NIS2-Wissen

Die NIS2-Richtlinie
verständlich erklärt.

Keine Juristensprache, keine technischen Fachbegriffe. Hier erfahren Sie als Geschäftsführer, was NIS2 für Ihr Unternehmen bedeutet — und was Sie jetzt tun müssen.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit in kritischen Sektoren definiert. In Deutschland wurde sie als NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt und ist am 06. Dezember 2025 in Kraft getreten.

Das Besondere: Rund 29.500 deutsche Unternehmen sind erstmals reguliert — Unternehmen, die bisher keinerlei Cybersicherheitspflichten hatten. Es gibt keine Übergangsfrist. Die Pflichten gelten sofort.

Betroffen sind Unternehmen in 18 Sektoren mit mindestens 50 Mitarbeitern oder über €10 Mio. Jahresumsatz.

Zeitstrahl

Von der EU-Richtlinie zum deutschen Gesetz

Jan. 2023

NIS2-Richtlinie in Kraft

Die EU-Richtlinie 2022/2555 tritt auf europäischer Ebene in Kraft.

Okt. 2024

Umsetzungsfrist der EU

Ursprüngliche Frist für die nationale Umsetzung in allen Mitgliedstaaten.

06.12.2025

NIS2UmsuCG wird Gesetz

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz tritt in Deutschland in Kraft. Keine Übergangsfrist.

06.03.2026

BSI-Registrierungsfrist

Frist zur Registrierung beim BSI (§33 BSIG — 3 Monate nach Inkrafttreten). Bereits abgelaufen. Nachregistrierung dringend empfohlen.

Ab 2026

Erste BSI-Prüfungen

Das BSI beginnt mit der Überprüfung registrierter Einrichtungen. Nachweis der Maßnahmenumsetzung erforderlich.

Laufend

Vollständige Umsetzung

Alle Risikomanagement-Maßnahmen, Meldepflichten und Schulungsanforderungen müssen erfüllt sein.

Ihre Pflichten

Was NIS2 von Ihnen verlangt

Das NIS2UmsuCG definiert vier Kernbereiche, in denen betroffene Unternehmen Maßnahmen umsetzen müssen.

Risikomanagement

§30 BSIG

Technische und organisatorische Maßnahmen zur Beherrschung von Cybersicherheitsrisiken. Dazu gehören Risikoanalysen, Sicherheitsrichtlinien, Zugangskontrollen und Kryptografie-Konzepte.

Meldepflichten

§32 BSIG

Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden erstgemeldet werden. Binnen 72 Stunden folgt eine Bewertungsmeldung, nach einem Monat der Abschlussbericht.

Lieferkettensicherheit

§30 Abs. 2 Nr. 4 BSIG

Sicherheit der Lieferkette einschließlich der Beziehungen zu Zulieferern und Dienstleistern. Vertragliche Sicherheitsanforderungen und regelmäßige Überprüfungen sind Pflicht.

Schulungspflicht

§38 BSIG

Die Geschäftsleitung muss regelmäßig an Cybersicherheits-Schulungen teilnehmen und diese auch für Mitarbeiter anbieten. Die Verantwortung kann nicht delegiert werden.

Konsequenzen

Was bei Nicht-Einhaltung passiert

Die Strafen sind empfindlich — und die persönliche Haftung der Geschäftsleitung ist explizit im Gesetz verankert.

Bußgelder bis €10 Mio.

Oder 2% des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Bei besonders wichtigen Einrichtungen gelten die Höchstsätze.

Persönliche Haftung

Geschäftsführer haften persönlich für die Umsetzung der Risikomanagement-Maßnahmen gemäß §38 BSIG. Diese Verantwortung ist nicht delegierbar.

Behördliche Anordnungen

Das BSI kann verbindliche Anordnungen erlassen, Audits anordnen und bei Verstößen den Betrieb von Diensten untersagen.

Reputationsschaden

Sicherheitsvorfälle und behördliche Maßnahmen können veröffentlicht werden. Der Vertrauensverlust bei Kunden und Partnern wiegt oft schwerer als das Bußgeld.

Unsicher, ob Sie betroffen sind?

Unser kostenloser Betroffenheitscheck gibt Ihnen in unter 3 Minuten eine erste Einschätzung.

Jetzt prüfen