- Rechtsgrundlage
- EU-Richtlinie 2022/2555, in Deutschland umgesetzt durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG)
- In Kraft seit
- 06.12.2025
- Wer ist betroffen?
- Wesentliche und wichtige Einrichtungen in kritischen Sektoren
- Bußgelder
- Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist NIS2?
NIS2 (kurz für „Network and Information Security 2") ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Kreis der betroffenen Unternehmen erheblich. Ziel ist ein einheitlich hohes Cybersicherheits-Niveau in der gesamten Europäischen Union.
In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das seit dem 06.12.2025 in Kraft ist. Damit sind Cybersicherheits-Maßnahmen für betroffene Unternehmen keine freiwillige Option mehr, sondern eine gesetzliche Pflicht. Anders als eine EU-Verordnung gilt eine Richtlinie nicht unmittelbar – erst das nationale Umsetzungsgesetz macht die Vorgaben für deutsche Unternehmen verbindlich.
Wer ist von NIS2 betroffen?
NIS2 unterscheidet zwischen wesentlichen Einrichtungen (z. B. Energie, Gesundheit, Banken, Transport, digitale Infrastruktur) und wichtigen Einrichtungen (z. B. Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter). Als Faustregel gilt: Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in einem der regulierten Sektoren – in einigen Bereichen unabhängig von der Größe. Betroffene Einrichtungen mussten sich beim BSI registrieren; die Erstfrist am 06.03.2026 ist abgelaufen, eine Nachregistrierung ist jedoch weiterhin möglich.
Welche Pflichten bringt NIS2 mit sich?
- Risikomanagement: systematisches Erkennen, Bewerten und Behandeln von Cyberrisiken.
- Technische Maßnahmen: u. a. Multi-Faktor-Authentifizierung, Backups, Verschlüsselung und Zugriffskontrollen.
- Meldepflichten: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen einem Monat.
- Governance: Die Geschäftsleitung trägt persönliche Verantwortung und muss Maßnahmen freigeben und überwachen.
- Lieferkettensicherheit: auch Risiken durch Dienstleister und Lieferanten müssen berücksichtigt werden.
Die zehn Mindestmaßnahmen nach Art. 21 NIS2
Artikel 21 der Richtlinie nennt einen festen Katalog. Jede betroffene Einrichtung muss alle zehn Punkte nachweisbar abdecken – Auslassungen sind kein Versehen, sondern ein Verstoß. Die folgende Tabelle fasst zusammen, was hinter den oft sperrigen Begriffen steckt.
| Maßnahme | Kurzbeschreibung |
|---|---|
| Risikoanalyse & Sicherheitskonzepte | Schriftliche Konzepte, die Cyberrisiken systematisch erfassen und bewerten. |
| Bewältigung von Sicherheitsvorfällen | Definierte Prozesse zum Erkennen, Eindämmen und Beheben von Vorfällen. |
| Business Continuity & Krisenmanagement | Backup-Management, Notfallwiederherstellung und Aufrechterhaltung des Betriebs. |
| Sicherheit der Lieferkette | Bewertung der Sicherheit von Dienstleistern und direkten Zulieferern. |
| Sicherheit bei Beschaffung & Entwicklung | Sichere Anschaffung, Entwicklung und Wartung von IT-Systemen, inkl. Schwachstellenmanagement. |
| Wirksamkeitsbewertung | Konzepte zur Überprüfung, ob die Risikomanagement-Maßnahmen tatsächlich greifen. |
| Cyberhygiene & Schulungen | Grundlegende Sicherheitspraxis und regelmäßige Schulung der Mitarbeitenden. |
| Kryptografie & Verschlüsselung | Konzepte für den Einsatz von Verschlüsselung, wo immer sinnvoll. |
| Zugriffskontrolle & Asset-Management | Personalsicherheit, Zugriffskonzepte und Verzeichnis der schützenswerten Werte. |
| MFA & gesicherte Kommunikation | Multi-Faktor-Authentifizierung sowie gesicherte Sprach-, Video- und Notfallkommunikation. |
Welche Bußgelder drohen?
