NIS2 in Deutschland: Was Geschäftsführer jetzt wissen müssen

Am 6. Dezember 2025 trat das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Es setzt die europäische NIS2-Richtlinie (EU 2022/2555) in deutsches Recht um und erweitert den bisherigen Geltungsbereich des BSI-Gesetzes (BSIG) erheblich.

Rund 29.500 deutsche Unternehmen sind erstmals von Cybersicherheitsregulierung betroffen — viele davon Mittelständler, die bisher keinerlei derartige Pflichten hatten. Es gibt keine Übergangsfrist: Die Pflichten gelten ab dem Tag des Inkrafttretens.

Die Betroffenheit wird durch drei Kriterien bestimmt: (1) Ihr Unternehmen gehört einem der 18 Sektoren in Anhang I oder Anhang II der NIS2-Richtlinie an, (2) Sie beschäftigen mindestens 50 Mitarbeiter, und (3) Ihr Jahresumsatz oder Ihre Jahresbilanzsumme übersteigt €10 Millionen.

Dabei unterscheidet das Gesetz zwischen besonders wichtigen Einrichtungen (Anhang I — z.B. Energie, Gesundheit, Transport, digitale Infrastruktur) und wichtigen Einrichtungen (Anhang II — z.B. verarbeitendes Gewerbe, Post, Chemie, Lebensmittel). Die Einstufung bestimmt die Höhe der Bußgelder und den Umfang der Aufsicht.

Sonderregelung: Betreiber kritischer Infrastrukturen (KRITIS) fallen unabhängig von ihrer Größe unter die Regulierung.

Der für Geschäftsführer kritischste Aspekt: §38 BSIG verankert eine persönliche, nicht delegierbare Verantwortung der Geschäftsleitung für die Umsetzung der Risikomanagementmaßnahmen nach §30 BSIG.

Das bedeutet konkret: Die Geschäftsführung muss die Maßnahmen nicht nur anordnen, sondern deren Umsetzung überwachen. Sie muss an Cybersicherheitsschulungen teilnehmen. Und sie haftet persönlich, wenn die gesetzlichen Anforderungen nicht erfüllt werden.

Diese Verantwortung kann nicht an den IT-Leiter, den CISO oder einen externen Dienstleister delegiert werden. Die Geschäftsleitung bleibt immer in der Pflicht.

§30 BSIG definiert zehn Bereiche, in denen betroffene Unternehmen technische und organisatorische Maßnahmen umsetzen müssen: Risikoanalyse und Sicherheitskonzepte, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs (Business Continuity), Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung von Systemen, Bewertung der Wirksamkeit von Maßnahmen, Cyberhygiene und Schulungen, Kryptografie-Konzepte, Personalsicherheit und Zugangskontrollen, sowie Multi-Faktor-Authentifizierung.

Diese Anforderungen überschneiden sich zu etwa 70-80% mit der ISO 27001. Unternehmen mit bestehender ISO-Zertifizierung haben einen erheblichen Vorsprung.

Erhebliche Sicherheitsvorfälle müssen dem BSI in drei Stufen gemeldet werden: Innerhalb von 24 Stunden eine Erstmeldung, innerhalb von 72 Stunden eine Bewertungsmeldung mit erster Analyse, und innerhalb von einem Monat ein Abschlussbericht.

Ein Sicherheitsvorfall gilt als erheblich, wenn er die Erbringung der Dienste wesentlich beeinträchtigt oder beeinträchtigen kann. Die Schwelle ist bewusst niedrig angesetzt — im Zweifel melden.

Die Bußgelder sind gestaffelt: Für besonders wichtige Einrichtungen bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen bis zu €7 Millionen oder 1,4% des Jahresumsatzes.

Hinzu kommt: Die verspätete BSI-Registrierung (§33 BSIG) kann mit Bußgeldern bis zu €500.000 geahndet werden. Das BSI hat allerdings öffentlich kommuniziert, dass in der Anfangsphase keine Sanktionen für verspätete Registrierungen verhängt werden. Dies ist eine Kulanzphase — keine dauerhafte Befreiung.

Drei Sofortmaßnahmen für jede Geschäftsführung: Erstens, prüfen Sie Ihre Betroffenheit anhand der §28 BSIG Kriterien. Zweitens, registrieren Sie sich beim BSI über das MUK-Portal, falls noch nicht geschehen. Drittens, beauftragen Sie eine Lückenanalyse gegen die §30 BSIG Anforderungen, um Ihren Handlungsbedarf zu quantifizieren.

KONFORM unterstützt Sie bei allen drei Schritten — mit einem kostenlosen Betroffenheitscheck als Einstieg und transparenten Festpreisen für die Umsetzung.