Stand: März 2026
Mit dem am 6. Dezember 2025 in Kraft getretenen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde die EU-Cybersicherheitsrichtlinie NIS-2 in deutsches Recht umgesetzt. Was früher als IT-Thema galt, das irgendwo in der Technik-Abteilung erledigt wurde, ist heute Chefsache – mit handfesten rechtlichen Konsequenzen. Dieser Artikel erklärt, was hinter der NIS-2 Cybersicherheitspflicht steckt, welche Unternehmen betroffen sind und worauf Geschäftsführerinnen und Geschäftsführer besonders achten sollten.
Was ist die NIS-2-Richtlinie – und warum gilt sie jetzt?
Die NIS-2-Richtlinie (Network and Information Security) ist die überarbeitete EU-Cybersicherheitsrichtlinie mit der offiziellen Bezeichnung Richtlinie (EU) 2022/2555. Sie ersetzt die bisherige NIS-Richtlinie und erweitert den Anwendungsbereich erheblich. Der Name klingt technisch – der Inhalt betrifft aber ganz konkret Ihre Organisation, Ihre Prozesse und Ihre persönliche Verantwortung als Führungskraft.
Die NIS-2-Richtlinie hat zum Ziel, ein hohes, gemeinsames Cybersicherheitsniveau in der gesamten EU zu erreichen. Sie adressiert systematische Risiken, die durch Digitalisierung, Vernetzung und zunehmend komplexe Bedrohungslandschaften entstehen. Gleichzeitig reagiert der EU-Gesetzgeber damit auf eine veränderte Sicherheitslage: Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Desinformation, Hacktivismus, Spionage und Sabotage ausgesetzt.
Der Bundestag verabschiedete das Gesetz am 13. November 2025, während der Bundesrat am 21. November 2025 zustimmte. Seit dem 6. Dezember 2025 ist NIS-2 damit verbindlich anzuwenden. Deutschland hatte die ursprüngliche EU-Umsetzungsfrist aus dem Oktober 2024 verpasst – das Gesetz trat nach dem finalen Vermittlungsverfahren am 6. Dezember 2025 offiziell in Kraft.
Kernaussage: NIS-2 ist kein Empfehlungskatalog. Die NIS-2-Richtlinie ist kein optionales Regelwerk. Sie ist eine verbindliche Vorgabe mit klaren Fristen und messbaren Konsequenzen.
Welche Unternehmen sind betroffen?
Die Neuregelung erweitert den Anwendungsbereich des BSI-Gesetzes (BSIG) erheblich: Die Zahl der betroffenen Organisationen steigt von bisher rund 4.500 auf etwa 29.500. Damit geraten erstmals auch zahlreiche mittelständische Unternehmen aus unterschiedlichsten Sektoren in den Geltungsbereich.
Zwei Kriterien entscheiden grundsätzlich über die Betroffenheit: Unternehmensgröße und Sektor. Voraussetzung ist dabei mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Umsatz. Das Gesetz unterscheidet zwei Kategorien:
- Besonders wichtige Einrichtungen. Unternehmen mit mehr als 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz / 43 Mio. Euro Bilanzsumme in Sektoren wie Energie, Gesundheit, Transport oder Bankwesen.
- Wichtige Einrichtungen. Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Mio. Euro Umsatz in Sektoren wie Abfallwirtschaft, Lebensmittel, Chemie oder dem verarbeitenden Gewerbe.
Kritische Anlagen sind solche, die für Dienstleistungen in den Sektoren Energie, Transport/Verkehr, Finanzwesen, Gesundheit, Wasser, Ernährung, IT/Telekommunikation, Weltraum oder Abfall essenziell sind. Wichtig: Viele mittelständische Unternehmen gehen davon aus, nicht betroffen zu sein – bis jemand eine NIS-2-Konformitätserklärung verlangt. Eine individuelle Betroffenheitsprüfung – etwa über das BSI-Tool – kann hier Klarheit schaffen.
Auch kleine und mittlere Unternehmen, die formal unter den Schwellenwerten liegen, können indirekt betroffen sein – nämlich dann, wenn ihre Auftraggeber NIS-2-konform wirtschaften müssen und diese Anforderungen an die gesamte Lieferkette weitergeben. NIS-2-Compliance wird damit zur Voraussetzung, um Geschäftsbeziehungen aufrechtzuerhalten.
Die zentralen Pflichten im Überblick
Das Gesetz definiert nicht einfach ein Sicherheitsniveau, das man einmalig erreicht und dann abhakt. Dabei spielt es keine Rolle, ob bereits IT-Sicherheitsmaßnahmen existieren. NIS-2 verlangt strukturierte, dokumentierte und überprüfbare Prozesse. Für Unternehmen entsteht dadurch ein dauerhafter Organisationsauftrag.
Bild: Künstlich generiert
Registrierungspflicht beim BSI
Betroffene Einrichtungen müssen sich beim BSI registrieren – ein zweistufiger Prozess über „Mein Unternehmenskonto” (MUK) und das neue BSI-Portal, das seit Januar 2026 verfügbar ist. Unternehmen, die als wichtige oder besonders wichtige Einrichtung unter das neue BSI-Gesetz nach NIS-2 fallen, mussten sich bis spätestens 6. März 2026 im BSI-Portal als betroffene Einrichtung registrieren.
Eine Analyse vom 19. März zeigt nun ein massives Versagen: Von geschätzt 29.500 betroffenen Unternehmen haben weniger als die Hälfte die Registrierung im Meldeportal abgeschlossen. Das BSI hat angekündigt, nach dem Ablauf der Registrierungsfrist aktiv zu prüfen, welche Unternehmen sich nicht registriert haben. Die Behörde hat dafür weitreichende Befugnisse: Verbindliche Anordnungen, das BSI kann Unternehmen verpflichten, bestimmte Sicherheitsmaßnahmen umzusetzen oder nachzuweisen.
Tipp: Wer die Registrierungsfrist verpasst hat, kann prüfen lassen, ob eine freiwillige Nachregistrierung das Bußgeldrisiko mindern kann. Eine Abstimmung mit einem erfahrenen Berater ist in diesem Fall empfehlenswert.
Technische und organisatorische Mindestmaßnahmen
Unternehmen sind nach NIS-2 verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Die Maßnahmen sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering halten. Das Risikomanagement muss alle informationstechnischen Systeme, Komponenten und Prozesse adressieren, die Unternehmen für die Erbringung ihrer Dienste nutzen.
Das Gesetz legt dafür zehn Mindestmaßnahmen fest. Dazu gehören laut BSI (§ 30 Abs. 2 BSIG) unter anderem:
- Risikoanalyse und Informationssicherheitskonzepte. Systematische Bewertung aller IT-Risiken und schriftliche Dokumentation der Schutzmaßnahmen.
- Incident Response (Bewältigung von Sicherheitsvorfällen). Klare interne Prozesse, wer im Ernstfall was tut – und innerhalb welcher Fristen.
- Business Continuity Management. Unternehmen müssen nachweisen können, dass ihr Geschäftsbetrieb bei IT-Ausfällen weiterläuft – inklusive dokumentierter Notfallpläne, getesteter Wiederanlaufverfahren und einer lückenlosen Meldekette an die Behörden.
- Lieferkettensicherheit. Unternehmen müssen die Cybersicherheit in ihrer Lieferkette sicherstellen. Das betrifft auch externe Dienstleister und Zulieferer.
- Verschlüsselung und Zugriffskontrollen. Einsatz aktueller Verfahren, darunter Multi-Faktor-Authentifizierung.
- Regelmäßige Schulungen. Sensibilisierung der gesamten Belegschaft – von der Sachbearbeitung bis zur Führungsetage.
Meldepflichten bei Sicherheitsvorfällen
Ein Cyberangriff trifft ein. Was jetzt? NIS-2 setzt auf einen gestuften Meldeprozess: Binnen 24 Stunden erfolgt eine Frühwarnung nach Kenntniserlangung, binnen 72 Stunden eine Incident-Meldung mit erster Einordnung und Vertiefung, und binnen eines Monats ein Abschlussbericht. Diese Fristen sind Maximalzeiten – sie dürfen nicht überschritten werden.
Besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen sind verpflichtet, dem BSI erhebliche Sicherheitsvorfälle zu melden. Zu erheblichen Sicherheitsvorfällen zählen Vorfälle, die zu schwerwiegenden Betriebsstörungen der Dienste oder zu finanziellen Verlusten der Einrichtung geführt haben oder führen können.
Wichtiger Hinweis: Die 24-Stunden-Frist ist die kritischste. In der Praxis empfiehlt sich daher der Aufbau eines klaren Meldeprozesses – mit benannten Verantwortlichen und einem Notfallkontakt rund um die Uhr – noch bevor ein Vorfall eintritt.
Geschäftsführerhaftung: Die persönliche Dimension
Viele Unternehmerinnen und Unternehmer überrascht ein Aspekt von NIS-2 besonders: die persönliche Haftung der Leitungsorgane. Wesentlich ist: Cybersicherheit wird nun explizit in die Verantwortung der Unternehmensleitung gestellt. Das ist keine Formulierung im Kleingedruckten – es ist ein zentrales Strukturprinzip des Gesetzes.
Das novellierte BSI-Gesetz verankert eine eigenständige Leitungsverantwortung für das IT-Risikomanagement. Die Mitglieder der Geschäftsleitung müssen die Risikomanagementmaßnahmen nicht nur formal billigen, sondern eigenverantwortlich umsetzen und überwachen – ergänzt um eine Pflicht zur regelmäßigen Fortbildung in Fragen der Cybersicherheit.
Gleichzeitig werden Mitglieder der Geschäftsführung verpflichtet, an Schulungen zur Cybersicherheit teilzunehmen. Das klingt nach Formalität, hat aber praktische Konsequenzen: Wer nachweislich nicht informiert war, kann sich nicht auf Unwissenheit berufen.
Welche Sanktionen drohen?
Das Sanktionsregime ist deutlich schärfer als unter dem alten IT-Sicherheitsgesetz. Für besonders wichtige Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des weltweiten Gesamtumsatzes.
Hinzu kommt die persönliche Dimension: Das NIS-2-Umsetzungsgesetz verlagert die Verantwortung direkt in die Vorstandsetagen und Geschäftsführungen – Geschäftsführer haften bei schuldhaften Verstößen gegen die Risikomanagementpflichten künftig persönlich mit ihrem Privatvermögen. Neben Bußgeldern kann das BSI außerdem bei schwerwiegenden Verstößen diese öffentlich machen – ein erhebliches Reputationsrisiko.
Eine Prüfung im Einzelfall, ob und in welchem Umfang Ihr Unternehmen betroffen ist, empfiehlt sich in jedem Fall. In der Praxis ist die Bewertung, ob ein konkretes Unternehmen mit seiner Geschäftstätigkeit unter einen der NIS-2-regulierten Teilsektoren fällt, nicht immer unproblematisch, sondern bedarf vielfach einer vertieften Analyse.
NIS-2 und die Lieferkette: Auch indirekt Betroffene sollten handeln
Wer nicht direkt unter das Gesetz fällt, ist nicht automatisch aus dem Schneider. Unternehmen müssen die Cybersicherheit in ihrer Lieferkette sicherstellen. Dies geht Hand in Hand mit dem Lieferkettengesetz. Auftraggeber, die selbst NIS-2-pflichtig sind, werden entsprechende Anforderungen an ihre Dienstleister und Zulieferer stellen.
Fachleute weisen darauf hin, dass Cybersicherheitsanforderungen damit faktisch in die gesamte Wertschöpfungskette ausgestrahlt werden. Ein Maschinenbauunternehmen mit 40 Mitarbeitern, das als Zulieferer für einen Energieversorger arbeitet, kann über vertragliche Anforderungen mittelbar in die Pflicht genommen werden. Eine Prüfung der eigenen Lieferantenverträge und Kundenbeziehungen kann hier sinnvoll sein.
Weiterlesen:Cybersicherheit im Mittelstand – Wo fangen Unternehmen an?
Was tun, wenn Sie betroffen sein könnten?
Das Gesetz sieht keine Schonfrist für die Implementierung der technischen und organisatorischen Maßnahmen vor. Unternehmen müssen die Anforderungen ab dem ersten Tag nachweisen können. Das ist ein anspruchsvoller Einstieg, der in der Praxis jedoch schrittweise angegangen werden kann.
Als Orientierung für den Einstieg in die NIS-2-Umsetzung nennen Fachleute regelmäßig folgende Schritte:
- Betroffenheitsprüfung durchführen. Das BSI stellt unter betroffenheitspruefung-nis-2.bsi.de ein kostenloses Online-Tool bereit, mit dem Unternehmen prüfen können, ob und in welcher Kategorie sie betroffen sind.
- Registrierung beim BSI nachholen. Die Registrierung erfolgt über das BSI-Portal, das seit Januar 2026 verfügbar ist. Wer die Frist vom 6. März 2026 verpasst hat, sollte die Nachregistrierung nicht weiter aufschieben.
- Gap-Analyse der IT-Sicherheit. Vergleich des aktuellen Sicherheitsniveaus mit den gesetzlichen Mindestanforderungen – am besten mit externer Unterstützung.
- Risikomanagement aufbauen. Einrichtung eines Managementprozesses für Informationssicherheit inklusive Risikoanalyse, Maßnahmenplanung und Governance-Reportings.
- Meldeprozesse einrichten. Klare interne Zuständigkeiten definieren, damit im Ernstfall die 24-Stunden-Frist eingehalten werden kann.
- Geschäftsleitung schulen. Für wichtige und besonders wichtige Einrichtungen besteht eine gesetzliche Pflicht, dass die Geschäftsleitung regelmäßig an Schulungen zu IT-Sicherheitsrisiken und Risikomanagement teilnimmt (§ 38 BSIG).
Kernaussage: Besonders wichtig: Die Geschäftsleitung trägt explizit Verantwortung. Dadurch wird IT-Sicherheit zur Management-Aufgabe, nicht nur zur technischen Maßnahme. Wer NIS-2 als rein technisches Problem behandelt, unterschätzt die rechtliche Tragweite.
Häufig gestellte Fragen
Ab wann gilt die NIS-2 Cybersicherheitspflicht in Deutschland?
Seit dem 6. Dezember 2025 ist NIS-2 in Deutschland verbindlich anzuwenden. Es gibt keine allgemeinen Übergangsfristen für die Umsetzung der technischen und organisatorischen Maßnahmen. Die Registrierungspflicht beim BSI war bis zum 6. März 2026 zu erfüllen.
Gilt NIS-2 nur für große Konzerne oder auch für den Mittelstand?
Der Geltungsbereich von NIS-2 ist deutlich größer als zuvor. Nicht mehr nur klassische KRITIS-Betreiber, sondern auch viele Unternehmen aus dem Mittelstand fallen nun unter die Regelung. Maßgeblich sind Branche, Mitarbeiterzahl und Jahresumsatz. Ab 50 Beschäftigten oder 10 Millionen Euro Umsatz in einem der 18 regulierten Sektoren kann eine Betroffenheit vorliegen.
Was passiert, wenn ein Unternehmen die Anforderungen nicht erfüllt?
Für besonders wichtige Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Gesamtumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Zusätzlich haften Geschäftsführerinnen und Geschäftsführer bei schuldhaften Pflichtverletzungen persönlich. Das BSI kann Verstöße außerdem öffentlich bekannt machen.
Welche Fristen gelten bei einem Sicherheitsvorfall?
Sicherheitsvorfälle müssen streng gemeldet werden: erste Meldung binnen 24 Stunden, eine detaillierte Analyse nach 72 Stunden und ein Abschlussbericht spätestens nach einem Monat. Diese Fristen gelten ab dem Zeitpunkt der Kenntniserlangung und sind nicht verlängerbar.
Wie kann ein Unternehmen prüfen, ob es von NIS-2 betroffen ist?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine kostenlose Online-Betroffenheitsprüfung bereit. In der Praxis ist die Bewertung, ob ein konkretes Unternehmen unter einen der NIS-2-regulierten Teilsektoren fällt, nicht immer unproblematisch und bedarf vielfach einer vertieften Analyse. Eine Einzelfallprüfung durch einen Fachberater oder Rechtsanwalt mit IT-rechtlicher Spezialisierung kann sinnvoll sein.
Müssen auch Unternehmen außerhalb der direkten NIS-2-Sektoren handeln?
Auch kleine und mittlere Unternehmen, die formal unter den Schwellenwerten liegen, können indirekt betroffen sein – nämlich dann, wenn ihre Auftraggeber NIS-2-konform wirtschaften müssen und diese Anforderungen an die gesamte Lieferkette weitergeben. NIS-2-Compliance wird damit zur Voraussetzung, um Geschäftsbeziehungen aufrechtzuerhalten.
Stand: März 2026
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine rechtliche oder steuerliche Beratung dar. Die dargestellten Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Rechtsanwalt oder Berater mit Spezialisierung auf IT-Sicherheitsrecht. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.
TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul
