Stand: April 2026 · Seit 6. Dezember 2025 in Kraft

NIS-2 verstehen: Pflichten für Unternehmen einfach erklärt

Die NIS-2-Richtlinie verpflichtet Unternehmen in kritischen Sektoren zu umfassenden Cybersicherheitsmaßnahmen. Erfahren Sie in 5 Minuten, ob und wie Sie betroffen sind – und was Sie konkret tun müssen.

NIS-2 Quick Check anfragen Lösungsangebote ansehen

NIS-2 in 90 Sekunden

Die NIS-2-Richtlinie ist die EU-weite Cybersicherheits-Verordnung, in Deutschland umgesetzt durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Kraft seit dem 6. Dezember 2025 ohne Übergangsfrist. Sie verpflichtet rund 29.500 Unternehmen in Deutschland ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in 18 kritischen Sektoren zu Risikomanagement, technischen und organisatorischen Sicherheitsmaßnahmen, Meldepflichten innerhalb von 24/72 Stunden sowie nachweisbarer Dokumentation. Die Geschäftsleitung haftet persönlich. Bußgelder reichen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Was ist NIS-2?

NIS-2 ist die EU-Richtlinie zur Erhöhung der Cybersicherheit und Resilienz kritischer und wichtiger Unternehmen. Ziel ist es, Ausfälle, Cyberangriffe und Sicherheitsvorfälle besser zu verhindern, zu erkennen und zu melden.

Wichtige Eckpunkte:

  • Ersetzt und verschärft die ursprüngliche NIS-Richtlinie
  • Legt Mindeststandards für Sicherheitsmaßnahmen fest
  • Führt klare Verantwortlichkeiten der Geschäftsleitung ein

Wichtig: NIS-2 ist verbindlich, kein freiwilliger Standard.

Ab wann gilt NIS-2?

NIS-2 ist auf EU-Ebene seit 2024 wirksam. In Deutschland gilt das nationale NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 – ohne Übergangsfrist. Wer betroffen ist, muss seit diesem Datum compliant sein. Die Registrierung beim BSI muss innerhalb von drei Monaten nach Inkrafttreten erfolgen, also bis spätestens März 2026. Das BSI-Meldeportal für Sicherheitsvorfälle ist seit dem 6. Januar 2026 freigeschaltet.

Wer heute noch nicht angefangen hat, hat Zeitdruck – aber immer noch Handlungsoptionen.

Wer ist von NIS-2 betroffen?

NIS-2 richtet sich insbesondere an „wesentliche" und „wichtige" Einrichtungen in bestimmten Sektoren.

Betroffene Sektoren

Energie

Strom, Gas, Fernwärme, Wasserstoff, Öl

Verkehr

Luftfahrt, Schifffahrt, Bahn, Straßenverkehr

Gesundheit

Krankenhäuser, Labore, Pharmaindustrie

Trinkwasser & Abwasser

Versorgung und Entsorgung

Finanz & Versicherung

Banken, Börsen, Versicherungen

Digitale Infrastruktur

Cloud-Dienste, Rechenzentren, DNS

Öffentliche Verwaltung

Bund, Länder, Kommunen

Industrie & Produktion

Kritische Güter und Materialien

IT & Sicherheitsdienstleister

Je nach Rolle in der Lieferkette

Daumenregel: Wann bin ich typischerweise betroffen?

  • ≥ 50 Mitarbeitende und/oder ≥ 10 Mio. EUR Umsatz/Bilanzsumme
  • UND Tätigkeit in einem der relevanten Sektoren oder als wichtiger Dienstleister in der Lieferkette

Wichtig: Auch Zulieferer können indirekt verpflichtet werden, weil ihre Kunden NIS-2-Konformität verlangen.

Unsicher, ob Sie betroffen sind?

Mit unserem Quick Check klären wir in wenigen Tagen, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt und erhalten eine erste Risikoeinschätzung.

Quick Check anfragen →

Was verlangt NIS-2 konkret?

NIS-2 schreibt kein einzelnes Tool vor, sondern ein gesamtes Sicherheits- und Risikomanagementsystem.

Risikoanalyse & Risikomanagement

Systematische Identifikation, Bewertung und Behandlung von Cyber-Risiken für IT- und OT-Systeme. Laufende Überwachung und Anpassung der Maßnahmen.

Technische & organisatorische Sicherheitsmaßnahmen

Zugriffskontrolle, Backup-Strategien, Patch-Management, Verschlüsselung und weitere technische Schutzmaßnahmen.

Incident-Management & Meldepflichten

Erkennung und Behandlung von Sicherheitsvorfällen mit definierten Prozessen. Meldepflichten an zuständige Behörden bei erheblichen Vorfällen.

Management-Verantwortung & Berichtspflichten

Die Geschäftsleitung trägt die Verantwortung für die Umsetzung und muss diese nachweisbar wahrnehmen.

Schulungen & Sensibilisierung

Regelmäßige Schulungen für Mitarbeitende und Management. Sensibilisierung für Cyber-Bedrohungen und sichere Arbeitsweisen.

Sicherheitsanforderungen an Dienstleister & Lieferkette

Sicherstellung, dass auch Ihre Dienstleister und Zulieferer angemessene Sicherheitsmaßnahmen umsetzen.

Umfassende Dokumentation & Nachweisführung

Lückenlose Dokumentation aller Maßnahmen, Prozesse und Vorfälle. Bereitstellung für Audits und Behördenprüfungen.

Welche Risiken bestehen bei Nicht-Umsetzung?

NIS-2 sieht bei Verstößen Bußgelder und persönliche Verantwortung der Geschäftsleitung vor.

Finanzielle Konsequenzen

  • Bußgelder deutlich höher als bisher (Größenordnung ähnlich anderen Compliance-Regimen)
  • Auflagen und Maßnahmen durch Behörden (z. B. BSI)

Persönliche Haftung & Reputation

  • Persönliche Haftungsrisiken für Geschäftsleiter bei grober Pflichtverletzung
  • Reputationsschäden bei Vorfällen und öffentlichen Meldungen

Hinweis: Ziel ist nicht Bestrafung, sondern ein hohes und nachweisbares Sicherheitsniveau – das muss aber gesteuert werden.

Wie gehe ich strukturiert vor?

Ihr Fahrplan zur NIS-2-Konformität

01

Betroffenheit & Risikostatus klären

Quick Check, Gap-Analyse durchführen

02

Maßnahmenplan erstellen

Risiken priorisieren, Verantwortlichkeiten festlegen

03

Maßnahmen umsetzen

Technische & organisatorische Maßnahmen, Prozesse, Tools, Schulungen

04

Dokumentation & Nachweise aufbauen

Policies, Protokolle, Reports erstellen

05

Laufendes Monitoring & regelmäßige Reviews

Audits, Updates, Anpassungen durchführen

Genau diesen Prozess bildet unser laufendes NIS-2-Compliance-System ab – Plattform, Automatisierung und Service aus einer Hand. Mehr zu unseren Leistungen

Häufige Fragen zur NIS-2-Richtlinie

Was ist die NIS-2-Richtlinie?+

NIS-2 ist die EU-Richtlinie zur Cybersicherheit in kritischen und wichtigen Sektoren. In Deutschland gilt sie über das NIS2-Umsetzungsgesetz seit dem 6. Dezember 2025 ohne Übergangsfrist. Sie verpflichtet betroffene Unternehmen zu Risikomanagement, technischen und organisatorischen Sicherheitsmaßnahmen, Meldepflichten bei Sicherheitsvorfällen sowie zu nachweisbarer Dokumentation. Die Geschäftsleitung trägt persönliche Verantwortung.

Seit wann gilt NIS-2 in Deutschland?+

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten – ohne Übergangsfrist. Wer betroffen ist, muss seit diesem Datum compliant sein. Die Registrierung beim BSI muss innerhalb von drei Monaten nach Inkrafttreten erfolgen, also bis März 2026. Das BSI-Meldeportal für Sicherheitsvorfälle ist seit dem 6. Januar 2026 freigeschaltet.

Welche Unternehmen sind von NIS-2 betroffen?+

Betroffen sind Unternehmen, die zwei Bedingungen gleichzeitig erfüllen: Sie sind in einem der 18 regulierten Sektoren tätig (Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur, IT-Dienste, öffentliche Verwaltung, Lebensmittel, Chemie, Post u. a.) UND sie haben mindestens 50 Mitarbeitende oder einen Jahresumsatz von 10 Millionen Euro. Schätzungen gehen von rund 29.500 betroffenen Unternehmen in Deutschland aus.

Was ist der Unterschied zwischen 'wichtig' und 'besonders wichtig'?+

Der Unterschied liegt in der Größe und damit in der Aufsichtstiefe. Ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz gilt ein Unternehmen als 'besonders wichtig' und unterliegt proaktiver BSI-Aufsicht sowie höheren Bußgeldrahmen (bis 10 Mio. Euro). 'Wichtige' Einrichtungen werden anlassbezogen geprüft, der Bußgeldrahmen liegt bei bis zu 7 Millionen Euro. Die inhaltlichen Pflichten sind für beide Kategorien identisch.

Welche Bußgelder drohen bei Verstößen?+

Besonders wichtige Einrichtungen riskieren bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Wichtige Einrichtungen riskieren bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Hinzu kommt die persönliche Haftung der Geschäftsleitung mit dem Privatvermögen bei grober Pflichtverletzung. Behördliche Anordnungen, Reputationsschäden und der Verlust von Ausschreibungen können die finanziellen Folgen weiter erhöhen.

Was sind die zehn NIS-2-Mindestmaßnahmen?+

Das NIS2-Umsetzungsgesetz fordert zehn konkrete Risikomanagement-Maßnahmen: 1) Risikoanalyse und Sicherheitskonzepte, 2) Bewältigung von Sicherheitsvorfällen, 3) Business Continuity, 4) Lieferkettensicherheit, 5) Sicherheit bei Beschaffung, Entwicklung und Wartung, 6) Wirksamkeitsprüfung, 7) Cyberhygiene und Schulungen, 8) Kryptographie, 9) Personalsicherheit und Zugriffskontrollen, 10) Multi-Faktor-Authentifizierung. Alle Maßnahmen müssen dokumentiert und nachweisbar umgesetzt sein.

Welche Meldepflichten bestehen bei Sicherheitsvorfällen?+

NIS-2 sieht ein dreistufiges Meldesystem ans BSI vor: Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen, eine ausführliche Meldung innerhalb von 72 Stunden, der Abschlussbericht innerhalb eines Monats. Meldepflichtig sind 'erhebliche' Sicherheitsvorfälle mit schwerwiegenden Betriebsstörungen, finanziellen Verlusten oder Schäden für Dritte. Die Meldung erfolgt über das BSI-Meldeportal, das seit dem 6. Januar 2026 freigeschaltet ist.

Brauche ich für NIS-2 eine ISO-27001-Zertifizierung?+

Nein. NIS-2 fordert konkrete Maßnahmen, keine Zertifikate. Das BSI prüft, ob die Anforderungen erfüllt sind, nicht ob ein bestimmtes Zertifikat vorliegt. Ein bestehendes Informationssicherheits-Managementsystem nach ISO 27001 kann die Umsetzung erleichtern, ist aber keine Voraussetzung. Der direkte Weg über NIS-2-spezifische Maßnahmen ist häufig schneller und kostengünstiger als der Umweg über eine Zertifizierung.

Nächster Schritt: NIS-2 Quick Check

Wenn Sie wissen wollen, ob Ihr Unternehmen NIS-2-pflichtig ist und wie Ihr aktueller Risikostatus aussieht, starten Sie mit einem strukturierten Quick Check.

Was der Quick Check liefert:

  • Betroffenheitsprüfung & Risikostatus (Ampel)
  • Übersicht fehlender Maßnahmen
  • Handlungsempfehlung als PDF + Option auf vollständige Betreuung
NIS-2 Quick Check anfragen