NIS2-Richtlinie: Was deutsche Unternehmen jetzt tun müssen – und warum die Zeit davonläuft

30.000 deutsche Unternehmen müssen bis März 2026 handeln. Wer jetzt noch zögert, riskiert nicht nur Bußgelder bis 10 Millionen Euro – sondern auch die persönliche Haftung der Geschäftsführung. Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft, und die Uhr tickt.

Stellen Sie sich vor: Ein Montagmorgen im April 2026. Sie kommen ins Büro, und das BSI steht vor der Tür. Nicht zum Kaffeetrinken. Sondern weil Ihr Unternehmen sich nicht für NIS2 registriert hat.

Das klingt dramatisch?

Ist es auch. Denn was am 6. Dezember 2025 still und leise in Kraft trat, ist nichts weniger als eine Revolution der deutschen Cybersicherheits-Landschaft. Die NIS2-Richtlinie – ausgeschrieben: die Netzwerk- und Informationssicherheitsrichtlinie 2.0 – macht aus etwa 4.500 bisher regulierten KRITIS-Betreibern plötzlich rund 30.000 betroffene Unternehmen und Organisationen. Ja, Sie haben richtig gelesen: sechsmal so viele.

Wir bei digital-magazin.de haben uns durch Gesetzestexte, BSI-Verlautbarungen und Expertenanalysen gewühlt, um Ihnen den klaren Durchblick zu verschaffen. Was bedeutet NIS2 konkret? Ist Ihr Unternehmen betroffen? Und vor allem: Was müssen Sie jetzt tun?

Was ist NIS2? – Die EU-Richtlinie einfach erklärt

Die NIS2-Richtlinie ist die überarbeitete Version der ursprünglichen NIS-Richtlinie von 2016.

Damals ging es im Kern darum, Betreiber kritischer Infrastrukturen – Energieversorger, Krankenhäuser, Wasserwerke – besser vor Cyberangriffen zu schützen. Das Problem: Die alte NIS-Richtlinie war zu eng gefasst. Zu viele digitalisierte Unternehmen fielen nicht darunter. Cloud-Anbieter? Logistikunternehmen? Lebensmittelhersteller? Alles nicht reguliert.

Die EU-Kommission erkannte: Das kann so nicht weitergehen. Die Cyberbedrohungen werden täglich mehr, ausgefeilter, destruktiver. Ransomware-Angriffe auf Lieferketten legen ganze Branchen lahm. Ein einziger Vorfall bei einem Software-Anbieter kann Hunderttausende Kunden betreffen – die fünf größten Gefahren für Unternehmen im Netz sind längst nicht mehr nur Theorie.

Also kam NIS2 – verabschiedet im Dezember 2022, mit Umsetzungsfrist bis Oktober 2024 für alle EU-Mitgliedstaaten. Deutschland schaffte das nicht, genau wie 23 andere Länder. Die EU-Kommission leitete Vertragsverletzungsverfahren ein. Erst im November 2025 verabschiedete der Bundestag das Umsetzungsgesetz, der Bundesrat nickte am 21. November ab. Am 5. Dezember wurde es im Bundesgesetzblatt verkündet, am 6. Dezember trat es in Kraft.

Ohne Übergangsfrist.

Das heißt: Seit dem 6. Dezember 2025 gelten die neuen Regeln. Punkt.

NIS2 in Deutschland: Das Umsetzungsgesetz seit Dezember 2025

Der offizielle Titel des deutschen Gesetzes lautet „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ – ein Zungenbrecher, den sich niemand merken muss. Kurz: NIS2-Umsetzungsgesetz oder NIS2UmsuCG.

Das Herzstück ist die massive Novellierung des BSI-Gesetzes (BSIG). Das BSI – das Bundesamt für Sicherheit in der Informationstechnik – wird zur zentralen Aufsichtsbehörde für die neuen NIS2-Pflichten. Zusätzlich wurden das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG) angepasst. Für Finanzunternehmen gilt parallel die DORA-Verordnung, die eigene Cybersecurity-Anforderungen stellt.

Hand aufs Herz: Die meisten Unternehmen haben von alldem noch nichts mitbekommen.

Das liegt auch daran, dass Deutschland die Deadline so deutlich verpasst hat. Während andere EU-Länder schon seit Monaten registrieren und kontrollieren, stand Deutschland bis vor Kurzem noch am Gesetzgebungsprozess herum. Vorgezogene Wahlen, Regierungswechsel – das volle Programm. Jetzt ist das Gesetz da, und die Unternehmen müssen Gas geben.

Das Problem: Das BSI benachrichtigt Unternehmen nicht automatisch, ob sie betroffen sind. Jeder muss selbst prüfen. Und zwar gründlich.

Ist Ihr Unternehmen betroffen? – Die 18 Sektoren und Größenschwellen

Wer fällt unter NIS2?

Zunächst: Es gibt 18 kritische Sektoren, aufgeteilt in zwei Kategorien. Die Sektoren mit hoher Kritikalität (Anhang 1) umfassen elf Bereiche:

Energie

Verkehr

Bankwesen

Finanzmarktinfrastrukturen

Gesundheitswesen

Trinkwasser

Abwasser

Digitale Infrastruktur

IKT-Dienstleister (z. B. Rechenzentren, Cloud-Dienste, Content Delivery Networks)

Öffentliche Verwaltung (Bund und Länder)

Raumfahrt

Die sonstigen kritischen Sektoren (Anhang 2) ergänzen das Ganze um sieben weitere Bereiche:

Post- und Kurierdienste

Abfallbewirtschaftung

Produktion, Herstellung und Handel mit chemischen Stoffen

Lebensmittelproduktion, -verarbeitung und -vertrieb

Verarbeitendes Gewerbe und verarbeitende Industrie (z. B. Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)

Anbieter digitaler Dienste (z. B. Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

Forschungseinrichtungen

Allein die Liste zeigt: Das sind nicht mehr nur die klassischen KRITIS-Betreiber. Das ist ein riesiger Teil der deutschen Wirtschaft.

Aber Moment – nur weil Sie in einem dieser Sektoren tätig sind, heißt das nicht automatisch, dass Sie betroffen sind. Es kommt auch auf die Größe an.

Größenschwellen: Besonders wichtige vs. wichtige Einrichtungen

Besonders wichtige Einrichtungen sind Großunternehmen mit:

mindestens 250 Mitarbeitern oder

einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanzsumme von über 43 Millionen Euro

…die in einem Sektor hoher Kritikalität tätig sind.

Wichtige Einrichtungen sind mittelständische Unternehmen mit:

mindestens 50 Mitarbeitern oder

einem Jahresumsatz von über 10 Millionen Euro und einer Jahresbilanzsumme von über 10 Millionen Euro

…die in einem der 18 kritischen Sektoren (egal ob Anhang 1 oder 2) tätig sind.

Zusätzlich gibt es Betreiber kritischer Anlagen – das sind die bisherigen KRITIS-Betreiber, die automatisch als besonders wichtige Einrichtungen gelten, unabhängig von ihrer Größe.

Klingt kompliziert?

Ist es auch. Eine Umfrage des Maschinenbauverbands VDMA zeigte, dass etwa 90 Prozent der befragten Unternehmen in diesem Sektor von NIS2 betroffen sind – aber viele das gar nicht wussten. Die Betroffenheitsprüfung ist keine Kleinigkeit. Sie müssen Ihre Sektorzugehörigkeit genau analysieren, Ihre Unternehmensgröße korrekt einschätzen und dokumentieren, warum Sie betroffen sind (oder nicht).

Falls Sie unsicher sind: Lieber einmal zu viel prüfen als einmal zu wenig.

Die wichtigsten NIS2-Pflichten im Überblick

Was müssen betroffene Unternehmen konkret tun?

NIS2 fordert zehn zentrale Risikomanagementmaßnahmen – technische und organisatorische Maßnahmen (TOMs), die dokumentiert und wirksam sein müssen. Hier die Übersicht:

Maßnahme Beschreibung 1. Risikoanalyse und Sicherheitskonzepte Systematische Identifikation und Bewertung von IT-Sicherheitsrisiken (z. B. nach BSI-Standard 200-3) 2. Incident-Response-System Prozesse zur Bewältigung von Sicherheitsvorfällen – von der Erkennung bis zur Wiederherstellung. Regelmäßig testen! 3. Business Continuity Management Backup-Strategien, Notfallpläne, Wiederherstellungsverfahren – damit der Betrieb auch nach einem Angriff weitergeht. IT-Resilienz ist hier der Schlüssel zum Erfolg. 4. Supply Chain Security Sicherheitsüberprüfung von Lieferanten und Dienstleistern. Verträge mit Sicherheitsklauseln abschließen 5. Sicherheit bei Beschaffung und Entwicklung Sichere Entwicklungsprozesse, Schwachstellenmanagement, regelmäßige Updates 6. Wirksamkeitsbewertung Überprüfen, ob die Maßnahmen tatsächlich funktionieren – durch Audits, Tests, Kennzahlen 7. Schulungen und Sensibilisierung Regelmäßige Trainings für Mitarbeiter und Management zur Informationssicherheit 8. Kryptografie Einsatz von Verschlüsselung für sensible Daten – sowohl in Ruhe (at rest) als auch bei Übertragung (in transit) 9. Zugriffskontrolle und Personalsicherheit Klare Berechtigungskonzepte, Verwaltung von IKT-Systemen, Überprüfung von Personal mit Zugang zu kritischen Systemen 10. Multi-Faktor-Authentifizierung MFA für alle kritischen Systeme. Gesicherte Kommunikation (Sprache, Video, Text). Notfallkommunikationssysteme

Diese Maßnahmen müssen verhältnismäßig sein. Das bedeutet: Ein kleines mittelständisches Unternehmen muss nicht die gleiche Infrastruktur wie ein Energieversorger aufbauen. Die Verhältnismäßigkeit richtet sich nach Faktoren wie Risikoexposition, Unternehmensgröße, Kosten der Umsetzung und gesellschaftlicher Bedeutung. Wer bereits grundlegende IT-Sicherheitsmaßnahmen umgesetzt hat, ist im Vorteil.

Aber – und das ist wichtig – „verhältnismäßig“ heißt nicht „optional“. Die Maßnahmen müssen implementiert sein, dokumentiert sein und funktionieren. Das BSI wird das überprüfen.

BSI-Registrierung: Schritt-für-Schritt-Anleitung bis März 2026

Die Registrierung beim BSI erfolgt in zwei Phasen.

Phase 1: Mein Unternehmenskonto (MUK) einrichten

Zuerst müssen Sie ein Unternehmenskonto beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erstellen. Das ist quasi der digitale Ausweis Ihres Unternehmens gegenüber Behörden. Das MUK basiert auf der ELSTER-Technologie – wenn Sie also bereits ELSTER-Organisationszertifikate für Steuererklärungen nutzen, haben Sie einen Vorteil.

Das BSI empfahl, diese Konten bis Ende 2025 einzurichten. Falls Sie das noch nicht getan haben: Holen Sie es umgehend nach.

Phase 2: BSI-Portal-Registrierung ab 6. Januar 2026

Das eigentliche BSI-Portal ging am 6. Januar 2026 online. Hier registrieren sich alle betroffenen Einrichtungen mit folgenden Angaben:

Name und Anschrift der Einrichtung

Rechtsform, Registerart und Registernummer

Ansprechpersonen für NIS2-Angelegenheiten (Name, Kontaktdaten)

Sektor und Branche nach NIS2-Klassifikation

EU-Mitgliedstaaten, in denen Dienste erbracht werden

Zuständige Aufsichtsbehörden (Bund und Länder)

Unternehmensgröße: Mitarbeiterzahl, Jahresumsatz, Jahresbilanzsumme

Das BSI-Portal dient nicht nur zur Registrierung, sondern auch als Meldestelle für Sicherheitsvorfälle. Es wird zum zentralen Kommunikationskanal zwischen Ihrem Unternehmen und dem BSI.

Die Frist: 6. März 2026

Besonders wichtige Einrichtungen haben drei Monate ab Inkrafttreten des Gesetzes Zeit – also bis zum 6. März 2026.

Wichtige Einrichtungen müssen sich „unverzüglich“ registrieren – ohne spezifische Dreimonatsfrist. Praktisch bedeutet das: so schnell wie möglich.

Wer diese Fristen versäumt, riskiert Bußgelder. Und das BSI ist nicht zimperlich: Wer nicht registriert ist, kann auch nicht melden. Wer nicht melden kann, verstößt gegen Meldepflichten. Das zieht Kreise.

Also: Registrieren Sie sich jetzt.

Meldepflichten: 24 Stunden für Frühwarnungen, 72 Stunden für Vorfälle

NIS2 führt ein dreistufiges Meldesystem für erhebliche Sicherheitsvorfälle ein. Und „erheblich“ ist dabei ein dehnbarer Begriff – im Zweifel lieber einmal zu viel melden als einmal zu wenig.

Stufe 1: Früheste Erstmeldung (24 Stunden)

Sobald Sie von einem erheblichen Sicherheitsvorfall Kenntnis erlangen, haben Sie maximal 24 Stunden Zeit für eine Frühwarnung ans BSI. Diese Meldung kann knapp sein – es geht darum, das BSI schnell zu informieren, dass etwas passiert ist.

Inhalt:

Kurze Beschreibung des Vorfalls

Vermutung, ob rechtswidrige oder böswillige Handlungen vorliegen

Mögliche grenzüberschreitende Auswirkungen

24 Stunden sind verdammt kurz. Das heißt: Sie brauchen vorab einen Incident-Response-Prozess, der greift, sobald ein Vorfall erkannt wird. Keine Zeit für lange E-Mail-Verteiler und Genehmigungsschleifen.

Stufe 2: Detaillierte Erstmeldung (72 Stunden)

Innerhalb von 72 Stunden nach Kenntniserlangung folgt die ausführlichere Meldung. Hier wird’s ernster.

Inhalt:

Aktualisierung der Informationen aus der Frühwarnung

Erste Bewertung des Vorfalls: Schweregrad, Auswirkungen

Kompromittierungsindikatoren (IOCs) – z. B. IP-Adressen, Malware-Hashes

Erste ergriffene Maßnahmen

Hier müssen Sie schon deutlich mehr liefern. Das bedeutet: Ihre IT-Forensik sollte in den ersten 72 Stunden bereits belastbare Erkenntnisse gewinnen können.

Stufe 3: Abschlussmeldung oder Fortschrittsbericht (1 Monat)

Spätestens einen Monat nach der ersten Meldung kommt die Abschlussmeldung – oder, falls der Vorfall noch läuft, ein Fortschrittsbericht.

Inhalt:

Ausführliche Beschreibung des Vorfalls

Art der Bedrohung und zugrundeliegende Ursache

Getroffene und laufende Abhilfemaßnahmen

Grenzüberschreitende Auswirkungen

Falls der Vorfall nach einem Monat noch nicht beendet ist, müssen Sie regelmäßige Fortschrittsberichte nachliefern.

Zusätzlich: Wenn Kunden von dem Vorfall betroffen sein könnten, müssen Sie diese unverzüglich informieren – inklusive möglicher Schutzmaßnahmen, die sie ergreifen können.

Das Kuriose daran: Diese Meldepflichten sind deutlich strenger als das, was die meisten Unternehmen bisher gewohnt waren. Selbst KRITIS-Betreiber hatten vorher keine 24-Stunden-Frühwarnfrist. Das ist neu. Und es bedeutet: Sie brauchen 24/7-Bereitschaft.

Persönliche Haftung der Geschäftsführung – Was das konkret bedeutet

Jetzt wird’s unangenehm.

NIS2 macht die Geschäftsleitung persönlich verantwortlich für Cybersicherheit. Das ist kein Marketingsprech. Das ist juristisch bindend. Und es bedeutet: Wenn Sie als Geschäftsführer Ihre Pflichten verletzen, haften Sie mit Ihrem Privatvermögen.

Die drei Hauptpflichten der Geschäftsleitung

1. Billigen der Risikomanagementmaßnahmen

Die Geschäftsleitung muss die vorgeschlagenen Sicherheitsmaßnahmen nicht nur abnicken, sondern aktiv genehmigen. Das setzt voraus, dass Sie verstehen, was da passiert. „Hab ich unterschrieben, ohne zu lesen“ zieht nicht.

2. Überwachen der Umsetzung

Sie müssen regelmäßig prüfen, ob die Maßnahmen tatsächlich umgesetzt werden und funktionieren. Das bedeutet: Berichte einfordern, nachhaken, Kennzahlen prüfen. Alle paar Monate sollte IT-Sicherheit auf Ihrer Management-Agenda stehen.

3. Regelmäßige Schulungen absolvieren

Mindestens alle drei Jahre müssen Geschäftsführer an Cybersecurity-Schulungen teilnehmen. Das BSI hat im September 2025 eine Handreichung dazu veröffentlicht. Die empfohlene Dauer: etwa vier Stunden.

Vier Stunden alle drei Jahre – das klingt überschaubar. Aber: Diese Schulungen müssen nachweisbar sein. Sie können nicht einfach behaupten, Sie hätten sich informiert. Sie brauchen Zertifikate, Teilnahmebestätigungen, dokumentierte Inhalte.

Was passiert bei Verstößen?

Falls ein Cyberangriff Ihr Unternehmen schwer trifft und nachgewiesen wird, dass die Geschäftsleitung ihre Überwachungspflichten vernachlässigt hat, kann sie persönlich haftbar gemacht werden. Beispiel: Mangelnde Netzwerksegmentierung führt dazu, dass ein Ransomware-Angriff alle Standorte lahmlegt. Die IT-Abteilung hatte das Problem gemeldet, aber die Geschäftsführung hat nicht reagiert. Ergebnis: Persönliche Haftung.

Noch ein Beispiel: Ein Lieferant wird kompromittiert und bringt Malware ins Unternehmen. Die Lieferkette wurde nie auf Sicherheitsaspekte überprüft. Geschäftsleitung haftet.

Diese Haftung können Sie nicht vertraglich ausschließen. Auch nicht durch Managementverträge oder Gesellschaftervereinbarungen. Sie ist bindend.

Und hier wird’s richtig teuer: D&O-Versicherungen (Directors & Officers) könnten die Deckung verweigern, wenn grobe Fahrlässigkeit nachgewiesen wird. Sie haben Ihre Schulungspflichten ignoriert? Die Versicherung zahlt möglicherweise nicht.

Meiner Einschätzung nach wird das die größte Verhaltensänderung sein, die NIS2 auslöst. Bisher war Cybersicherheit oft Chefsache auf dem Papier, aber in der Praxis delegiert. Das geht jetzt nicht mehr. Wer oben sitzt, muss sich kümmern.

NIS2 und andere Regularien: Synergien mit DSGVO, EU AI Act und DORA

NIS2 kommt nicht allein. Es ist Teil eines wachsenden Regulierungsnetzes, das Unternehmen einhalten müssen.

NIS2 und DSGVO

Die Datenschutz-Grundverordnung kennt jeder. Aber was viele nicht wissen: NIS2 und DSGVO überschneiden sich. Wenn bei einem Sicherheitsvorfall personenbezogene Daten betroffen sind, müssen Sie sowohl die NIS2-Meldepflichten (24/72 Stunden ans BSI) als auch die DSGVO-Meldepflichten (72 Stunden an die Datenschutzbehörde) erfüllen. Der schmale Grat zwischen Datenschutz und datenbezogenen Dienstleistungen wird dadurch noch schmaler.

Das bedeutet praktisch: Doppelarbeit. Sie melden an zwei Stellen, mit leicht unterschiedlichen Anforderungen. Die gute Nachricht: Viele der technischen Maßnahmen nach NIS2 helfen auch bei der DSGVO-Compliance. Verschlüsselung, Zugangskontrollen, Risikoanalysen – all das zahlt auf beide Regularien ein.

NIS2 und DORA

Die DORA-Verordnung (Digital Operational Resilience Act) gilt für Finanzunternehmen und regelt deren digitale operative Resilienz. DORA hat Vorrang vor NIS2 im Finanzsektor – das heißt, Banken, Versicherungen und Finanzdienstleister müssen primär DORA erfüllen, nicht NIS2.

Aber: DORA und NIS2 sind inhaltlich sehr ähnlich. Beide fordern Risikomanagement, Incident-Response, Meldepflichten, Tests. Wer DORA erfüllt, ist großteils auch NIS2-konform.

NIS2 und EU AI Act

Der EU AI Act reguliert den Einsatz künstlicher Intelligenz. Besonders KI-Systeme mit hohem Risiko – etwa in Gesundheitswesen, Verkehr oder kritischen Infrastrukturen – müssen strenge Sicherheitsanforderungen erfüllen.

NIS2 fordert Cybersicherheit. Der AI Act fordert KI-Sicherheit. Beide zusammen bedeuten: Wenn Sie KI in kritischen Systemen einsetzen, müssen Sie sowohl die Cybersicherheit als auch die KI-spezifischen Risiken managen.

Die Überschneidungen sind komplex. Aber die Botschaft ist klar: Regulierung wird dichter, nicht lockerer.

Bußgelder und Sanktionen bei Verstößen

Kommen wir zur unangenehmen Frage: Was kostet es, wenn Sie NIS2 ignorieren?

Die Bußgelder im Detail

Besonders wichtige Einrichtungen:

Bis zu 10 Millionen Euro oder

2 Prozent des weltweiten Jahresumsatzes

…je nachdem, was höher ist.

Wichtige Einrichtungen:

Bis zu 7 Millionen Euro oder

1,4 Prozent des weltweiten Jahresumsatzes

…ebenfalls der höhere Betrag.

Diese Bußgelder können für verschiedenste Verstöße verhängt werden:

Nichtregistrierung beim BSI

Fehlende oder unzureichende Risikomanagementmaßnahmen

Versäumte Meldepflichten

Fehlende Dokumentation

Verstöße gegen Geschäftsleitungspflichten (inkl. fehlende Schulungen)

10 Millionen Euro – das ist nicht zu unterschätzen. Für ein mittelständisches Unternehmen kann das existenzbedrohend sein.

Aber wie wahrscheinlich sind diese Strafen wirklich?

Mal ehrlich: Das BSI hat derzeit weder die Kapazitäten noch das Personal, um 30.000 Unternehmen flächendeckend zu kontrollieren. Das ist einfach Realität. Die bisherige Erfahrung mit der DSGVO zeigt: Hohe Bußgelder auf dem Papier bedeuten nicht zwangsläufig hohe Bußgelder in der Praxis.

Aber – und das ist wichtig – das BSI kann stichprobenartig prüfen. Und wenn sie bei Ihnen vorbeikommen und feststellen, dass Sie nichts getan haben, wird es teuer. Vor allem: Nach einem schweren Sicherheitsvorfall wird das BSI sehr genau hinschauen. Wenn dann rauskommt, dass grundlegende Maßnahmen fehlten, ist die Strafe praktisch sicher.

Die indirekten Kosten sind oft höher

Bußgelder sind das eine. Die indirekten Folgen das andere.

Versicherungsdeckung: Cyber-Versicherungen und D&O-Versicherungen verweigern zunehmend die Deckung, wenn Grundschutzmaßnahmen fehlen. Nach einem Ransomware-Angriff stellen Sie fest: Die Versicherung zahlt nicht, weil Sie keine Multi-Faktor-Authentifizierung hatten.

Cyber-Versicherungen und D&O-Versicherungen verweigern zunehmend die Deckung, wenn Grundschutzmaßnahmen fehlen. Nach einem Ransomware-Angriff stellen Sie fest: Die Versicherung zahlt nicht, weil Sie keine Multi-Faktor-Authentifizierung hatten. Reputationsverlust: Ein öffentlich gewordener Sicherheitsvorfall schadet Ihrem Ruf. Kunden verlieren Vertrauen. Partner ziehen sich zurück.

Ein öffentlich gewordener Sicherheitsvorfall schadet Ihrem Ruf. Kunden verlieren Vertrauen. Partner ziehen sich zurück. Schadensersatzansprüche: Kunden, Geschäftspartner, Aktionäre – alle können Schadensersatz fordern, wenn nachgewiesen wird, dass Sie Ihre Sorgfaltspflichten verletzt haben.

Kunden, Geschäftspartner, Aktionäre – alle können Schadensersatz fordern, wenn nachgewiesen wird, dass Sie Ihre Sorgfaltspflichten verletzt haben. DSGVO-Bußgelder: Falls personenbezogene Daten betroffen sind, kommen zusätzlich Datenschutzbußgelder dazu.

Summa summarum: Auch ohne BSI-Bußgeld kann ein Sicherheitsvorfall Sie Millionen kosten.

Praktische Checkliste: So werden Sie NIS2-compliant

Genug Theorie. Was müssen Sie jetzt konkret tun?

Hier eine praxisorientierte Schritt-für-Schritt-Checkliste:

Betroffenheitsprüfung durchführen

Prüfen Sie, ob Ihr Unternehmen unter einen der 18 Sektoren fällt. Checken Sie die Größenschwellen (Mitarbeiter, Umsatz, Bilanzsumme). Dokumentieren Sie das Ergebnis schriftlich – Sie müssen es später nachweisen können. Verantwortlichkeiten festlegen

Benennen Sie mindestens zwei Personen, die für die NIS2-Umsetzung zuständig sind. Legen Sie Kommunikationswege fest zwischen IT, Management, Compliance, Recht und Unternehmenskommunikation. Bestandsaufnahme der IT-Sicherheit

Wo stehen Sie aktuell? Führen Sie eine Gap-Analyse durch: Was haben Sie bereits, was fehlt? Tools wie der CyberRisikoCheck (DIN SPEC 27076) können helfen. Gap-Analyse: Was fehlt?

Vergleichen Sie Ihren aktuellen Stand mit den zehn NIS2-Risikomanagementmaßnahmen. Priorisieren Sie die Lücken: Was ist am dringendsten? Mein Unternehmenskonto (MUK) einrichten

Falls noch nicht geschehen: Richten Sie Ihr MUK-Konto ein. Das ist die Voraussetzung für die BSI-Registrierung. BSI-Portal-Registrierung (bis 6. März 2026)

Loggen Sie sich im BSI-Portal ein und füllen Sie die Registrierung aus. Deadline für besonders wichtige Einrichtungen: 6. März 2026. Wichtige Einrichtungen: unverzüglich. Risikomanagementmaßnahmen implementieren

Arbeiten Sie die zehn Maßnahmen systematisch ab. Dokumentieren Sie alles. Falls Sie noch kein ISMS (Informationssicherheits-Managementsystem) haben: Jetzt ist der richtige Zeitpunkt. ISO 27001 oder BSI IT-Grundschutz sind gute Frameworks. Incident-Response-Prozess aufbauen

Legen Sie fest, wer im Ernstfall was tut. Wer erkennt Vorfälle? Wer meldet ans BSI? Wer informiert Kunden? Testen Sie den Prozess regelmäßig (mindestens jährlich). Lieferkette überprüfen

Analysieren Sie Ihre Lieferanten und Dienstleister. Fordern Sie Sicherheitsnachweise an. Integrieren Sie Sicherheitsklauseln in Verträge. Besonders kritisch: Cloud-Anbieter, IT-Dienstleister, Software-Lieferanten. Schulungen durchführen

Schulen Sie alle Mitarbeiter in IT-Sicherheit. Schulen Sie die Geschäftsführung speziell nach § 38 BSIG (mindestens alle drei Jahre, empfohlen: vier Stunden). Versicherungsschutz prüfen

Sprechen Sie mit Ihrer Cyber- und D&O-Versicherung. Klären Sie, ob Ihre Police NIS2-Compliance voraussetzt. Passen Sie gegebenenfalls Ihre Deckung an. Regelmäßige Überprüfung und Verbesserung

NIS2-Compliance ist kein einmaliges Projekt. Es ist ein kontinuierlicher Prozess. Planen Sie regelmäßige Reviews (mindestens jährlich), Audits und Tests ein.

Diese Checkliste ist umfangreich. Aber sie ist machbar. Viele Unternehmen, die sich frühzeitig damit beschäftigt haben, berichten, dass die größte Hürde der Anfang ist. Sobald Sie den ersten Schritt getan haben, wird es konkreter.

Die häufigsten Fragen zu NIS2 – FAQ

1. Muss ich mich registrieren, auch wenn ich glaube, nicht betroffen zu sein?

Nein – aber Sie müssen Ihre Nichtbetroffenheit dokumentieren können. Das BSI kann Sie auffordern, nachzuweisen, warum Sie sich nicht registriert haben. Ohne Nachweis riskieren Sie Bußgelder. Lieber einmal zu viel prüfen.

2. Was passiert, wenn ich die Registrierungsfrist verpasse?

Das kann teuer werden. Nichtregistrierung ist ein Verstoß, der mit Bußgeldern geahndet werden kann. Zudem können Sie ohne Registrierung keine Sicherheitsvorfälle ordnungsgemäß melden, was weitere Verstöße nach sich zieht.

3. Kann ich NIS2 einfach ignorieren, wenn das BSI mich nicht kontaktiert?

Nein. Das BSI kontaktiert Sie nicht automatisch. Sie sind selbst verantwortlich für die Betroffenheitsprüfung und Registrierung. „Ich habe nichts gehört“ ist keine Verteidigung.

4. Brauche ich zwingend eine ISO-27001-Zertifizierung?

Nein. ISO 27001 ist hilfreich, aber nicht verpflichtend. NIS2 fordert die Umsetzung der zehn Risikomanagementmaßnahmen – wie Sie das dokumentieren, ist Ihnen überlassen. ISO 27001 oder BSI IT-Grundschutz sind bewährte Frameworks, die die Umsetzung erleichtern.

5. Muss die gesamte Geschäftsführung geschult werden oder reicht eine Person?

Alle Mitglieder der Geschäftsleitung müssen geschult werden. Die persönliche Haftung trifft jedes Mitglied individuell, daher können Sie sich nicht darauf berufen, dass „ein Kollege das übernimmt“.

6. Was ist ein „erheblicher Sicherheitsvorfall“? Ab wann muss ich melden?

Das ist bewusst vage formuliert. Als Faustregel: Ein Vorfall ist erheblich, wenn er zu schwerwiegenden Betriebsstörungen führt (oder führen kann) oder finanzielle Verluste/Schäden für Dritte verursacht. Im Zweifel: lieber melden. Eine überflüssige Meldung ist besser als eine versäumte.

7. Gilt NIS2 auch für Tochtergesellschaften und Konzerne?

Ja. Jede rechtlich selbstständige Einrichtung muss einzeln geprüft werden. Eine Holding kann nicht für alle Tochtergesellschaften pauschal registrieren. Jede Tochter muss separat bewertet und – falls betroffen – registriert werden.

Was bleibt? Ein Ausblick auf die NIS2-Zukunft

Wir stehen am Anfang einer neuen Ära der Cybersicherheitsregulierung in Deutschland. NIS2 ist nicht das Ende – es ist der Anfang.

Das BSI baut gerade seine Überwachungskapazitäten aus. In den kommenden Monaten werden erste Kontrollen stattfinden, erste Bußgelder verhängt, erste Präzedenzfälle geschaffen. Unternehmen, die jetzt handeln, werden es leichter haben. Unternehmen, die abwarten, werden unter Druck geraten.

Was wir bei digital-magazin.de beobachten: Viele mittelständische Unternehmen unterschätzen den Aufwand. Sie denken, ein paar technische Maßnahmen reichen. Aber NIS2 ist mehr als Technik. Es ist Governance, Dokumentation, Kultur. Es bedeutet, dass Cybersicherheit zur Chefsache wird – nicht auf dem Papier, sondern in der Realität. Gerade für den Mittelstand, der durch cloudbasierte Lösungen digital aufholt, ist das eine Herausforderung.

Die gute Nachricht: Wer NIS2 ernst nimmt, profitiert. Die Maßnahmen, die Sie jetzt umsetzen, machen Ihr Unternehmen widerstandsfähiger. Sie schützen nicht nur vor Bußgeldern, sondern auch vor echten Angriffen. Die Investition lohnt sich.

Also: Fangen Sie an. Prüfen Sie Ihre Betroffenheit. Registrieren Sie sich. Setzen Sie die Maßnahmen um. Die Deadline ist der 6. März 2026 – aber je früher Sie starten, desto entspannter wird es.

Und falls Sie noch Fragen haben: Das BSI bietet umfangreiche Informationen auf seiner Website. Dort finden Sie auch die Handreichung zur Geschäftsleitungsschulung, Leitfäden zu den Risikomanagementmaßnahmen und vieles mehr.

Jetzt handeln – oder später bereuen. Die Wahl liegt bei Ihnen.

