NIS2 & NIS2UmsuCG

NIS2 verlagert die Haftung auf den Schreibtisch der Geschäftsführung

Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Es setzt die EU-Richtlinie NIS2 um — ohne Übergangsfrist. Rund 29.500 Unternehmen sind betroffen. Ich habe hier in klarer Sprache zusammengetragen: wen es betrifft, was gefordert wird, welche Bußgelder drohen und was zuerst zu tun ist.

Dieser Beitrag dient der Information und ist keine Rechtsberatung. Die endgültige Einordnung Ihres Unternehmens sollten Sie mit einem Anwalt bestätigen.

Was NIS2 ist

NIS2 ist die EU-Cybersicherheitsrichtlinie — formal die Richtlinie (EU) 2022/2555. Sie hat die ältere NIS-Richtlinie von 2016 abgelöst und die Anforderungen deutlich angehoben: mehr Sektoren, mehr Pflichten und spürbare Bußgelder. Ziel ist ein gemeinsam hohes Cybersicherheitsniveau in der gesamten Union.

Jeder Mitgliedstaat setzt die Richtlinie in nationales Recht um. In Deutschland tut das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das den Bundestag am 13. November 2025 passiert hat und am 6. Dezember 2025 in Kraft getreten ist. Zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Mit dem NIS-2-Umsetzungsgesetz müssen rund 29.500 Unternehmen neue Pflichten in der Informationssicherheit erfüllen — eine Übergangsfrist sieht das Gesetz nicht vor.— Bundesamt für Sicherheit in der Informationstechnik, bsi.bund.de
Kurz gefasst

Drei Dinge, die man wissen muss

Wen es betrifft

Firmen ab 50 Personen

Mittlere und große Einrichtungen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) in 18 Sektoren — u. a. Produktion, Energie, Transport, Gesundheit, digitale Dienste. Auch deren Zulieferer, über Anforderungen in Verträgen.

Bußgeld

Bis 10 Mio. €

Für besonders wichtige Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Umsatzes; für wichtige Einrichtungen bis 7 Mio. € oder 1,4 %. Dazu die persönliche Verantwortung der Geschäftsleitung.

Frist

Seit 6. Dez. 2025

Das Gesetz gilt seit dem 6. Dezember 2025 — ohne Übergangsfrist. Die Registrierung beim BSI war innerhalb von drei Monaten fällig, bis zum 6. März 2026.

Geltungsbereich

Wen NIS2 betrifft

Das Gesetz teilt Unternehmen in zwei Kategorien — besonders wichtige und wichtige Einrichtungen — je nach Sektor und Größe.

Besonders wichtige Einrichtungen

Größere Firmen in kritischen Sektoren

In der Regel Unternehmen ab 250 Mitarbeitenden oder 50 Mio. € Umsatz in den kritischen Sektoren des Gesetzes. Sie unterliegen strengerer Aufsicht und höheren Bußgeldern.

Wichtige Einrichtungen

Mittlere Firmen in erfassten Sektoren

Mittlere Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) aus den erfassten Sektoren, die die Schwellen für besonders wichtige Einrichtungen nicht erreichen. Niedrigere Bußgeldgrenze, dieselben Grundpflichten.

Erfasste Sektoren

Anlage 1 — Sektoren mit hoher Kritikalität

  • Energie, Transport, Bank- und Finanzmarktinfrastruktur
  • Gesundheitswesen, Trinkwasser und Abwasser
  • Digitale Infrastruktur und Verwaltung von IKT-Diensten
  • Öffentliche Verwaltung und Weltraum

Anlage 2 — sonstige kritische Sektoren

  • Produktion (u. a. Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Post- und Kurierdienste, Abfallwirtschaft
  • Chemieproduktion und Anbieter digitaler Dienste

Der Dominoeffekt in der Lieferkette

Selbst wenn Ihr Unternehmen nicht direkt unter NIS2 fällt, kann es indirekt hineingezogen werden. Wenn Sie Software, Infrastruktur oder kritische Dienste für eine erfasste Einrichtung liefern, muss der Auftraggeber prüfen, wie Sie Cybersicherheit handhaben. In der Praxis bedeutet das Vertragsklauseln, die Ihnen ähnliche Anforderungen auferlegen wie dem großen Kunden.

Pflichten

Was das Gesetz verlangt — zehn Bereiche

Die Richtlinie legt einen Mindestsatz an Risikomanagementmaßnahmen fest. Sie schreibt die geforderten Ergebnisse vor und überlässt die Wahl der Technik dem Unternehmen.

  • Konzepte für Risikoanalyse und Sicherheit der Informationssysteme
  • Bewältigung von Sicherheitsvorfällen — Erkennung, Reaktion, Dokumentation
  • Aufrechterhaltung des Betriebs: Backups, Notfallwiederherstellung, Krisenmanagement
  • Sicherheit der Lieferkette, einschließlich der Beziehungen zu Software-Lieferanten
  • Sicherheit bei Beschaffung, Entwicklung und Wartung, inklusive Schwachstellenmanagement
  • Verfahren zur Bewertung der Wirksamkeit der Risikomaßnahmen
  • Grundlegende Cyberhygiene und regelmäßige Schulungen des Personals
  • Kryptografie und Verschlüsselung, wo sinnvoll
  • Personalsicherheit, Zugriffskontrolle und Management von Anlagen
  • Multi-Faktor-Authentifizierung (MFA) und sichere Kommunikation
Meldung

Vorfälle melden — 24 / 72 Stunden / 30 Tage

Ein erheblicher Sicherheitsvorfall wird stufenweise an das BSI gemeldet. Die Fristen laufen ab dem Zeitpunkt der Kenntnisnahme.

Stufe 1

24 Stunden

Frühwarnung. Erste Meldung des Vorfalls an das BSI, mit Angabe, ob er auf rechtswidrige oder böswillige Handlungen zurückgehen könnte.

Stufe 2

72 Stunden

Meldung mit erster Bewertung von Schwere und Auswirkung sowie mit Kompromittierungsindikatoren (IoC, indicators of compromise).

Stufe 3

30 Tage

Abschlussbericht: vollständige Beschreibung des Vorfalls, Ursachenanalyse, ergriffene Maßnahmen und etwaige grenzüberschreitende Auswirkungen.

Bußgelder und Haftung der Geschäftsleitung

Das Gesetz führt Bußgelder ein, die im Budget jedes Unternehmens ins Gewicht fallen. Für besonders wichtige Einrichtungen reichen sie bis 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind es bis 7 Mio. € oder 1,4 %.

Neu und entscheidend: Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen — und haftet bei Verstößen. Diese Verantwortung lässt sich nicht vollständig delegieren und nicht abbedingen. Cybersicherheit ist damit endgültig Chefsache, keine Frage mehr allein der IT-Abteilung.

Anders als in manchen Nachbarländern gibt es in Deutschland keine Schonfrist: Das Gesetz gilt seit dem ersten Tag, ohne Übergangsfrist. Von rund 29.500 betroffenen Unternehmen hatten sich bis zum Ende der Registrierungsfrist erst etwa 11.500 registriert — der Rückstand ist branchenweit erheblich.

Zeitplan in Deutschland

Termine, die man sich notieren sollte

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Bundesregierung.

Inkrafttreten

6. Dezember 2025

Das NIS2UmsuCG tritt in Kraft — ohne Übergangsfrist. Pflichten gelten ab Tag eins.

Registrierung

6. März 2026

Ende der dreimonatigen Frist zur Registrierung betroffener Einrichtungen beim BSI.

Laufende Pflichten

Fortlaufend

Risikomanagement, Meldung von Vorfällen (24 / 72 h / 30 Tage), Nachweis- und Dokumentationspflichten — dauerhaft aufrechtzuerhalten.

Nachweise

Auf Verlangen

Das BSI kann Nachweise über die Umsetzung der Maßnahmen anfordern; besonders wichtige Einrichtungen unterliegen regelmäßiger Aufsicht.

So baue ich NIS2-feste Systeme

Drei Architekturentscheidungen treffe ich vom ersten Tag jedes Projekts an — weil sie ohnehin in Richtung Konformität mit der Richtlinie führen.

Die Daten bleiben bei Ihnen. Alles, was ich baue, läuft in der Infrastruktur des Kunden (on-prem oder auf einem Server, den Sie selbst kontrollieren). Das löst das Lieferketten-Problem auf technischer Ebene, bevor überhaupt darüber gesprochen wird.

Audit-Protokolle ab dem ersten Tag. Der Server führt sie automatisch: wer, wann, was. Dazu ergänze ich jede Protokollierung, die Sie brauchen oder die Vorschriften verlangen. Die Zugriffskontrolle wirkt auf Datensatz-Ebene, nicht nur auf dem Bildschirm.

Die Dokumentation entsteht von selbst. Sie wird automatisch mit dem Aufbau des Systems erzeugt. Sie erhalten ein fertiges Paket, das Sie im Grunde jederzeit selbst aus dem System generieren können — und als Grundlage für weitere erforderliche Unterlagen nutzen.

Quellen

  • Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex
  • BSI — NIS-2-Umsetzungsgesetz in Kraft — bsi.bund.de
  • Bundesregierung — Umsetzung der NIS-2-Richtlinie — bundesregierung.de
  • ENISA — Agentur der Europäischen Union für Cybersicherheit — enisa.europa.eu

Stand: Juli 2026. Informationsmaterial, keine Rechtsberatung.

Erster Schritt

30 Minuten buchen. Jede Mail beantworte ich selbst.

Das erste Gespräch ist für mich ein ruhiges Kennenlernen. Ich prüfe, ob ich überhaupt helfen kann. Keine Folien, kein Verkaufsdruck. Wenn ich sehe, dass es nicht passt, sage ich es direkt.

Sie sprechen lieber, als zu schreiben? Wählen Sie einen Termin im Kalender — wir treffen uns per Zoom:
Cal.com öffnen →

Telefon +48 601 789 966 — Sie können anrufen, ich gehe selbst ran.

Bitte Name und Firma angeben.
Bitte Telefonnummer oder E-Mail-Adresse angeben.
Bitte Unternehmensgröße wählen.
Bitte Branche wählen.
Beschreiben Sie kurz, worüber Sie sprechen möchten.

Gesendet. Danke.

Ich antworte innerhalb eines Arbeitstages, meist schneller.