Wesentliche Einrichtungen müssen bei Verstößen mit Bußgeldern von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes rechnen, wichtige Einrichtungen mit bis zu 7 Mio. EUR oder 1,4 %. Zusätzlich kann die Geschäftsleitung persönlich in die Verantwortung genommen werden.
Was müssen Sie konkret tun?
Theorie hilft hier wenig. Die folgenden Schritte sind die Reihenfolge, in der Sie NIS2 tatsächlich abarbeiten – von der Frage „Betrifft mich das überhaupt?" bis zum Punkt, an dem Sie einem Prüfer Ihre Maßnahmen schwarz auf weiß vorlegen können:
- Betroffenheit klären. Prüfen Sie anhand von Sektor, Mitarbeiterzahl und Umsatz, ob Sie als wesentliche oder wichtige Einrichtung gelten.
- Beim BSI registrieren. Die Erstfrist (06.03.2026) ist verstrichen – die Nachregistrierung sollten Sie unverzüglich nachholen.
- Assets und Risiken erfassen. Inventarisieren Sie Ihre IT-Systeme und bewerten Sie die Risiken, die auf ihnen lasten.
- Den Art.-21-Katalog umsetzen. Schließen Sie die zehn Mindestmaßnahmen aus der Tabelle oben – und dokumentieren Sie jede einzelne.
- Meldekette einrichten. Legen Sie heute fest, wer im Ernstfall die 24-Stunden-Frühwarnung an das BSI absetzt.
Wie das Schritt für Schritt gelingt, zeigt unser ausführlicher NIS2-Ratgeber inklusive 30-Tage-Startplan.
Beispiel aus dem Alltag: Ein mittelständischer Maschinenbauer mit 120 Mitarbeitenden zählt als wichtige Einrichtung. Verschlüsselt eine Ransomware seine Produktionssteuerung, läuft die Uhr: Innerhalb von 24 Stunden muss eine Frühwarnung beim BSI eingehen, nach 72 Stunden folgt eine konkretere Meldung mit erster Bewertung, und spätestens einen Monat später liegt der Abschlussbericht vor – versäumt die Geschäftsleitung dabei Risikomanagement oder Meldung, haftet sie persönlich, und es drohen empfindliche Bußgelder. Vorbereitung schlägt Schadensbegrenzung.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555 im Volltext auf EUR-Lex
Häufige Fragen
Was ist NIS2 einfach erklärt?
NIS2 ist die überarbeitete EU-Richtlinie 2022/2555 zur Cybersicherheit, die in Deutschland durch das NIS2-Umsetzungsgesetz seit dem 06.12.2025 in Kraft ist. Sie verpflichtet tausende Unternehmen in kritischen Sektoren dazu, Risikomanagement zu betreiben, erhebliche Sicherheitsvorfälle an das BSI zu melden und die Verantwortung dafür persönlich auf Leitungsebene zu verankern. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU.
Wer ist von NIS2 betroffen?
Von NIS2 betroffen sind wesentliche und wichtige Einrichtungen aus Sektoren wie Energie, Gesundheit, Transport, Banken, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel und verarbeitendes Gewerbe. Als Faustregel gelten Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in einem regulierten Sektor, in einigen Bereichen unabhängig von der Größe. Die Erstfrist zur BSI-Registrierung am 06.03.2026 ist abgelaufen, eine Nachregistrierung bleibt möglich.
Welche Fristen gelten bei einem Sicherheitsvorfall?
Bei einem erheblichen Sicherheitsvorfall gilt nach NIS2 eine dreistufige Meldekette an das BSI, jeweils ab Kenntnis: eine Frühwarnung binnen 24 Stunden, eine konkretere Meldung mit erster Bewertung binnen 72 Stunden und ein Abschlussbericht spätestens nach einem Monat. Wer diese Pflichten verletzt, riskiert Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen.