2016 und trat am 16. Januar 2023 in Kraft. Sie verpflichtet die EU-Mitgliedstaaten, ein hohes gemeinsames Niveau der Cybersicherheit sicherzustellen. Die Umsetzungsfrist für nationale Rechtsvorschriften lief bis zum 17. Oktober 2024.

NIS2 erweitert den Anwendungsbereich erheblich: Statt wie bisher nur wenige „Betreiber wesentlicher Dienste" zu erfassen, gelten die Vorschriften nun für alle Unternehmen einer bestimmten Größe in bestimmten Sektoren — ohne dass eine behördliche Einzelfallentscheidung erforderlich ist.

NIS1 vs. NIS2 — der entscheidende Unterschied

Unter NIS1 identifizierten die Behörden aktiv, welche Unternehmen betroffen waren. Unter NIS2 müssen Unternehmen selbst prüfen, ob sie in den Anwendungsbereich fallen — anhand von Sektorzugehörigkeit und Unternehmensgröße. Wer nicht prüft, haftet dennoch.

Wesentliche und wichtige Einrichtungen

NIS2 unterscheidet zwei Kategorien mit unterschiedlich strengen Anforderungen:

Wesentliche Einrichtungen (essential entities) — Sektoren mit besonders hohem Risiko; unterliegen proaktiver Aufsicht und strengeren Sanktionen
Wichtige Einrichtungen (important entities) — weitere betroffene Sektoren; reaktive Aufsicht (nach Vorfällen oder Beschwerden)

2. Wer ist betroffen? Sektoren und Schwellenwerte

Schwellenwerte — Untergrenze für NIS2-Pflichten

Grundsätzlich gilt NIS2 für mittlere und große Unternehmen im betroffenen Sektor:

Mindestgröße: ≥ 50 Beschäftigte ODER ≥ 10 Mio. EUR Jahresumsatz

Kleinunternehmen (unter 50 Beschäftigte und unter 10 Mio. EUR) sind grundsätzlich ausgenommen — außer bei DNS-Diensten, TLD-Registries, qualifizierten Vertrauensdiensten und bestimmten kritischen Infrastrukturen.

Wesentliche Einrichtungen — Anhang I der NIS2-Richtlinie

Sektor	Beispiele
Energie	Strom-, Gas-, Wärme- und Wasserstoffnetze, Ladeinfrastruktur für Elektrofahrzeuge
Verkehr	Fluggesellschaften, Flughäfen, Eisenbahnunternehmen, Seehäfen, Straßenverkehrsmanagement
Bankwesen und Finanzmärkte	Kreditinstitute, Handelsplätze, zentrale Gegenparteien
Gesundheit	Krankenhäuser, Labore, Hersteller von Arzneimitteln und Medizinprodukten
Trinkwasser und Abwasser	Wasserversorger (≥ 50.000 Personen), Abwasserentsorgung
Digitale Infrastruktur	IXPs, DNS-Dienste, TLD-Registries, Cloud-Anbieter, CDN, Rechenzentren
IKT-Dienste (B2B)	Managed Service Provider (MSP), Managed Security Service Provider (MSSP)
Öffentliche Verwaltung	Behörden auf Bundes- und Landesebene
Weltraum	Bodeninfrastruktur für Satellitenbetrieb

Wichtige Einrichtungen — Anhang II der NIS2-Richtlinie

Sektor	Beispiele
Post- und Kurierdienste	Deutsche Post, DHL, DPD, UPS
Abfallbewirtschaftung	Abfallentsorgung, -behandlung und -verwertung (größere Unternehmen)
Chemikalien	Hersteller und Händler gefährlicher Stoffe
Lebensmittel	Große Lebensmittelhersteller und -händler
Verarbeitendes Gewerbe	Hersteller von Medizinprodukten, Elektronik, Fahrzeugen, Maschinen
Digitale Anbieter	Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Forschung	Forschungseinrichtungen (je nach nationaler Umsetzung)

Schnellcheck: Bin ich betroffen?

Nutzen Sie das kostenlose Selbstidentifikations-Tool unter nis2.saaslab.pl. In ca. 10 Minuten erhalten Sie eine Einschätzung: wesentliche Einrichtung, wichtige Einrichtung oder außerhalb des Anwendungsbereichs — inklusive Hinweisen auf die nächsten Pflichtschritte.

3. Die 10 Sicherheitspflichten nach § 30 BSIG / Art. 21 NIS2

Art. 21 der NIS2-Richtlinie — im deutschen Recht umgesetzt in § 30 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) — legt zehn Gruppen von Maßnahmen fest, die betroffene Einrichtungen technisch und organisatorisch umsetzen müssen.

Risikoanalyse und Sicherheitsrichtlinien Dokumentierte Risikoanalyse für alle Netz- und Informationssysteme; schriftliche Sicherheitsrichtlinien mit Zielen, Zuständigkeiten und Überprüfungszyklen.
Vorfallmanagement Verfahren zur Erkennung, Klassifizierung, Reaktion und Meldung von Sicherheitsvorfällen; Aufbau eines Security Operations Center (SOC) oder gleichwertiger Kapazitäten.
Business Continuity und Krisenmanagement Pläne zur Aufrechterhaltung des Geschäftsbetriebs (BCP), Datensicherung (Backup 3-2-1), Notfallwiederherstellung (DRP) und Krisenmanagement-Verfahren — alle regelmäßig zu testen.
Sicherheit in der Lieferkette Risikoabschätzung von Lieferanten und Dienstleistern; vertragliche Sicherheitsanforderungen; Recht auf Audit; Meldepflicht des Lieferanten bei eigenen Vorfällen.
Sicherheit in der Netz- und Informationstechnik Netzwerksegmentierung, Schwachstellenmanagement (Patch Management), Zugangskontrolle, Konfigurationsmanagement und Sicherheitsüberwachung.
Bewertung der Wirksamkeit der Sicherheitsmaßnahmen Regelmäßige Audits, Penetrationstests und Wirksamkeitsprüfungen der implementierten Maßnahmen; Dokumentation der Ergebnisse und Folgeaktionen.
Cyberhygiene und Schulungen Grundlegende Cyberhygiene-Richtlinien (Passwortmanagement, Software-Updates, Phishing-Erkennung); regelmäßige Schulungen für alle Mitarbeiter; Pflichtschulungen für die Geschäftsführung.
Kryptografie und Verschlüsselung Richtlinien zum Einsatz von Kryptografie und Verschlüsselung für Daten im Transit und im Ruhezustand; Schlüsselmanagement-Verfahren.
Personalverwaltung und Zugangskontrolle Prinzip der minimalen Rechte (Least Privilege), Identitäts- und Zugriffsmanagement (IAM), Verwaltung privilegierter Konten, Offboarding-Prozesse.
Multi-Faktor-Authentifizierung (MFA) Verpflichtende MFA oder kontinuierliche Authentifizierung für alle kritischen Systeme, Fernzugriff und privilegierte Konten; sichere Kommunikationskanäle im Notfall.

Persönliche Haftung der Geschäftsführung

NIS2 — und das deutsche NIS2UmsuCG — führt eine persönliche Verantwortlichkeit der Leitungsorgane ein. Geschäftsführer und Vorstände müssen Schulungen zur Cybersicherheit absolvieren und die Sicherheitsrichtlinien aktiv billigen. Bei schwerwiegenden Verstößen können Behörden eine vorübergehende Untersagung der Leitungsfunktion verhängen.

4. Meldepflichten bei Sicherheitsvorfällen

Eines der anspruchsvollsten Elemente der NIS2 ist die gestaffelte Meldepflicht bei erheblichen Sicherheitsvorfällen. Die Fristen sind sehr kurz — ohne vorbereitete Meldeprozesse ist eine fristgerechte Meldung kaum möglich.

Stufe	Frist	Inhalt
Erstmeldung (Frühwarnung)	24 Stunden nach Kenntnisnahme	Vorfall aufgetreten, Art des Vorfalls (ggf. Verdacht auf Angriff), grobe Ersteinschätzung; kein vollständiger Bericht erforderlich
Detaillierte Meldung	72 Stunden nach Kenntnisnahme	Detaillierte Bewertung: betroffene Systeme, Ausmaß, Indikatoren der Kompromittierung (IoC), ergriffene Maßnahmen
Zwischenbericht	Auf Anforderung des BSI	Aktueller Stand der Bearbeitung, Fortschritte bei der Eindämmung
Abschlussbericht	1 Monat nach der detaillierten Meldung	Ausführliche Beschreibung, Ursachenanalyse (Root Cause), getroffene Schutzmaßnahmen, gewonnene Erkenntnisse

Was ist ein „erheblicher Vorfall"?

Ein Vorfall ist erheblich (meldepflichtig), wenn er: (a) erhebliche Betriebsstörungen verursacht hat oder verursachen kann, ODER (b) andere Einrichtungen oder Personen betrifft und erhebliche materielle oder immaterielle Schäden verursacht. Der Schwellenwert ist niedrig — viele Ransomware-Angriffe, DDoS-Attacken und Datenpannen sind erfasst.

Meldestelle in Deutschland: BSI

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Meldestelle für NIS2-Vorfälle. Die Meldung erfolgt über das BSI-Meldeportal. Das BSI koordiniert die Reaktion und informiert ggf. andere betroffene Einrichtungen oder europäische CSIRT-Netzwerke.

5. Bußgelder und Sanktionen

Das NIS2UmsuCG setzt die Mindestbußgeldrahmen der Richtlinie um und gibt den deutschen Behörden Ermessensspielraum bei der konkreten Bemessung.

Einrichtungstyp	Maximales Bußgeld
Wesentliche Einrichtungen	10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist
Wichtige Einrichtungen	7.000.000 EUR oder 1,4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist

Zusätzlich zu Bußgeldern können Behörden folgende Maßnahmen ergreifen:

Anordnung der Einstellung des Betriebs oder vorübergehenden Entzug von Zertifizierungen
Öffentliche Bekanntmachung des Verstoßes (Naming and Shaming)
Vorübergehende Untersagung der Ausübung von Leitungsfunktionen
Anordnung eines externen Sicherheitsaudits auf Kosten der Einrichtung

Persönliche Haftung der Geschäftsleitung

Bei wesentlichen Einrichtungen kann das BSI bei wiederholten oder schwerwiegenden Verstößen einen vorübergehenden Ausschluss von der Geschäftsführung für die verantwortliche Person beantragen. Dies ist ein Novum im deutschen Cybersicherheitsrecht.

6. Deutsche Besonderheiten: NIS2UmsuCG und KRITIS

Deutschland setzt NIS2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) um, das umfangreiche Änderungen am BSIG sowie anderen Gesetzen (EnWG, TKG, SGB V u.a.) vornimmt.

Registrierungspflicht beim BSI

Betroffene Einrichtungen müssen sich beim BSI registrieren. Dabei sind u.a. Angaben zur Einrichtung, zum Sektor und zu Kontaktpersonen zu machen. Das BSI betreibt ein zentrales Register. Die Registrierung ist Pflicht — fehlende Registrierung ist selbst bußgeldbewährt.

Zusammenspiel mit dem KRITIS-DachG

Parallel zur NIS2-Umsetzung hat Deutschland das KRITIS-Dachgesetz (KRITIS-DachG) erlassen, das zusätzliche physische Schutzpflichten für Betreiber kritischer Anlagen regelt. Unternehmen, die sowohl unter NIS2UmsuCG als auch unter das KRITIS-DachG fallen, müssen beide Anforderungsrahmen erfüllen — wobei NIS2UmsuCG die Cybersicherheit und das KRITIS-DachG die physische Sicherheit und Resilienz adressiert.

BSI als zentrale Anlaufstelle

Das BSI nimmt in Deutschland folgende Rollen wahr:

Aufsichtsbehörde für wesentliche und wichtige Einrichtungen (soweit nicht sektoriell geregelt)
Zentrales CSIRT — Meldestelle für erhebliche Vorfälle, Koordination mit ENISA und anderen EU-CSIRTs
Registrierungsstelle — führt das Register betroffener Einrichtungen
Beratungsstelle — stellt Leitfäden und Handlungsempfehlungen bereit (bsi.bund.de)

Sektorspezifische Aufsichtsbehörden

Für bestimmte Sektoren liegt die Aufsicht nicht beim BSI, sondern bei der zuständigen Fachbehörde: BNetzA (Energie, Telekommunikation), BaFin (Finanzwesen), BfArM/RKI (Gesundheit). In diesen Fällen koordiniert die Fachbehörde mit dem BSI. Prüfen Sie, welche Behörde für Ihren Sektor zuständig ist.

7. Handlungsplan — 8 Schritte zur NIS2-Compliance

Zeitdruck — Jetzt handeln

Die Registrierungspflicht und die Pflicht zur Umsetzung technischer Maßnahmen gelten bereits. Unternehmen, die noch nicht begonnen haben, riskieren Bußgelder. Die Implementierung aller Maßnahmen dauert für eine durchschnittliche Organisation mindestens 3–6 Monate.

Selbsteinschätzung — wesentlich oder wichtig?

Prüfen Sie anhand von Sektor und Unternehmensgröße, ob Ihr Unternehmen unter NIS2UmsuCG fällt und in welche Kategorie. Nutzen Sie den Fragebogen unter nis2.saaslab.pl — Ergebnis in 10 Minuten.

Registrierung beim BSI

Reichen Sie die Registrierungsmeldung beim BSI ein. Benennen Sie eine Kontaktperson für das BSI (muss 24/7 erreichbar sein für Vorfallmeldungen). Die Registrierung ist Pflicht — fehlende Registrierung ist selbst bußgeldbewährt.

Bestandsaufnahme IT-Assets

Erstellen Sie ein vollständiges Inventar aller Netz- und Informationssysteme, Software, Hardware und Daten. Ohne aktuelle Bestandsaufnahme können weder Risiken korrekt bewertet noch Vorfälle vollständig gemeldet werden.

Risikoanalyse durchführen

Identifizieren und bewerten Sie Bedrohungen für jeden Asset (Eintrittswahrscheinlichkeit × Auswirkung). Dokumentieren Sie Ergebnisse im Risikoregister — dies ist die Grundlage für alle weiteren Maßnahmen und Pflichtdokument nach § 30 BSIG.

Sicherheitsrichtlinien erstellen und vom Vorstand genehmigen lassen

Entwickeln Sie die Informationssicherheitsrichtlinie und lassen Sie sie vom Leitungsorgan formell billigen. Ohne vorstandsgenehmigte Richtlinie fehlt die Grundlage des gesamten ISMS — und die persönliche Haftungsfreistellung der Geschäftsführung.

Technische Maßnahmen implementieren

Auf Basis der Risikoanalyse: MFA für alle kritischen Systeme, Netzwerksegmentierung, Patch-Management-Prozess, Datenverschlüsselung, Backup-Lösung (3-2-1), SIEM/Log-Management. Dokumentieren Sie jeden implementierten Maßnahme mit Datum und Verantwortlichen.

Schulung der Geschäftsführung und Mitarbeiter

NIS2UmsuCG verlangt ausdrücklich Schulungen des Leitungsorgans. Führen Sie ein Schulungsregister mit Datum, Teilnehmern und Inhalten. Mitarbeiter: mindestens jährliche Grundlagenschulung zur Cyberhygiene. Phishing-Simulationen sind empfehlenswert.

Meldesystem für Vorfälle aufbauen und testen

Legen Sie fest: wer klassifiziert einen Vorfall als „erheblich", wer sendet die 24-Stunden-Frühwarnung ans BSI, wo werden Beweise gespeichert. Testen Sie das Verfahren mit einer Übung, bevor der echte Vorfall eintritt — 24 Stunden sind zu wenig für Improvisation.

Für Kleinunternehmen

Unternehmen mit weniger als 50 Beschäftigten und weniger als 10 Mio. EUR Umsatz sind grundsätzlich von NIS2 ausgenommen. Ausnahme: DNS-Dienste, TLD-Registries, qualifizierte Vertrauensdiensteanbieter und bestimmte kritische Infrastrukturen — unabhängig von der Unternehmensgröße.

NIS2-Status Ihres Unternehmens prüfen — kostenlos

Das Selbstidentifikations-Tool für Deutschland führt Sie durch die entscheidenden Fragen und zeigt: betroffen oder nicht, welche Kategorie und was als Nächstes zu tun ist.

NIS2-Status prüfen — kostenlos →

Keine Kreditkarte erforderlich. Basis-Zugang kostenlos.