künstliche Intelligenz
Januar 7, 2026
30.000 deutsche Unternehmen müssen bis März 2026 handeln. Wer jetzt noch zögert, riskiert nicht nur Bußgelder bis 10 Millionen Euro – sondern auch die persönliche Haftung der Geschäftsführung. Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft, und die Uhr tickt.
Stellen Sie sich vor: Ein Montagmorgen im April 2026. Sie kommen ins Büro, und das BSI steht vor der Tür. Nicht zum Kaffeetrinken. Sondern weil Ihr Unternehmen sich nicht für NIS2 registriert hat.
Das klingt dramatisch?
Ist es auch. Denn was am 6. Dezember 2025 still und leise in Kraft trat, ist nichts weniger als eine Revolution der deutschen Cybersicherheits-Landschaft. Die NIS2-Richtlinie – ausgeschrieben: die Netzwerk- und Informationssicherheitsrichtlinie 2.0 – macht aus etwa 4.500 bisher regulierten KRITIS-Betreibern plötzlich rund 30.000 betroffene Unternehmen und Organisationen. Ja, Sie haben richtig gelesen: sechsmal so viele.
Wir bei digital-magazin.de haben uns durch Gesetzestexte, BSI-Verlautbarungen und Expertenanalysen gewühlt, um Ihnen den klaren Durchblick zu verschaffen. Was bedeutet NIS2 konkret? Ist Ihr Unternehmen betroffen? Und vor allem: Was müssen Sie jetzt tun?
Die NIS2-Richtlinie ist die überarbeitete Version der ursprünglichen NIS-Richtlinie von 2016.
Damals ging es im Kern darum, Betreiber kritischer Infrastrukturen – Energieversorger, Krankenhäuser, Wasserwerke – besser vor Cyberangriffen zu schützen. Das Problem: Die alte NIS-Richtlinie war zu eng gefasst. Zu viele digitalisierte Unternehmen fielen nicht darunter. Cloud-Anbieter? Logistikunternehmen? Lebensmittelhersteller? Alles nicht reguliert.
Die EU-Kommission erkannte: Das kann so nicht weitergehen. Die Cyberbedrohungen werden täglich mehr, ausgefeilter, destruktiver. Ransomware-Angriffe auf Lieferketten legen ganze Branchen lahm. Ein einziger Vorfall bei einem Software-Anbieter kann Hunderttausende Kunden betreffen – die fünf größten Gefahren für Unternehmen im Netz sind längst nicht mehr nur Theorie.
Also kam NIS2 – verabschiedet im Dezember 2022, mit Umsetzungsfrist bis Oktober 2024 für alle EU-Mitgliedstaaten. Deutschland schaffte das nicht, genau wie 23 andere Länder. Die EU-Kommission leitete Vertragsverletzungsverfahren ein. Erst im November 2025 verabschiedete der Bundestag das Umsetzungsgesetz, der Bundesrat nickte am 21. November ab. Am 5. Dezember wurde es im Bundesgesetzblatt verkündet, am 6. Dezember trat es in Kraft.
Ohne Übergangsfrist.
Das heißt: Seit dem 6. Dezember 2025 gelten die neuen Regeln. Punkt.
Der offizielle Titel des deutschen Gesetzes lautet „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ – ein Zungenbrecher, den sich niemand merken muss. Kurz: NIS2-Umsetzungsgesetz oder NIS2UmsuCG.
Das Herzstück ist die massive Novellierung des BSI-Gesetzes (BSIG). Das BSI – das Bundesamt für Sicherheit in der Informationstechnik – wird zur zentralen Aufsichtsbehörde für die neuen NIS2-Pflichten. Zusätzlich wurden das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG) angepasst. Für Finanzunternehmen gilt parallel die DORA-Verordnung, die eigene Cybersecurity-Anforderungen stellt.
Hand aufs Herz: Die meisten Unternehmen haben von alldem noch nichts mitbekommen.
Das liegt auch daran, dass Deutschland die Deadline so deutlich verpasst hat. Während andere EU-Länder schon seit Monaten registrieren und kontrollieren, stand Deutschland bis vor Kurzem noch am Gesetzgebungsprozess herum. Vorgezogene Wahlen, Regierungswechsel – das volle Programm. Jetzt ist das Gesetz da, und die Unternehmen müssen Gas geben.
Das Problem: Das BSI benachrichtigt Unternehmen nicht automatisch, ob sie betroffen sind. Jeder muss selbst prüfen. Und zwar gründlich.
Wer fällt unter NIS2?
Zunächst: Es gibt 18 kritische Sektoren, aufgeteilt in zwei Kategorien. Die Sektoren mit hoher Kritikalität (Anhang 1) umfassen elf Bereiche:
Die sonstigen kritischen Sektoren (Anhang 2) ergänzen das Ganze um sieben weitere Bereiche:
Allein die Liste zeigt: Das sind nicht mehr nur die klassischen KRITIS-Betreiber. Das ist ein riesiger Teil der deutschen Wirtschaft.
Aber Moment – nur weil Sie in einem dieser Sektoren tätig sind, heißt das nicht automatisch, dass Sie betroffen sind. Es kommt auch auf die Größe an.
Besonders wichtige Einrichtungen sind Großunternehmen mit:
…die in einem Sektor hoher Kritikalität tätig sind.
Wichtige Einrichtungen sind mittelständische Unternehmen mit:
…die in einem der 18 kritischen Sektoren (egal ob Anhang 1 oder 2) tätig sind.
Zusätzlich gibt es Betreiber kritischer Anlagen – das sind die bisherigen KRITIS-Betreiber, die automatisch als besonders wichtige Einrichtungen gelten, unabhängig von ihrer Größe.
Klingt kompliziert?
Ist es auch. Eine Umfrage des Maschinenbauverbands VDMA zeigte, dass etwa 90 Prozent der befragten Unternehmen in diesem Sektor von NIS2 betroffen sind – aber viele das gar nicht wussten. Die Betroffenheitsprüfung ist keine Kleinigkeit. Sie müssen Ihre Sektorzugehörigkeit genau analysieren, Ihre Unternehmensgröße korrekt einschätzen und dokumentieren, warum Sie betroffen sind (oder nicht).
Falls Sie unsicher sind: Lieber einmal zu viel prüfen als einmal zu wenig.
Was müssen betroffene Unternehmen konkret tun?
NIS2 fordert zehn zentrale Risikomanagementmaßnahmen – technische und organisatorische Maßnahmen (TOMs), die dokumentiert und wirksam sein müssen. Hier die Übersicht:
| Maßnahme | Beschreibung |
|---|---|
| 1. Risikoanalyse und Sicherheitskonzepte | Systematische Identifikation und Bewertung von IT-Sicherheitsrisiken (z. B. nach BSI-Standard 200-3) |
| 2. Incident-Response-System | Prozesse zur Bewältigung von Sicherheitsvorfällen – von der Erkennung bis zur Wiederherstellung. Regelmäßig testen! |
| 3. Business Continuity Management | Backup-Strategien, Notfallpläne, Wiederherstellungsverfahren – damit der Betrieb auch nach einem Angriff weitergeht. IT-Resilienz ist hier der Schlüssel zum Erfolg. |
| 4. Supply Chain Security | Sicherheitsüberprüfung von Lieferanten und Dienstleistern. Verträge mit Sicherheitsklauseln abschließen |
| 5. Sicherheit bei Beschaffung und Entwicklung | Sichere Entwicklungsprozesse, Schwachstellenmanagement, regelmäßige Updates |
| 6. Wirksamkeitsbewertung | Überprüfen, ob die Maßnahmen tatsächlich funktionieren – durch Audits, Tests, Kennzahlen |
| 7. Schulungen und Sensibilisierung | Regelmäßige Trainings für Mitarbeiter und Management zur Informationssicherheit |
| 8. Kryptografie | Einsatz von Verschlüsselung für sensible Daten – sowohl in Ruhe (at rest) als auch bei Übertragung (in transit) |
| 9. Zugriffskontrolle und Personalsicherheit | Klare Berechtigungskonzepte, Verwaltung von IKT-Systemen, Überprüfung von Personal mit Zugang zu kritischen Systemen |
| 10. Multi-Faktor-Authentifizierung | MFA für alle kritischen Systeme. Gesicherte Kommunikation (Sprache, Video, Text). Notfallkommunikationssysteme |
Diese Maßnahmen müssen verhältnismäßig sein. Das bedeutet: Ein kleines mittelständisches Unternehmen muss nicht die gleiche Infrastruktur wie ein Energieversorger aufbauen. Die Verhältnismäßigkeit richtet sich nach Faktoren wie Risikoexposition, Unternehmensgröße, Kosten der Umsetzung und gesellschaftlicher Bedeutung. Wer bereits grundlegende IT-Sicherheitsmaßnahmen umgesetzt hat, ist im Vorteil.
Aber – und das ist wichtig – „verhältnismäßig“ heißt nicht „optional“. Die Maßnahmen müssen implementiert sein, dokumentiert sein und funktionieren. Das BSI wird das überprüfen.
Die Registrierung beim BSI erfolgt in zwei Phasen.
Zuerst müssen Sie ein Unternehmenskonto beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erstellen. Das ist quasi der digitale Ausweis Ihres Unternehmens gegenüber Behörden. Das MUK basiert auf der ELSTER-Technologie – wenn Sie also bereits ELSTER-Organisationszertifikate für Steuererklärungen nutzen, haben Sie einen Vorteil.
Das BSI empfahl, diese Konten bis Ende 2025 einzurichten. Falls Sie das noch nicht getan haben: Holen Sie es umgehend nach.
Das eigentliche BSI-Portal ging am 6. Januar 2026 online. Hier registrieren sich alle betroffenen Einrichtungen mit folgenden Angaben:
Das BSI-Portal dient nicht nur zur Registrierung, sondern auch als Meldestelle für Sicherheitsvorfälle. Es wird zum zentralen Kommunikationskanal zwischen Ihrem Unternehmen und dem BSI.
Besonders wichtige Einrichtungen haben drei Monate ab Inkrafttreten des Gesetzes Zeit – also bis zum 6. März 2026.
Wichtige Einrichtungen müssen sich „unverzüglich“ registrieren – ohne spezifische Dreimonatsfrist. Praktisch bedeutet das: so schnell wie möglich.
Wer diese Fristen versäumt, riskiert Bußgelder. Und das BSI ist nicht zimperlich: Wer nicht registriert ist, kann auch nicht melden. Wer nicht melden kann, verstößt gegen Meldepflichten. Das zieht Kreise.
Also: Registrieren Sie sich jetzt.
NIS2 führt ein dreistufiges Meldesystem für erhebliche Sicherheitsvorfälle ein. Und „erheblich“ ist dabei ein dehnbarer Begriff – im Zweifel lieber einmal zu viel melden als einmal zu wenig.
Sobald Sie von einem erheblichen Sicherheitsvorfall Kenntnis erlangen, haben Sie maximal 24 Stunden Zeit für eine Frühwarnung ans BSI. Diese Meldung kann knapp sein – es geht darum, das BSI schnell zu informieren, dass etwas passiert ist.
Inhalt:
24 Stunden sind verdammt kurz. Das heißt: Sie brauchen vorab einen Incident-Response-Prozess, der greift, sobald ein Vorfall erkannt wird. Keine Zeit für lange E-Mail-Verteiler und Genehmigungsschleifen.
Innerhalb von 72 Stunden nach Kenntniserlangung folgt die ausführlichere Meldung. Hier wird’s ernster.
Inhalt:
Hier müssen Sie schon deutlich mehr liefern. Das bedeutet: Ihre IT-Forensik sollte in den ersten 72 Stunden bereits belastbare Erkenntnisse gewinnen können.
Spätestens einen Monat nach der ersten Meldung kommt die Abschlussmeldung – oder, falls der Vorfall noch läuft, ein Fortschrittsbericht.
Inhalt:
Falls der Vorfall nach einem Monat noch nicht beendet ist, müssen Sie regelmäßige Fortschrittsberichte nachliefern.
Zusätzlich: Wenn Kunden von dem Vorfall betroffen sein könnten, müssen Sie diese unverzüglich informieren – inklusive möglicher Schutzmaßnahmen, die sie ergreifen können.
Das Kuriose daran: Diese Meldepflichten sind deutlich strenger als das, was die meisten Unternehmen bisher gewohnt waren. Selbst KRITIS-Betreiber hatten vorher keine 24-Stunden-Frühwarnfrist. Das ist neu. Und es bedeutet: Sie brauchen 24/7-Bereitschaft.
Jetzt wird’s unangenehm.
NIS2 macht die Geschäftsleitung persönlich verantwortlich für Cybersicherheit. Das ist kein Marketingsprech. Das ist juristisch bindend. Und es bedeutet: Wenn Sie als Geschäftsführer Ihre Pflichten verletzen, haften Sie mit Ihrem Privatvermögen.
1. Billigen der Risikomanagementmaßnahmen
Die Geschäftsleitung muss die vorgeschlagenen Sicherheitsmaßnahmen nicht nur abnicken, sondern aktiv genehmigen. Das setzt voraus, dass Sie verstehen, was da passiert. „Hab ich unterschrieben, ohne zu lesen“ zieht nicht.
2. Überwachen der Umsetzung
Sie müssen regelmäßig prüfen, ob die Maßnahmen tatsächlich umgesetzt werden und funktionieren. Das bedeutet: Berichte einfordern, nachhaken, Kennzahlen prüfen. Alle paar Monate sollte IT-Sicherheit auf Ihrer Management-Agenda stehen.
3. Regelmäßige Schulungen absolvieren
Mindestens alle drei Jahre müssen Geschäftsführer an Cybersecurity-Schulungen teilnehmen. Das BSI hat im September 2025 eine Handreichung dazu veröffentlicht. Die empfohlene Dauer: etwa vier Stunden.
Vier Stunden alle drei Jahre – das klingt überschaubar. Aber: Diese Schulungen müssen nachweisbar sein. Sie können nicht einfach behaupten, Sie hätten sich informiert. Sie brauchen Zertifikate, Teilnahmebestätigungen, dokumentierte Inhalte.
Falls ein Cyberangriff Ihr Unternehmen schwer trifft und nachgewiesen wird, dass die Geschäftsleitung ihre Überwachungspflichten vernachlässigt hat, kann sie persönlich haftbar gemacht werden. Beispiel: Mangelnde Netzwerksegmentierung führt dazu, dass ein Ransomware-Angriff alle Standorte lahmlegt. Die IT-Abteilung hatte das Problem gemeldet, aber die Geschäftsführung hat nicht reagiert. Ergebnis: Persönliche Haftung.
Noch ein Beispiel: Ein Lieferant wird kompromittiert und bringt Malware ins Unternehmen. Die Lieferkette wurde nie auf Sicherheitsaspekte überprüft. Geschäftsleitung haftet.
Diese Haftung können Sie nicht vertraglich ausschließen. Auch nicht durch Managementverträge oder Gesellschaftervereinbarungen. Sie ist bindend.
Und hier wird’s richtig teuer: D&O-Versicherungen (Directors & Officers) könnten die Deckung verweigern, wenn grobe Fahrlässigkeit nachgewiesen wird. Sie haben Ihre Schulungspflichten ignoriert? Die Versicherung zahlt möglicherweise nicht.
Meiner Einschätzung nach wird das die größte Verhaltensänderung sein, die NIS2 auslöst. Bisher war Cybersicherheit oft Chefsache auf dem Papier, aber in der Praxis delegiert. Das geht jetzt nicht mehr. Wer oben sitzt, muss sich kümmern.
NIS2 kommt nicht allein. Es ist Teil eines wachsenden Regulierungsnetzes, das Unternehmen einhalten müssen.
Die Datenschutz-Grundverordnung kennt jeder. Aber was viele nicht wissen: NIS2 und DSGVO überschneiden sich. Wenn bei einem Sicherheitsvorfall personenbezogene Daten betroffen sind, müssen Sie sowohl die NIS2-Meldepflichten (24/72 Stunden ans BSI) als auch die DSGVO-Meldepflichten (72 Stunden an die Datenschutzbehörde) erfüllen. Der schmale Grat zwischen Datenschutz und datenbezogenen Dienstleistungen wird dadurch noch schmaler.
Das bedeutet praktisch: Doppelarbeit. Sie melden an zwei Stellen, mit leicht unterschiedlichen Anforderungen. Die gute Nachricht: Viele der technischen Maßnahmen nach NIS2 helfen auch bei der DSGVO-Compliance. Verschlüsselung, Zugangskontrollen, Risikoanalysen – all das zahlt auf beide Regularien ein.
Die DORA-Verordnung (Digital Operational Resilience Act) gilt für Finanzunternehmen und regelt deren digitale operative Resilienz. DORA hat Vorrang vor NIS2 im Finanzsektor – das heißt, Banken, Versicherungen und Finanzdienstleister müssen primär DORA erfüllen, nicht NIS2.
Aber: DORA und NIS2 sind inhaltlich sehr ähnlich. Beide fordern Risikomanagement, Incident-Response, Meldepflichten, Tests. Wer DORA erfüllt, ist großteils auch NIS2-konform.
Der EU AI Act reguliert den Einsatz künstlicher Intelligenz. Besonders KI-Systeme mit hohem Risiko – etwa in Gesundheitswesen, Verkehr oder kritischen Infrastrukturen – müssen strenge Sicherheitsanforderungen erfüllen.
NIS2 fordert Cybersicherheit. Der AI Act fordert KI-Sicherheit. Beide zusammen bedeuten: Wenn Sie KI in kritischen Systemen einsetzen, müssen Sie sowohl die Cybersicherheit als auch die KI-spezifischen Risiken managen.
Die Überschneidungen sind komplex. Aber die Botschaft ist klar: Regulierung wird dichter, nicht lockerer.
Kommen wir zur unangenehmen Frage: Was kostet es, wenn Sie NIS2 ignorieren?
Besonders wichtige Einrichtungen:
…je nachdem, was höher ist.
Wichtige Einrichtungen:
…ebenfalls der höhere Betrag.
Diese Bußgelder können für verschiedenste Verstöße verhängt werden:
10 Millionen Euro – das ist nicht zu unterschätzen. Für ein mittelständisches Unternehmen kann das existenzbedrohend sein.
Mal ehrlich: Das BSI hat derzeit weder die Kapazitäten noch das Personal, um 30.000 Unternehmen flächendeckend zu kontrollieren. Das ist einfach Realität. Die bisherige Erfahrung mit der DSGVO zeigt: Hohe Bußgelder auf dem Papier bedeuten nicht zwangsläufig hohe Bußgelder in der Praxis.
Aber – und das ist wichtig – das BSI kann stichprobenartig prüfen. Und wenn sie bei Ihnen vorbeikommen und feststellen, dass Sie nichts getan haben, wird es teuer. Vor allem: Nach einem schweren Sicherheitsvorfall wird das BSI sehr genau hinschauen. Wenn dann rauskommt, dass grundlegende Maßnahmen fehlten, ist die Strafe praktisch sicher.
Bußgelder sind das eine. Die indirekten Folgen das andere.
Summa summarum: Auch ohne BSI-Bußgeld kann ein Sicherheitsvorfall Sie Millionen kosten.
Genug Theorie. Was müssen Sie jetzt konkret tun?
Hier eine praxisorientierte Schritt-für-Schritt-Checkliste:
Diese Checkliste ist umfangreich. Aber sie ist machbar. Viele Unternehmen, die sich frühzeitig damit beschäftigt haben, berichten, dass die größte Hürde der Anfang ist. Sobald Sie den ersten Schritt getan haben, wird es konkreter.
1. Muss ich mich registrieren, auch wenn ich glaube, nicht betroffen zu sein?
Nein – aber Sie müssen Ihre Nichtbetroffenheit dokumentieren können. Das BSI kann Sie auffordern, nachzuweisen, warum Sie sich nicht registriert haben. Ohne Nachweis riskieren Sie Bußgelder. Lieber einmal zu viel prüfen.
2. Was passiert, wenn ich die Registrierungsfrist verpasse?
Das kann teuer werden. Nichtregistrierung ist ein Verstoß, der mit Bußgeldern geahndet werden kann. Zudem können Sie ohne Registrierung keine Sicherheitsvorfälle ordnungsgemäß melden, was weitere Verstöße nach sich zieht.
3. Kann ich NIS2 einfach ignorieren, wenn das BSI mich nicht kontaktiert?
Nein. Das BSI kontaktiert Sie nicht automatisch. Sie sind selbst verantwortlich für die Betroffenheitsprüfung und Registrierung. „Ich habe nichts gehört“ ist keine Verteidigung.
4. Brauche ich zwingend eine ISO-27001-Zertifizierung?
Nein. ISO 27001 ist hilfreich, aber nicht verpflichtend. NIS2 fordert die Umsetzung der zehn Risikomanagementmaßnahmen – wie Sie das dokumentieren, ist Ihnen überlassen. ISO 27001 oder BSI IT-Grundschutz sind bewährte Frameworks, die die Umsetzung erleichtern.
5. Muss die gesamte Geschäftsführung geschult werden oder reicht eine Person?
Alle Mitglieder der Geschäftsleitung müssen geschult werden. Die persönliche Haftung trifft jedes Mitglied individuell, daher können Sie sich nicht darauf berufen, dass „ein Kollege das übernimmt“.
6. Was ist ein „erheblicher Sicherheitsvorfall“? Ab wann muss ich melden?
Das ist bewusst vage formuliert. Als Faustregel: Ein Vorfall ist erheblich, wenn er zu schwerwiegenden Betriebsstörungen führt (oder führen kann) oder finanzielle Verluste/Schäden für Dritte verursacht. Im Zweifel: lieber melden. Eine überflüssige Meldung ist besser als eine versäumte.
7. Gilt NIS2 auch für Tochtergesellschaften und Konzerne?
Ja. Jede rechtlich selbstständige Einrichtung muss einzeln geprüft werden. Eine Holding kann nicht für alle Tochtergesellschaften pauschal registrieren. Jede Tochter muss separat bewertet und – falls betroffen – registriert werden.
Wir stehen am Anfang einer neuen Ära der Cybersicherheitsregulierung in Deutschland. NIS2 ist nicht das Ende – es ist der Anfang.
Das BSI baut gerade seine Überwachungskapazitäten aus. In den kommenden Monaten werden erste Kontrollen stattfinden, erste Bußgelder verhängt, erste Präzedenzfälle geschaffen. Unternehmen, die jetzt handeln, werden es leichter haben. Unternehmen, die abwarten, werden unter Druck geraten.
Was wir bei digital-magazin.de beobachten: Viele mittelständische Unternehmen unterschätzen den Aufwand. Sie denken, ein paar technische Maßnahmen reichen. Aber NIS2 ist mehr als Technik. Es ist Governance, Dokumentation, Kultur. Es bedeutet, dass Cybersicherheit zur Chefsache wird – nicht auf dem Papier, sondern in der Realität. Gerade für den Mittelstand, der durch cloudbasierte Lösungen digital aufholt, ist das eine Herausforderung.
Die gute Nachricht: Wer NIS2 ernst nimmt, profitiert. Die Maßnahmen, die Sie jetzt umsetzen, machen Ihr Unternehmen widerstandsfähiger. Sie schützen nicht nur vor Bußgeldern, sondern auch vor echten Angriffen. Die Investition lohnt sich.
Also: Fangen Sie an. Prüfen Sie Ihre Betroffenheit. Registrieren Sie sich. Setzen Sie die Maßnahmen um. Die Deadline ist der 6. März 2026 – aber je früher Sie starten, desto entspannter wird es.
Und falls Sie noch Fragen haben: Das BSI bietet umfangreiche Informationen auf seiner Website. Dort finden Sie auch die Handreichung zur Geschäftsleitungsschulung, Leitfäden zu den Risikomanagementmaßnahmen und vieles mehr.
Jetzt handeln – oder später bereuen. Die Wahl liegt bei Ihnen.
Weitere Informationen:
