Alle Artikel
Compliance 28. Januar 2025 Aktualisiert: 25. Juni 2026 8 Min. Lesezeit

NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie erweitert die Cybersicherheitsanforderungen auf viele mittelständische Unternehmen. Erfahren Sie, ob Sie betroffen sind und welche Maßnahmen Sie ergreifen müssen.

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. In Deutschland ist sie über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 in Kraft (Quelle: BSI-Pressemitteilung vom 5. Dezember 2025) – ohne Übergangsfrist. Die Pflichten gelten also unmittelbar. Der Anwendungsbereich wurde erheblich erweitert: Statt rund 4.500 Einrichtungen sind nun etwa 29.500 Unternehmen in Deutschland betroffen, darunter viele Mittelständler, die bisher nicht reguliert waren.

Frist bereits abgelaufen: Die Registrierung beim BSI war innerhalb von drei Monaten – bis zum 6. März 2026 – über das Portal MUK des BSI vorzunehmen. Wer diese Frist verpasst hat, muss umgehend nachregistrieren. Mehr dazu: NIS2-Frist verpasst — was jetzt zu tun ist. Branchenschätzungen (u. a. BDO) gehen davon aus, dass sich bis Fristende nur etwa 39 % der Betroffenen registriert hatten.

Wer ist betroffen?

Die NIS2-Richtlinie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Betroffen sind Unternehmen aus 18 Sektoren:

  • Energie (Strom, Öl, Gas, Fernwärme)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur und IT-Dienste
  • Öffentliche Verwaltung
  • Raumfahrt
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie und Lebensmittel
  • Verarbeitendes Gewerbe (bestimmte Bereiche)

Schwellenwerte (BSIG): Als besonders wichtige Einrichtung gelten Unternehmen ab 250 Mitarbeitern oder mehr als 50 Mio. Euro Jahresumsatz. Als wichtige Einrichtung gelten Unternehmen ab 50 Mitarbeitern oder ab 10 Mio. Euro Umsatz bzw. Bilanzsumme in einem der 18 Sektoren. Damit fallen deutlich mehr Unternehmen unter die Regulierung als bei der ursprünglichen NIS-Richtlinie.

Welche Anforderungen gelten?

Betroffene Unternehmen müssen umfassende Cybersicherheitsmaßnahmen implementieren:

Risikomanagement

Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme etablieren. Dies umfasst die Identifikation, Bewertung und Behandlung von Cyberrisiken. In der Praxis lässt sich das gut über ein ISMS abbilden – etwa nach ISO 27001 oder BSI-Grundschutz. Wer hier bereits zertifiziert ist, erfüllt einen Großteil der NIS2-Anforderungen.

Technische Maßnahmen

  • Incident-Management und Business Continuity
  • Sicherheit der Lieferkette
  • Netzwerk- und Informationssystemsicherheit
  • Verschlüsselung und Kryptografie
  • Zugangskontrolle und Asset Management
  • Multi-Faktor-Authentifizierung

Meldepflichten

Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Innerhalb von 72 Stunden ist ein detaillierter Bericht erforderlich.

Welche Strafen drohen?

Die Sanktionen bei Verstößen sind erheblich:

  • Für besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
  • Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung (§ 38 BSIG)

§ 38 BSIG – persönliche Haftung der Leitungsorgane: Geschäftsführer und Vorstände müssen die Risikomanagement-Maßnahmen selbst billigen und ihre Umsetzung überwachen. Diese Pflicht ist nicht delegierbar, ein Haftungsverzicht der Gesellschaft ist unwirksam. Zudem besteht eine Schulungspflicht – für die Geschäftsführung nach § 38 Abs. 3 BSIG, für Mitarbeiter nach § 30 Abs. 2 Nr. 7 BSIG. Details: NIS2-Schulungspflicht nach BSIG. (Dieser Beitrag ist keine Rechtsberatung.)

Was sollten Sie jetzt tun?

Unternehmen sollten zeitnah handeln:

  • Prüfen Sie, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt
  • Führen Sie eine Gap-Analyse Ihrer aktuellen Sicherheitsmaßnahmen durch
  • Entwickeln Sie einen Maßnahmenplan zur Schließung identifizierter Lücken
  • Etablieren Sie Prozesse für Incident Response und Meldewesen
  • Schulen Sie Ihre Mitarbeiter im Bereich Cybersicherheit

NIS2-Readiness Check

Wir prüfen, ob Ihr Unternehmen betroffen ist und welche Maßnahmen Sie ergreifen müssen.

Beratung anfragen