NIS-2 Anforderungen für Unternehmen: Ein umfassender Leitfaden

X
Facebook
LinkedIn
Pinterest
WhatsApp
Telegram
Bild: Künstlich generiert

Stand: März 2026

Mit dem am 6. Dezember 2025 in Kraft getretenen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde die EU-Cybersicherheitsrichtlinie NIS-2 in deutsches Recht umgesetzt. Was lange als bürokratisches Fernziel galt, ist nun verbindliche Realität. Für Geschäftsführer und Unternehmer stellen sich jetzt konkrete Fragen: Bin ich überhaupt betroffen? Welche Pflichten treffen mein Unternehmen? Und was passiert, wenn ich nichts tue?

Dieser Leitfaden erklärt die wichtigsten NIS-2 Anforderungen für Unternehmen in verständlicher Sprache – ohne technischen Fachjargon, aber mit dem nötigen Tiefgang für eine fundierte erste Einschätzung.

Was ist NIS-2 und warum gilt es jetzt?

NIS-2 steht für „Network and Information Security Directive 2″ – die zweite Richtlinie der EU über die Sicherheit von Netz- und Informationssystemen. Sie baut auf der ersten NIS-Richtlinie von 2016 auf und erweitert deren Anforderungen an Cybersicherheit und Meldepflichten erheblich. Kurz gesagt: Der europäische Gesetzgeber hat erkannt, dass die bisherigen Regeln nicht mehr ausreichen, um die wachsende Bedrohungslage durch Cyberangriffe zu bewältigen.

Die sicherheitspolitische Lage in Europa hat sich in den letzten Jahren deutlich verschärft. Der russische Angriffskrieg auf die Ukraine und der Terrorangriff der Hamas auf Israel zeigen, wie anfällig die Gesellschaft ist – auch im digitalen Raum. Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Desinformation, Hacktivismus, Spionage und Sabotage ausgesetzt.

Da Deutschland die Umsetzungsfrist der EU (Oktober 2024) überschritten hatte, trat das Gesetz nach dem finalen Vermittlungsverfahren am 6. Dezember 2025 offiziell in Kraft. Seit diesem Tag sind die Sicherheitsmaßnahmen nach § 30 BSIG und die verschärften Meldepflichten für alle betroffenen Unternehmen unmittelbar verbindlich. Das Gesetz sieht keine Schonfrist für die Implementierung der technischen und organisatorischen Maßnahmen vor.

Wichtiger Hinweis: Das NIS-2-Umsetzungsgesetz enthält keine Übergangsfristen. Betroffene Unternehmen müssen die Anforderungen seit dem 6. Dezember 2025 erfüllen können – eine Prüfung der eigenen Betroffenheit ist daher dringend angeraten.

Welche Unternehmen sind betroffen?

Schätzungsweise 30.000 Unternehmen und Einrichtungen aus 18 Sektoren sind betroffen, die nun strengere Anforderungen an die Cybersicherheit erfüllen müssen und seit Anfang 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) meldepflichtig sind. Die Betroffenheit hängt dabei von zwei zentralen Kriterien ab: der Unternehmensgröße und dem Sektor.

Die Größenschwellen: Wer fällt grundsätzlich darunter?

Die NIS-2-Richtlinie gilt für Unternehmen ab 50 Mitarbeitern und 10 Mio. Euro Umsatz. Innerhalb dieser Gruppe unterscheidet das Gesetz noch einmal zwischen zwei Kategorien:

  • Besonders wichtige Einrichtungen. Unternehmen ab 250 Mitarbeitern oder über 50 Mio. EUR Umsatz und einer Bilanzsumme über 43 Mio. EUR in den Sektoren der Anlage 1. Diese Kategorie unterliegt strengerer, proaktiver Aufsicht durch das BSI.
  • Wichtige Einrichtungen. Unternehmen ab 50 Mitarbeitern oder über 10 Mio. EUR Umsatz und einer Bilanzsumme über 10 Mio. EUR in den Sektoren der Anlagen 1 und 2. Hier erfolgt die Aufsicht reaktiv, also in der Regel erst nach Hinweisen auf Verstöße.

Welche Branchen sind erfasst?

Die Betroffenheit gilt für Unternehmen in folgenden Bereichen: Sektoren mit hoher Kritikalität umfassen Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Weltraum und IT-Management (B2B). Sonstige kritische Sektoren sind Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe (z.B. Maschinenbau, Fahrzeugbau), digitale Dienste und Forschung.

Viele Unternehmer unterschätzen dabei ihre eigene Betroffenheit. Entscheidend sind Branche, Unternehmensgröße und Rolle innerhalb der Wertschöpfungskette. Gerade deshalb unterschätzen viele Unternehmen ihre Betroffenheit, obwohl sie faktisch unter NIS-2 fallen.

Tipp: Auch Unternehmen, die formal unter den Schwellenwerten liegen, können indirekt betroffen sein. Auch kleine und mittlere Unternehmen (KMU), die formal unter den Schwellenwerten liegen, werden zunehmend von ihren größeren Auftraggebern verpflichtet, die NIS2-Sicherheitsstandards einzuhalten. Damit wird die Einhaltung dieser Anforderungen zur Grundvoraussetzung für die Aufrechterhaltung von Geschäftsbeziehungen. Eine individuelle Prüfung der Betroffenheit ist in jedem Fall empfehlenswert.

Bild: Künstlich generiert

Die zentralen NIS-2 Anforderungen für Unternehmen

Betroffene Unternehmen müssen eine Reihe konkreter Pflichten erfüllen. Das Gesetz bündelt diese in mehreren Kernbereichen – von der Registrierung über das Risikomanagement bis hin zu Meldepflichten.

1. Registrierung beim BSI

Für Unternehmen, die von der NIS-2-Richtlinie betroffen sind, sieht das BSI einen zweistufigen Registrierungsprozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto” (MUK) erfolgen. Das BSI-Portal ist seit Januar 2026 freigeschaltet und dient unter anderem als Meldestelle für erhebliche Sicherheitsvorfälle.

Da das Gesetz am 06.12.2025 in Kraft trat, endet die Frist für bereits betroffene Unternehmen am 06.03.2026. Wer diese Frist versäumt hat, sollte die Registrierung unverzüglich nachholen und eine Prüfung der Rechtslage im Einzelfall vornehmen.

2. Risikomanagement und technische Maßnahmen

Es spielt keine Rolle, ob bereits IT-Sicherheitsmaßnahmen existieren. NIS-2 verlangt strukturierte, dokumentierte und überprüfbare Prozesse. Das Gesetz schreibt dabei keine einzelnen Werkzeuge vor. NIS-2 schreibt kein einzelnes Tool vor. Stattdessen fordert die Richtlinie ein systematisches Sicherheitsniveau, das dauerhaft eingehalten wird.

Zu den konkreten Mindestmaßnahmen nach § 30 BSIG gehören unter anderem:

  • Systematisches Risikomanagement. Unternehmen müssen Risiken für ihre Netz- und Informationssysteme systematisch identifizieren, bewerten und durch geeignete Maßnahmen begrenzen.
  • Business Continuity Management. Dazu gehört Business Continuity Management mit Backup, Disaster Recovery und Krisenmanagement. Ziel ist es, den Geschäftsbetrieb auch bei IT-Ausfällen aufrechtzuerhalten.
  • Sicherheit der Lieferkette. Ein wesentlicher Aspekt des § 30 BSIG-neu ist die Pflicht zur Absicherung der Lieferkette. Vertraglich müssen Sicherheitsanforderungen auch an externe Dienstleister weitergegeben werden.
  • Verschlüsselung und Zugriffsschutz. Verschlüsselung, Zugriffskontrolle und Multi-Faktor-Authentifizierung sind verpflichtend.
  • Schulungen und Sensibilisierung. Regelmäßige Schulungen der Belegschaft gehören ebenso zu den Mindestanforderungen wie die Sensibilisierung für Cyberbedrohungen.

3. Meldepflichten bei Sicherheitsvorfällen

Einer der schärfsten Einschnitte betrifft die Meldepflichten. Unternehmen müssen erhebliche Vorfälle innerhalb von 24 Stunden an das BSI melden. Eine detailliertere Meldung muss binnen 72 Stunden folgen. Innerhalb eines Monats ist dann ein Abschlussbericht einzureichen. Dieses abgestufte Verfahren erfordert klare interne Prozesse, die bereits vor einem Vorfall eingerichtet sein müssen.

Kernaussage: NIS-2 ist kein rein technisches Thema. Cybersicherheit wird zur Managementaufgabe – mit persönlicher Verantwortung der Geschäftsleitung und dokumentierten Prozessen als Mindestanforderung.

4. Verantwortung der Geschäftsleitung

Wesentlich ist: Cybersicherheit wird nun explizit in die Verantwortung der Unternehmensleitung gestellt. Gleichzeitig werden Mitglieder der Geschäftsführung verpflichtet, an Schulungen zur Cybersicherheit teilzunehmen.

Meldepflichten für Sicherheitsvorfälle sind in § 32 BSIG geregelt. Geschäftsleiter sind gemäß § 38 Abs. 1 BSIG persönlich verpflichtet, die Risikomanagementmaßnahmen nach § 30 BSIG umzusetzen und deren Umsetzung zu überwachen. Zudem müssen sie regelmäßig an Schulungen zur Cybersicherheit teilnehmen (§ 38 Abs. 3 BSIG). Ein Haftungsverzicht ist dabei ausdrücklich ausgeschlossen.

Bild: Künstlich generiert

Sanktionen: Was droht bei Verstößen?

Die finanziellen Konsequenzen bei Nichteinhaltung sind erheblich. Wesentliche Einrichtungen müssen mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes rechnen. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Entscheidend ist jeweils der höhere Betrag.

Neben den Unternehmensbußgeldern trifft die Haftung auch Einzelpersonen. Das NIS-2-Umsetzungsgesetz verlagert die Verantwortung direkt in die Vorstandsetagen und Geschäftsführungen: Geschäftsführer haften bei schuldhaften Verstößen gegen die Risikomanagementpflichten künftig persönlich mit ihrem Privatvermögen. Ein Ignorieren der Registrierungsfrist oder mangelhafte Sicherheitskonzepte können im Schadensfall eine direkte Durchgriffshaftung auslösen.

Werden insbesondere die notwendigen Maßnahmen nicht eingehalten und gegen die Meldepflichten verstoßen, können hohe Geldstrafen auf die Unternehmen zukommen. Von den Aufsichtsbehörden können Vor-Ort-Kontrollen durchgeführt, Nachweise angefordert und Anweisungen mit Fristeinhaltung gegeben werden.

Fachleute weisen zudem darauf hin, dass Bußgelder nicht der einzige Schaden sind. Reputationsverluste, Ausfallzeiten und mögliche Schadensersatzansprüche Dritter können die finanziellen Folgen eines Sicherheitsvorfalls deutlich verschärfen. Eine Prüfung der eigenen Situation im Einzelfall ist daher empfehlenswert.

Erste Schritte zur Umsetzung: Wo anfangen?

Die Umsetzung der NIS-2 Anforderungen für Unternehmen ist kein Sprint, sondern ein strukturierter Prozess. In der Praxis empfiehlt sich ein schrittweises Vorgehen:

  • Betroffenheitsprüfung durchführen. Unternehmen werden nicht darüber informiert, ob sie von der NIS-2-Richtlinie betroffen sind. Eine eigenständige Prüfung anhand von Größe und Branche ist erforderlich.
  • Registrierung beim BSI vornehmen. Betroffene Einrichtungen registrieren sich über das BSI-Portal unter Verwendung des „Mein Unternehmenskonto”-Zugangs. Eine Prüfung der aktuellen Fristen im Einzelfall ist empfehlenswert.
  • Ist-Analyse der bestehenden Sicherheitsmaßnahmen. Eine sogenannte Gap-Analyse – also ein Abgleich des aktuellen Sicherheitsniveaus mit den gesetzlichen Anforderungen – bildet die Grundlage für alle weiteren Maßnahmen.
  • Informationssicherheitsmanagementsystem (ISMS) aufbauen. Managementsysteme wie das Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 bieten eine gute Grundlage, um NIS-2-Anforderungen zu erfüllen. Die internationale Norm ISO/IEC 27001 unterstützt Unternehmen dabei, ein ISMS aufzubauen, Risiken systematisch zu bewerten und geeignete Schutzmaßnahmen umzusetzen.
  • Meldeprozesse einrichten. Klare interne Abläufe für den Fall eines Sicherheitsvorfalls müssen vorab definiert und dokumentiert werden – damit die 24-Stunden-Frist im Ernstfall eingehalten werden kann.
  • Geschäftsführung schulen. Die gesetzlich vorgeschriebene Schulungspflicht der Leitungsorgane sollte zeitnah erfüllt werden. Eine Prüfung geeigneter Anbieter im Einzelfall ist sinnvoll.

Weiterlesen:Informationssicherheitsmanagementsystem (ISMS): Grundlagen und Aufbau

NIS-2 als strategische Chance

Viele Unternehmen empfinden NIS-2 zunächst als zusätzliche Bürokratielast. Der Blick auf die Praxis zeigt jedoch ein differenzierteres Bild. Unternehmen, die NIS-2 ganzheitlich umsetzen, gewinnen mehr als nur die Erfüllung gesetzlicher Pflichten. Sie gewinnen Resilienz gegen Cyberangriffe und IT-Ausfälle. Sie gewinnen Klarheit über ihre IT-Abhängigkeiten und Verantwortlichkeiten. Und sie gewinnen Vertrauen – bei Kunden, Partnern und in der Lieferkette.

Cybersicherheit ist nunmehr eine Kernaufgabe der Unternehmensführung und bildet einen zentralen Bestandteil guter Unternehmensleitung angesichts einer stetig wachsenden Bedrohungs- und Angriffslage. Wer die NIS-2 Anforderungen für Unternehmen frühzeitig angeht, schafft damit nicht nur regulatorische Sicherheit, sondern stärkt auch die eigene Wettbewerbsposition – gerade in Branchen, in denen Lieferkettensicherheit ein zunehmend wichtiges Kriterium bei der Auftragsvergabe ist.

Häufig gestellte Fragen

Gilt NIS-2 auch für kleine Unternehmen?

Die NIS-2-Richtlinie betrifft deutlich mehr Unternehmen als ihre Vorgängerin und gilt für Firmen mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in bestimmten Branchen. Kleinere Unternehmen unterhalb dieser Schwellen sind grundsätzlich ausgenommen. Allerdings können sie indirekt betroffen sein, wenn Auftraggeber die NIS-2-Standards vertraglich an ihre Lieferkette weitergeben. Eine Einzelfallprüfung ist in jedem Fall empfehlenswert.

Was passiert, wenn mein Unternehmen die Registrierungsfrist versäumt hat?

Der Verstoß gegen § 33 BSIG ist kein Kavaliersdelikt. Bußgelder bis zu 500.000 Euro allein für die verspätete Registrierung sind möglich, im schlimmsten Fall bei kumulierten Verstößen gegen Risikomanagement- und Meldepflichten bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Wer die Frist versäumt hat, sollte die Registrierung unverzüglich nachholen und rechtlichen Rat einholen.

Haftet der Geschäftsführer persönlich für NIS-2-Verstöße?

Das NIS-2-Umsetzungsgesetz verlagert die Verantwortung direkt in die Vorstandsetagen und Geschäftsführungen: Geschäftsführer haften bei schuldhaften Verstößen gegen die Risikomanagementpflichten künftig persönlich mit ihrem Privatvermögen. Ein Verzicht auf Schadensersatzansprüche der Einrichtung gegen die Geschäftsleitung ist bei Pflichtverletzungen nicht zulässig.

Wie lange hat mein Unternehmen Zeit, einen Sicherheitsvorfall zu melden?

Unternehmen müssen erhebliche Vorfälle innerhalb von 24 Stunden an das BSI melden. Eine detailliertere Meldung muss binnen 72 Stunden folgen. Verspätete oder unvollständige Meldungen führen oft zu Bußgeldern, selbst wenn der ursprüngliche Vorfall glimpflich verlief. Innerhalb eines Monats ist abschließend ein vollständiger Bericht einzureichen.

Muss ich als Unternehmer eine ISO-27001-Zertifizierung vorweisen?

NIS-2 schreibt keine bestimmte Zertifizierung vor. Managementsysteme wie das Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 bieten jedoch eine gute Grundlage, um NIS-2-Anforderungen zu erfüllen. Entscheidend ist der Nachweis strukturierter, dokumentierter und wirksamer Sicherheitsmaßnahmen – ob mit oder ohne formale Zertifizierung. Eine Prüfung im Einzelfall ist empfehlenswert.

Wer ist zuständige Aufsichtsbehörde für NIS-2 in Deutschland?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird dabei wesentlich unterstützen. Einrichtungen müssen künftig unter der Aufsicht des BSI weitreichende Anforderungen zur IT-Sicherheit erfüllen. Das BSI ist auch zentrale Meldestelle für erhebliche Sicherheitsvorfälle und betreibt das entsprechende Online-Portal für Registrierungen.

Stand: März 2026

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Steuerliche und rechtliche Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.

TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul

Share

X
Facebook
LinkedIn
Pinterest
WhatsApp
Telegram

03

Nachrichten

Tags

AnforderungenHäufig gestellte FragenMannheimNIS-2 als strategische ChanceNIS-2 Anforderungen für UnternehmenSteuerberatungUnternehmenWelche Unternehmen sind betroffen?

03

Bleiben Sie in Kontakt

Instagram X-twitter Linkedin Youtube Facebook