NIS-2 FAQ: Die 20 häufigsten Fragen beantwortet

Ich bekomme viele Fragen zu NIS-2. Manche sind offensichtlich, manche überraschend, aber fast alle wiederholen sich. Hier sind die zwanzig häufigsten – und die Antworten darauf.

Die Basics

Was ist NIS-2 eigentlich?

Die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die alte NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich massiv. Mehr Sektoren, mehr Unternehmen, strengere Anforderungen, härtere Strafen.

Seit wann gilt das in Deutschland?

Das deutsche Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Ohne Übergangsfrist. Wer betroffen ist, muss jetzt compliant sein.

Wie viele Unternehmen sind betroffen?

Schätzungsweise 29.500 in Deutschland. Das ist ein gewaltiger Sprung – vorher waren es unter KRITIS nur etwa 2.000.

Was passiert, wenn ich NIS-2 ignoriere?

Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes. Persönliche Haftung der Geschäftsleitung mit dem Privatvermögen. Behördliche Anordnungen. Reputationsschäden. Das volle Programm.

Bin ich betroffen?

Woran erkenne ich das?

Zwei Fragen: In welchem Sektor sind Sie tätig? Und wie groß ist Ihr Unternehmen? Wenn Sie in einem der 18 regulierten Sektoren arbeiten und mindestens 50 Mitarbeitende haben oder 10 Millionen Euro Umsatz machen, sind Sie wahrscheinlich dabei.

Welche Sektoren sind reguliert?

Elf Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung (das sind die MSPs), öffentliche Verwaltung und Weltraum.

Plus sieben weitere kritische Sektoren: Post und Kurier, Abfall, Chemie, Lebensmittel, bestimmtes verarbeitendes Gewerbe, digitale Dienste und Forschung.

Was ist der Unterschied zwischen “wichtig” und “besonders wichtig”?

Größe, im Wesentlichen. Ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz sind Sie “besonders wichtig”. Das bedeutet: proaktive Aufsicht durch das BSI und höhere mögliche Bußgelder. Aber die grundlegenden Pflichten sind für beide Kategorien dieselben.

Unsere Tochtergesellschaft hat nur 30 Mitarbeiter. Ist die betroffen?

Möglicherweise ja. Bei der Größenberechnung werden verbundene Unternehmen zusammengerechnet. Eine kleine Tochter eines großen Konzerns kann durch die Konzernzugehörigkeit die Schwellenwerte reißen.

Wir sind in mehreren Sektoren aktiv. Was gilt dann?

Die Anforderungen für alle relevanten Sektoren. Sie registrieren sich für jeden Sektor, in dem Sie tätig sind.

Was muss ich tun?

Was sind die Hauptpflichten?

Drei Dinge: Registrierung beim BSI. Meldepflicht bei erheblichen Sicherheitsvorfällen. Und zehn definierte Risikomanagementmaßnahmen umsetzen.

Was sind diese zehn Maßnahmen?

Risikoanalyse und Sicherheitskonzepte. Vorfallsbewältigung. Business Continuity. Lieferkettensicherheit. Sicherheit bei Beschaffung, Entwicklung und Wartung. Wirksamkeitsprüfung. Cyberhygiene und Schulungen. Kryptographie. Personalsicherheit und Zugriffskontrollen. Multi-Faktor-Authentifizierung.

Das klingt nach viel, und das ist es auch. Aber vieles davon sollte ein verantwortungsvolles Unternehmen sowieso tun.

Muss ich als Geschäftsführer persönlich an Schulungen teilnehmen?

Ja. Das ist keine Empfehlung, das ist Pflicht. Sie können das nicht delegieren. Die Geschäftsleitung muss ausreichende Kenntnisse haben, um Risiken zu bewerten und Maßnahmen zu genehmigen.

Meldepflichten

Was muss ich wann melden?

Bei erheblichen Sicherheitsvorfällen: Eine Frühwarnung innerhalb von 24 Stunden. Eine ausführliche Meldung innerhalb von 72 Stunden. Einen Abschlussbericht innerhalb eines Monats.

Was ist ein “erheblicher” Vorfall?

Einer, der schwerwiegende Betriebsstörungen verursacht oder verursachen kann. Oder finanzielle Verluste zur Folge hat. Oder Dritte durch materielle oder immaterielle Schäden beeinträchtigt.

Ransomware, die Produktivsysteme verschlüsselt? Erheblich. Datenabfluss mit sensiblen Informationen? Erheblich. Ein abgewehrter Phishing-Versuch? Wahrscheinlich nicht.

An wen melde ich?

Ans BSI. Über das BSI-Meldeportal, das seit dem 6. Januar 2026 freigeschaltet ist.

Registrierung

Wie registriere ich mein Unternehmen?

Erst einen Account bei “Mein Unternehmenskonto” anlegen. Dann mit diesem Account im BSI-Portal registrieren. Unternehmensdaten eingeben, Ansprechpersonen benennen, fertig.

Bis wann muss ich mich registrieren?

Innerhalb von drei Monaten nach Inkrafttreten des Gesetzes – also bis März 2026 – oder innerhalb von drei Monaten, nachdem Sie die Schwellenwerte überschritten haben.

Was passiert nach der Registrierung?

Das BSI nimmt Sie ins Register auf, schickt Ihnen Warnungen und Informationen, kann Prüfungen durchführen und bei Verstößen Maßnahmen anordnen.

Praktische Fragen

Brauche ich eine Zertifizierung für NIS-2?

Nein. NIS-2 verlangt konkrete Maßnahmen, keine Zertifikate. Das BSI prüft, ob Sie die Anforderungen erfüllen – nicht, ob Sie ein bestimmtes Zertifikat an der Wand haben. Wenn Sie bereits ein Informationssicherheitsmanagementsystem haben, ist das eine gute Basis. Falls nicht, können Sie die NIS-2-Anforderungen auch direkt umsetzen.

Wie lange dauert die Umsetzung?

Hängt davon ab, wo Sie starten. Mit einem bestehenden Informationssicherheitsmanagementsystem: Drei bis sechs Monate für Anpassungen. Ohne ISMS: Sechs bis zwölf Monate für die grundlegende Umsetzung. Vollständige Compliance ist dann ein laufender Prozess, kein Projekt mit Enddatum.

Spezialfälle

Gilt NIS-2 auch für Unternehmen außerhalb der EU?

Ja, wenn sie in der EU Dienste in den regulierten Sektoren erbringen. Sie müssen dann einen Vertreter in der EU benennen.

Wie verhält sich NIS-2 zur DSGVO?

Beide gelten parallel. Bei einem Vorfall mit personenbezogenen Daten müssen Sie ans BSI (NIS-2) und an die Datenschutzaufsichtsbehörde (DSGVO) melden. Zwei Meldungen, ähnliche Fristen, unterschiedliche Behörden.

Was ist mit dem Finanzsektor?

Für den gilt primär DORA, nicht NIS-2. DORA ist strenger und hat als sektorspezifisches Regelwerk Vorrang. Wenn Sie Bank, Versicherung oder Finanzdienstleister sind, schauen Sie sich DORA an.

Kann ich alles an einen Dienstleister auslagern?

Die operative Umsetzung ja. Die Verantwortung nein. Die Geschäftsleitung bleibt in der Letztverantwortung, auch wenn Sie einen externen CISO haben oder Ihre IT komplett outsourcen.

Gibt es Fördermittel?

Je nach Bundesland und Branche schon. Die IHKs haben oft Informationen, die Landesförderinstitute auch. Für Digitalisierung und IT-Sicherheit gibt es verschiedene Programme. Fragen Sie nach, bevor Sie alles selbst bezahlen.

Der wichtigste Punkt

NIS-2 ist kein Papiertiger. Die Anforderungen sind real, die Fristen knapp, die Strafen empfindlich. Aber mit systematischer Vorbereitung ist das machbar.

Fangen Sie an. Prüfen Sie Ihre Betroffenheit. Registrieren Sie sich. Setzen Sie die wichtigsten Maßnahmen um. Schulen Sie Ihre Leute. Etablieren Sie Meldeprozesse.

Und wenn Sie Fragen haben, die hier nicht beantwortet wurden: Fragen Sie. Es gibt keine dummen Fragen bei diesem Thema – nur teure Versäumnisse.