Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz — kurz NIS2UmsuCG. Keine Übergangsfrist, keine Schonfrist, kein “wir schauen mal”. Rund 29.500 Unternehmen sind betroffen, viele davon ahnungslos. Wer jetzt noch nichts unternommen hat, riskiert nicht nur hohe Bußgelder — sondern auch die persönliche Haftung der Geschäftsführung.
Dieser Artikel beantwortet die vier Fragen, die wir in der Beratung am häufigsten hören: Wer ist überhaupt betroffen? Was wird konkret verlangt? Wie geht man die Umsetzung an? Und was passiert, wenn man es lässt?
Wer ist betroffen?
Das ist die erste und wichtigste Frage — denn NIS2 greift nicht bei jedem Unternehmen. Die Einstufung folgt zwei Kriterien: Größe und Branche.
Größe: Betroffen sind Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Millionen Euro (§ 28 BSIG). Wer unter beiden Grenzen liegt, fällt in der Regel nicht unter das Gesetz — mit Ausnahmen (dazu gleich).
Branche: Das Unternehmen muss in einem der 18 regulierten Sektoren tätig sein:
- Kritische Infrastrukturen: Energie, Trinkwasser, Abwasser, Verkehr, Finanzwesen, Gesundheit, digitale Infrastruktur
- Industriesektoren: Maschinenbau, Chemie, Lebensmittelproduktion, Fahrzeugbau, Medizintechnik
- Dienstleister: IT-Dienstleister, Managed Service Provider, Cloud-Anbieter, Post und Kurier, Forschung, öffentliche Verwaltung
Ein oft unterschätzter Punkt: Auch Unternehmen unter 50 Mitarbeitern können betroffen sein, wenn sie als Lieferant oder Dienstleister für eine betroffene Einrichtung tätig sind. Die Lieferkettenpflicht ist eines der am häufigsten übersehenen Elemente von NIS2. Wer Zulieferer eines Automobilherstellers, Pharmaunternehmens oder Energieversorgers ist, sollte seine Einstufung prüfen — unabhängig von der eigenen Unternehmensgröße.
Eine weitere Ausnahme nach oben: Unternehmen, die als einzige Anbieter eines kritischen Dienstes in einer Region gelten, können unabhängig von Größe oder Sektor eingestuft werden.
Unsicher, ob Ihr Unternehmen betroffen ist? Das BSI stellt eine Orientierungshilfe bereit. Eine rechtlich verbindliche Einschätzung sollte jedoch mit einem Fachanwalt abgeklärt werden.
Ein Beispiel aus der Praxis, das den Punkt schärft: Ein mittelständischer Hersteller von Mess- und Regeltechnik in Baden-Württemberg — knapp 70 Mitarbeiter, kein IT-Team in Vollzeit — war überzeugt, NIS2 betreffe ihn nicht. Im Rahmen eines Lieferanten-Audits seines größten Kunden, einem Energieversorger, wurde er darauf hingewiesen, dass er als Zulieferer einer KRITIS-Einrichtung einzustufen sei und entsprechend nachweisen müsse, die NIS2-Anforderungen zu erfüllen. Die Reaktion war so typisch wie verständlich: “Das kann nicht stimmen, wir bauen Messgeräte.” Es stimmte.
Was wird konkret verlangt?
NIS2 definiert zehn Maßnahmenbereiche nach § 30 BSIG, die betroffene Unternehmen abdecken müssen. Keiner davon ist optional. Im Klartext:
1. Risikoanalyse und Sicherheitskonzepte. Dokumentierte Analyse der IT-Risiken — nicht als Einmal-Übung, sondern als laufender Prozess. Was sind die Schwachstellen? Welche Systeme sind kritisch? Was passiert, wenn sie ausfallen?
2. Incident Management. Ein klarer Prozess für den Ernstfall. NIS2 verlangt eine 24-Stunden-Erstmeldung an das BSI nach Bekanntwerden eines erheblichen Vorfalls, eine detaillierte Folgemeldung nach 72 Stunden und einen Abschlussbericht nach einem Monat. Wer diese Fristen im Ernstfall einhalten muss, braucht vorab definierte Abläufe — unsere Incident Response & IT-Forensik-Leistungen decken genau diesen Prozess ab, von der Sofortmaßnahme bis zur fristgerechten BSI-Meldung.
3. Business Continuity. Backup-Konzept, Notfallplan, Wiederherstellungsplan. Was passiert, wenn die Systeme für drei Tage ausfallen?
4. Supply-Chain-Sicherheit. Lieferanten und Dienstleister müssen bewertet werden. Welche externen Parteien haben Zugang zu Ihren Systemen? Wie sicher sind deren Prozesse?
5. Sicherheit bei Entwicklung und Beschaffung. Sicherheitsanforderungen müssen bereits beim Einkauf von Hard- und Software berücksichtigt werden.
6. Schwachstellenmanagement. Patches und Updates müssen strukturiert und zeitnah eingespielt werden. Ungepatchte Systeme sind nach NIS2 ein dokumentiertes Compliance-Versagen.
7. Wirksamkeit der Maßnahmen messen. Sicherheitsmaßnahmen müssen nicht nur eingeführt, sondern auch regelmäßig auf ihre Wirksamkeit geprüft werden — durch interne Audits oder externe Dienstleister.
8. Cyber-Hygiene und Schulungen. Multifaktor-Authentifizierung, sichere Passwort-Richtlinien, Mitarbeiterschulungen. Die Geschäftsführung selbst muss nachweisbar an NIS2-Schulungen teilgenommen haben — das ist gesetzlich vorgeschrieben, nicht optional.
9. Kryptografie und Verschlüsselung. Sensible Daten müssen verschlüsselt übertragen und gespeichert werden.
10. BSI-Registrierung. Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Wer das versäumt hat: Nachregistrierung ist möglich, aber Verspätungen werden vermerkt.
Wie geht man die Umsetzung an?
Die gute Nachricht: Wer bereits grundlegende IT-Sicherheitsmaßnahmen betreibt, hat einen Teil der Arbeit erledigt. Die schlechte Nachricht: Viele Unternehmen haben zwar einzelne Maßnahmen eingeführt, aber kein vollständiges, dokumentiertes Sicherheitskonzept, das den Anforderungen standhält. Die Lücke ist größer als sie auf den ersten Blick scheint — und sie muss strukturiert geschlossen werden.
Schritt 1: Betroffenheit prüfen. Klären Sie mit einem IT-Berater und ggf. einem Rechtsanwalt, ob und in welcher Kategorie Ihr Unternehmen fällt. Besonders wichtige oder wichtige Einrichtung — das bestimmt die Höhe der möglichen Bußgelder und den Umfang der Pflichten.
Schritt 2: Ist-Zustand aufnehmen. Wo stehen Sie heute? Welche der zehn Maßnahmenbereiche sind bereits abgedeckt, welche nicht? Ein strukturiertes Audit schafft Klarheit und zeigt den Handlungsbedarf. Eine NIS2-Gap-Analyse, wie sie Teil unserer Security-Audits & Compliance-Leistungen ist, nimmt die gesetzlichen Anforderungen systematisch auf und liefert eine priorisierte Handlungsliste — auch als Grundlage für eine spätere ISO-27001-Vorbereitung.
Schritt 3: Prioritäten setzen. Nicht alles auf einmal. Priorisieren Sie nach Risiko: MFA einführen, Backup-Konzept prüfen, Incident-Response-Prozess dokumentieren — das sind die drei Maßnahmen mit dem höchsten Schutzeffekt bei vertretbarem Aufwand.
Schritt 4: Dokumentation aufbauen. NIS2 verlangt Nachweise. Was nicht dokumentiert ist, gilt als nicht gemacht. Das gilt für Risikoanalysen genauso wie für Mitarbeiterschulungen oder Patch-Protokolle.
Schritt 5: BSI-Registrierung nachholen (falls noch nicht geschehen). Die Registrierung ist über das BSI-Portal möglich. Auch verspätet.
Wir starten in der Beratung in der Regel mit einem strukturierten NIS2-Schnellcheck: In zwei bis drei Stunden nehmen wir gemeinsam Ihren Ist-Zustand auf, ordnen ihn den zehn Maßnahmenbereichen zu und liefern eine priorisierte Liste mit konkreten nächsten Schritten. Das gibt Klarheit darüber, wo Sie stehen — und schafft die Grundlage für eine realistische Umsetzungsplanung.
Was passiert, wenn man es nicht umsetzt?
Das ist der Teil, der in den meisten Artikeln zu NIS2 zu kurz kommt — und der Entscheidungsträger am stärksten interessiert.
Bußgelder sind gestaffelt nach Kategorie:
- Besonders wichtige Einrichtungen (z.B. Energie, Gesundheit, große IT-Dienstleister): bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.
- Wichtige Einrichtungen (z.B. mittlere IT-Dienstleister, Maschinenbau, Logistik): bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes.
Das sind keine theoretischen Maximalwerte. Die europäischen Behörden haben klar signalisiert, dass NIS2 aktiv durchgesetzt wird.
Persönliche Haftung der Geschäftsführung ist der Punkt, der viele überrascht — und der NIS2 von früheren Regelungen fundamental unterscheidet.
§ 38 BSIG macht Geschäftsführer und Vorstände persönlich verantwortlich für die Billigung und Überwachung der Sicherheitsmaßnahmen. Das bedeutet konkret:
- Geschäftsführer haften mit ihrem Privatvermögen — ein Haftungsverzicht durch Gesellschaftervertrag oder Satzung ist gesetzlich ausgeschlossen.
- Einzelpersonen können mit bis zu 500.000 Euro Bußgeld belegt werden — getrennt von den Strafen gegen das Unternehmen.
- Bei grober Fahrlässigkeit ist ein temporäres Berufsverbot möglich.
- In besonders schweren Fällen ist eine strafrechtliche Verfolgung nicht ausgeschlossen.
Mit anderen Worten: NIS2-Compliance ist keine IT-Aufgabe. Es ist Chefsache.
Reputationsschaden kommt hinzu. Ein Sicherheitsvorfall muss dem BSI gemeldet werden — und kann damit öffentlich werden. Im B2B-Bereich, wo Vertrauen Geschäftsgrundlage ist, kann das erhebliche Folgen für Kundenbeziehungen und Neugeschäft haben.
Warten ist keine Strategie
NIS2 ist kein Thema mehr, das man “beobachten” kann. Es gilt seit Dezember 2025, die Registrierungsfrist ist abgelaufen, und die Behörden beginnen mit der Durchsetzung. Die Frage ist nicht, ob Ihr Unternehmen compliant sein muss — die Frage ist, wie schnell Sie die Lücken schließen können.
Wer strukturiert vorgeht, stellt fest, dass viele Maßnahmen ohnehin sinnvoll sind — unabhängig von NIS2. Multifaktor-Authentifizierung, gepatchte Systeme, ein getestetes Backup-Konzept schützen nicht nur vor Bußgeldern, sondern vor echten Angriffen. Wie ein robuster Schutzrahmen für Ihr Unternehmen aussieht, zeigen unsere Cyber Shield-Leistungen. Den operativen Unterbau — laufendes Patch-Management, strukturiertes Monitoring, dokumentierte Prozesse — deckt ein ganzheitliches Managed-IT-Konzept ab, das NIS2-Anforderungen von Anfang an mitdenkt.
Sie sind unsicher, ob Ihr Unternehmen unter NIS2 fällt — oder wissen bereits, dass Handlungsbedarf besteht? Kontaktieren Sie uns für einen kostenlosen NIS2-Schnellcheck: Wir nehmen Ihren Ist-Zustand auf und zeigen Ihnen, welche Schritte als nächste sinnvoll sind. Unverbindlich, ohne Vertriebsdruck.
Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechts- oder Steuerberatung. Für eine verbindliche Einschätzung empfehlen wir, einen Fachanwalt hinzuzuziehen.
Quellen:
- BSI: NIS2-Umsetzungsgesetz Überblick: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2/nis2_node.html
- Bundesministerium des Innern: NIS2UmsuCG: https://www.bmi.bund.de/DE/themen/it-und-digitalpolitik/it-sicherheit/nis-2/nis-2-artikel.html
- BSI Lagebericht IT-Sicherheit in Deutschland 2025: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lageberichte/lageberichte_node.html