Datenschutz & Compliance

NIS2 in Deutschland: Bin ich betroffen — und was muss ich jetzt tun?

7 Min. Lesezeit
Kurze Antwort

NIS2 betrifft Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in 18 kritischen Sektoren (Energie, Transport, Gesundheit, digitale Infrastruktur u.a.). Pflichten: Risikomanagement, Meldepflicht, BSI-Registrierung. Geschäftsleiterhaftung ist explizit vorgesehen.

Die NIS2-Richtlinie der EU (Network and Information Security Directive 2) wurde am 6. Dezember 2025 in Deutschland durch das NIS2UmsuCG — das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz — in nationales Recht überführt. Damit endet die Übergangsfrist: Betroffene Unternehmen müssen jetzt handeln, nicht irgendwann.

Die Richtlinie ist die direkte Nachfolgerin von NIS1 und deutlich schärfer. Der Anwendungsbereich wurde massiv ausgeweitet: Statt einiger Hundert Betreiber kritischer Infrastrukturen nach dem alten KRITIS-Schema sind nun schätzungsweise 29.000 bis 30.000 Unternehmen in Deutschland betroffen. Das Besondere: Viele davon fallen unter die Regelung, ohne es zu wissen — weil die Größenschwellen und Sektoren neu definiert wurden.

Für Mittelständler ist das relevant, weil NIS2 nicht mehr nur auf Großkonzerne zielt. Ein Metallbauunternehmen mit 55 Mitarbeitern, das in der Fertigungsbranche tätig ist und digitale Steuerungsanlagen betreibt, kann genauso betroffen sein wie ein Energieversorger. Die Frage ist nicht ob NIS2 für Ihr Unternehmen gilt — sondern ob Sie es bereits geprüft haben.

NIS2 ist kein optionales Compliance-Thema. Bußgelder bis 10 Mio. € und persönliche Haftung der Geschäftsleitung machen es zur Chefsache.

Der Anwendungsbereich von NIS2 gliedert sich in zwei Kategorien: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Wesentliche Einrichtungen unterliegen strengeren Anforderungen und aktiverer Aufsicht durch das BSI. Wichtige Einrichtungen haben etwas mehr Spielraum — aber die Grundpflichten gelten für beide Gruppen.

Wesentliche Einrichtungen: Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff), Transport (Luft, Bahn, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur (DNS, TLD-Registry, Cloud, Rechenzentren, CDN, Vertrauensdiensteanbieter, Kommunikationsnetze), IKT-Dienste B2B, öffentliche Verwaltung, Weltraum.

Wichtige Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung (Medizinprodukte, Maschinen, Fahrzeuge, Elektronik), Anbieter digitaler Dienste (Suchmaschinen, Social Networks, Online-Marktplätze) sowie Forschungseinrichtungen. Für wichtige Einrichtungen gilt in der Regel: ab 50 Mitarbeitern und 10 Mio. € Jahresumsatz, für wesentliche Einrichtungen: ab 250 Mitarbeitern oder 50 Mio. € Umsatz. Ausnahmen nach oben und unten existieren — eine pauschale Antwort ist nicht möglich.

  • Sektor prüfen: Fällt Ihr Kerngeschäft in einen der 18 NIS2-Sektoren?
  • Schwellenwert prüfen: Mindestens 50 Mitarbeiter oder 10 Mio. € Jahresumsatz (wichtige Einrichtungen)?
  • BSI-Selbstcheck nutzen: Das BSI stellt unter bsi.bund.de ein Online-Tool zur Betroffenheitsprüfung bereit.
  • Registrierung beim BSI: Betroffene Unternehmen müssen sich innerhalb von 3 Monaten nach Feststellung registrieren.
  • Risikomanagement einrichten: Technische und organisatorische Maßnahmen gemäß §30 NIS2UmsuCG dokumentieren.
  • Meldeverfahren aufsetzen: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (vollständige Meldung) an das BSI gemeldet werden.
  • Geschäftsleitung schulen: §38 schreibt explizit die Schulungspflicht und persönliche Haftung der Leitungsorgane vor.
  • Lieferkette prüfen: NIS2 erfasst auch Sicherheitsanforderungen an Lieferanten und Dienstleister.
  1. Schritt 1: Betroffenheit feststellen

    Nutzen Sie den BSI-Selbstcheck unter bsi.bund.de oder sprechen Sie mit einem Datenschutz- bzw. IT-Sicherheitsberater. Die Prüfung sollte dokumentiert werden — auch ein negatives Ergebnis. Denn im Streitfall müssen Sie belegen können, dass Sie die Prüfung vorgenommen haben. Pau­schal­an­nah­men sind keine Prüfung.

  2. Schritt 2: Interne Zuständigkeiten klären

    NIS2 verlangt, dass die Geschäftsleitung persönlich verantwortlich ist. Das bedeutet: Benennen Sie intern eine verantwortliche Person (CISO oder vergleichbar), klären Sie die Eskalationswege und stellen Sie sicher, dass Entscheidungen zur Cybersicherheit auf Leitungsebene getroffen werden — nicht delegiert und vergessen.

  3. Schritt 3: BSI-Registrierung vornehmen

    Betroffene Unternehmen sind verpflichtet, sich beim BSI zu registrieren — spätestens 3 Monate nach Feststellung der Betroffenheit. Das BSI stellt dafür ein Online-Portal bereit. Die Registrierung enthält Angaben zur Organisation, zum Sektor und zu den genutzten IT-Systemen. Nicht registrierte Einrichtungen riskieren Bußgelder.

  4. Schritt 4: Risikomanagement aufbauen

    §30 NIS2UmsuCG definiert einen Katalog technischer und organisatorischer Maßnahmen: Risikoanalyse, Sicherheitskonzepte, Incident-Response-Pläne, Business-Continuity-Management, Verschlüsselung, Zugangskontrolle, sichere Kommunikation und mehr. Kein Unternehmen muss alles auf einmal umsetzen — aber ein strukturierter, dokumentierter Prozess muss erkennbar sein.

  5. Schritt 5: Meldeprozesse einrichten

    Erhebliche Sicherheitsvorfälle müssen strukturiert gemeldet werden: Erstmeldung an das BSI innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat. Definieren Sie intern, was ein "erheblicher Vorfall" ist, wer meldet und über welchen Kanal — bevor der Ernstfall eintritt.

  6. Schritt 6: Lieferkettensicherheit adressieren

    NIS2 macht Unternehmen auch für die Sicherheitsstandards ihrer Dienstleister mitverantwortlich. Prüfen Sie Verträge mit IT-Dienstleistern, Hosting-Anbietern und SaaS-Plattformen auf NIS2-kompatible Sicherheitsanforderungen. Neue Ausschreibungen sollten NIS2-Anforderungen als Standard-Kriterium enthalten.

Viele Unternehmen gehen davon aus, dass NIS2 sie nicht betrifft, weil sie sich nicht als "kritische Infrastruktur" sehen. Das ist ein Irrtum. NIS2 definiert 18 Sektoren — darunter Fertigung, Lebensmittel und Forschung — die weit über das klassische KRITIS-Verständnis hinausgehen. Ein Maschinenbauunternehmen mit 60 Mitarbeitern, das CNC-Steuerungen vernetzt betreibt, kann bereits in den Geltungsbereich fallen. Wer die Prüfung auf später verschiebt, riskiert Bußgelder und — bei einem Vorfall — persönliche Haftung der Geschäftsführung ohne jede Versicherungsdeckung.
Starten Sie mit dem BSI-Selbstcheck: bsi.bund.de/NIS2. Das dauert etwa 15 Minuten und liefert eine erste Einschätzung. Dokumentieren Sie das Ergebnis — auch wenn Sie nicht betroffen sind. Für die vertiefte Prüfung und den Aufbau des Risikomanagements empfiehlt sich ein strukturiertes Erstgespräch mit einem Berater, der sowohl die technische als auch die rechtliche Seite abdecken kann. INREMA unterstützt Mittelständler dabei, NIS2-Anforderungen pragmatisch und ohne unnötigen Overhead umzusetzen.

Ein zentrales Missverständnis rund um NIS2 ist, dass Compliance ein einmaliges Projekt ist. Das stimmt nicht. NIS2 verlangt kontinuierliches Risikomanagement — also einen dauerhaften Prozess, der gepflegt, dokumentiert und bei Änderungen im Unternehmen oder in der Bedrohungslage angepasst wird. Auditoren und Behörden werden nicht nach einem einmaligen Snapshot fragen, sondern nach einer lebendigen Dokumentation.

Für kleine und mittlere Unternehmen bedeutet das nicht, eine eigene IT-Sicherheitsabteilung aufzubauen. Es bedeutet, klare Verantwortlichkeiten zu haben, einen Basisschutz zu dokumentieren und im Ernstfall handlungsfähig zu sein. Viele Pflichten lassen sich mit bestehenden Strukturen erfüllen — wenn man weiß, wonach gefragt wird.

INREMA berät Unternehmen aus OWL und dem gesamten Mittelstand dabei, NIS2-Anforderungen strukturiert zu erfüllen: von der ersten Betroffenheitsprüfung über die BSI-Registrierung bis hin zur Dokumentation des Risikomanagements. Ohne Buzzword-Overhead, mit klarem Fokus auf das, was wirklich verlangt wird.

Zusammenfassung
  • NIS2 gilt seit Dezember 2025 in Deutschland und betrifft ca. 30.000 Unternehmen in 18 Sektoren — darunter viele Mittelständler.
  • Pflichten: BSI-Registrierung, Risikomanagement, 24/72-Stunden-Meldepflicht bei Vorfällen, Schulungspflicht der Geschäftsleitung.
  • Bußgelder bis 10 Mio. € und persönliche Haftung der Geschäftsleitung machen NIS2 zur Chefsache — nicht zur IT-Aufgabe.

Wir prüfen mit Ihnen in einem strukturierten Erstgespräch, ob und wie NIS2 für Ihr Unternehmen gilt — und was als nächstes zu tun ist.

NIS2-Check anfragen

Häufige Fragen

Wann muss ich mich beim BSI registrieren?
Innerhalb von 3 Monaten nach Feststellung der Betroffenheit. Das BSI-Portal ist online erreichbar. Wer die Registrierung versäumt, riskiert Bußgelder — auch ohne dass ein Sicherheitsvorfall stattgefunden hat.
Gilt NIS2 auch für kleine Unternehmen?
Die Größenschwelle liegt bei 50 Mitarbeitern oder 10 Mio. € Jahresumsatz (für wichtige Einrichtungen). Unternehmen darunter sind in der Regel ausgenommen — es sei denn, sie sind kritisch für die Versorgung, auch wenn sie klein sind (Ausnahmen möglich).
Was passiert bei einem NIS2-Verstoß?
Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist). Zusätzlich persönliche Haftung der Geschäftsleitung — auch ohne Vorsatz, wenn Pflichten nachweislich vernachlässigt wurden.
Muss ich einen CISO benennen?
NIS2 verlangt keine bestimmte Berufsbezeichnung, aber klare Verantwortlichkeiten auf Leitungsebene. Die Geschäftsleitung muss Entscheidungen zur Cybersicherheit verantworten und darf diese nicht vollständig delegieren.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Compliance Management im Mittelstand: Mehr als nur Regelkonformität
9 Min. Lesezeit
Datenschutz & Compliance
IT-Sicherheit für KMU: Der Basis-Schutz den jedes Unternehmen braucht
10 Min. Lesezeit
Datenschutz & Compliance
NIS2-Checkliste: Was betroffene Unternehmen jetzt prüfen müssen
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen