NIS2 FAQ

NIS2 steht für „Network and Information Security Directive 2" — die zweite EU-Richtlinie zur Cybersicherheit. Sie verpflichtet Unternehmen in 18 kritischen Sektoren zu umfassenden Maßnahmen zum Schutz ihrer IT-Systeme. Ziel ist es, ein einheitliches, hohes Cybersicherheitsniveau in der gesamten EU zu schaffen.

Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist das deutsche Umsetzungsgesetz der EU-NIS2-Richtlinie. Es ist am 6. Dezember 2025 in Kraft getreten und enthält konkrete Pflichten für betroffene Unternehmen, insbesondere im BSI-Gesetz (BSIG). Die Paragraphen §30 bis §44 BSIG regeln die Kernpflichten.

Das NIS2UmsuCG gilt seit dem 6. Dezember 2025. Es gibt keine Übergangsfrist — alle Pflichten waren ab diesem Datum sofort erfüllbar. Die BSI-Registrierungspflicht war bis zum 6. März 2026 zu erfüllen.

NIS1 (2016) galt nur für „Betreiber wesentlicher Dienste" in wenigen Sektoren — in Deutschland etwa 2.000 Unternehmen. NIS2 weitet den Anwendungsbereich massiv aus: Nun sind bis zu 30.000 Unternehmen in 18 Sektoren betroffen, mit strengeren Pflichten, höheren Bußgeldern und persönlicher GF-Haftung.

„Besonders wichtige Einrichtungen" (bwE) sind Unternehmen aus Anhang I-Sektoren (z. B. Energie, Gesundheit, Bankwesen) mit mehr als 250 Mitarbeitern oder mehr als 50 Mio. € Umsatz. „Wichtige Einrichtungen" (wE) sind Unternehmen in Anhang I- oder II-Sektoren mit 50–249 Mitarbeitern oder 10–49 Mio. € Umsatz. Für bwE gelten höhere Bußgelder (bis 10 Mio. €) und strengere Aufsicht als für wE (bis 7 Mio. €).

Anhang I (besonders wichtig): Energie, Transport & Verkehr, Bankwesen, Finanzmarkt-Infrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IT-Dienstleistungen (B2B), Öffentliche Verwaltung, Weltraum. Anhang II (wichtig): Post & Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, Elektronik & Medizintechnik, Forschung.

KRITIS (Kritische Infrastrukturen nach BSI-KritisV) ist ein älteres Regelwerk, das sich auf besonders systemrelevante Betreiber konzentriert. NIS2 ist breiter: Es erfasst deutlich mehr Unternehmen, auch solche, die nicht als KRITIS gelten. Viele KRITIS-Betreiber sind gleichzeitig bwE nach NIS2 — sie unterliegen dann beiden Regelwerken.

Ja. Unternehmen unter 50 Mitarbeitern UND unter 10 Mio. € Jahresumsatz sind in der Regel ausgenommen — es sei denn, sie sind als KRITIS-Betreiber eingestuft, betreiben Kernfunktionen (z. B. TLD-Register, Vertrauensdiensteanbieter) oder werden durch die Konzernklausel erfasst.

Betroffen sind Unternehmen, die (1) in einem der 18 NIS2-Sektoren tätig sind UND (2) mindestens 50 Mitarbeiter beschäftigen ODER mindestens 10 Mio. € Jahresumsatz erzielen. Beide Kriterien müssen gleichzeitig erfüllt sein. Ausnahmen gelten für bestimmte Kleinstunternehmen sowie für Unternehmen der Verteidigung und Strafverfolgung.

Der schnellste Weg ist unser kostenloser Betroffenheitscheck: Sektor auswählen, Mitarbeiterzahl und Umsatz eingeben — in 5 Minuten erhalten Sie eine klare Einordnung als bwE, wE oder nicht betroffen, inklusive der relevanten Pflichten.

Die Rechtsform spielt keine Rolle — NIS2 gilt für GmbHs, AGs, OHGs und alle anderen Unternehmensformen. Entscheidend sind allein Sektorzugehörigkeit, Mitarbeiterzahl und Umsatz.

Nach §29 BSIG kann ein kleines Unternehmen trotz geringer eigener Mitarbeiterzahl als bwE oder wE eingestuft werden, wenn es Teil eines größeren Konzerns ist. Maßgeblich sind dann die konsolidierten Kennzahlen des Konzerns. Damit soll verhindert werden, dass Konzerne ihre Compliance-Pflichten durch Unternehmensaufteilungen umgehen.

Ja. Bundesbehörden und Landesbehörden der zentralen Verwaltung sowie bestimmte Kommunen sind als bwE eingestuft. Sie unterliegen denselben Pflichten wie private Unternehmen, mit einigen verfahrensrechtlichen Besonderheiten.

Das hängt von der Struktur ab. Für die Einstufung als bwE werden die konsolidierten Kennzahlen des Konzerns herangezogen (Konzernklausel). Für die Einstufung als wE können auch eigenständige Tochtergesellschaften separat bewertet werden. Der Betroffenheitscheck berücksichtigt diese Konzernzugehörigkeit.

Alle bwE und wE müssen sich beim BSI registrieren und Kontaktdaten sowie Informationen über ihre Tätigkeit und Sektorzugehörigkeit melden. Die Registrierung erfolgt über das BSI-Portal. Damit soll das BSI einen Überblick über alle regulierten Einrichtungen erhalten.

Die Registrierungspflicht war bis zum 6. März 2026 zu erfüllen — drei Monate nach Inkrafttreten des Gesetzes am 6. Dezember 2025. Über 18.000 Unternehmen haben diese Frist versäumt und riskieren nun Bußgelder bis zu 500.000 Euro.

Die Registrierung erfolgt über das MELDUNG-Portal des BSI (bsi.bund.de). Sie benötigen Angaben zu Unternehmensgröße, Sektor und Kontaktdaten. Unser BSI-Registrierungs-Assistent führt Sie Schritt für Schritt durch den Prozess — inklusive Sektorzuordnung und ELSTER-Anbindung.

Das BSI identifiziert nicht registrierte Einrichtungen aktiv und kann Bußgelder bis zu 500.000 Euro verhängen. Da die Registrierung auch Voraussetzung für die Meldepflicht bei Sicherheitsvorfällen ist, können bei einer BSI-Prüfung weitere Verstöße festgestellt werden.

§30 BSIG schreibt 10 Risikomanagementmaßnahmen vor: (1) Risikoanalyse und Informationssicherheit, (2) Bewältigung von Sicherheitsvorfällen, (3) Business Continuity Management, (4) Sicherheit der Lieferkette, (5) Sicherheit bei Erwerb und Entwicklung, (6) Bewertung der Wirksamkeit, (7) Cyberhygiene und Schulungen, (8) Kryptografie, (9) Personalsicherheit und Zugangskontrolle, (10) Multi-Faktor-Authentifizierung.

Nach §38 BSIG hat die Geschäftsleitung drei nicht delegierbare Pflichten: (1) Genehmigungspflicht — die Sicherheitsmaßnahmen müssen offiziell durch die GF genehmigt werden; (2) Überwachungspflicht — die GF muss die Umsetzung aktiv überwachen; (3) Schulungspflicht — die GF muss sich persönlich in Cybersecurity schulen lassen und den Nachweis führen.

NIS2 schreibt keinen ISB explizit vor, empfiehlt aber die Benennung einer verantwortlichen Person. In der Praxis ist ein ISB (oder CISO) dringend empfohlen, da die GF ihre Überwachungspflicht nach §38 BSIG ohne fachkundige Unterstützung kaum erfüllen kann. Der ISB entlastet die GF, ohne die GF-Verantwortung zu übernehmen.

§32 BSIG schreibt ein dreistufiges Meldeverfahren vor: (1) Frühwarnung an das BSI innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls; (2) Erstmeldung innerhalb von 72 Stunden mit ersten Bewertungen; (3) Abschlussmeldung innerhalb eines Monats. „Erheblich" ist ein Vorfall, der zu Betriebsunterbrechungen oder erheblichen Schäden führt.

Ja. §30 Abs. 2 Nr. 4 BSIG verpflichtet zu Maßnahmen für die „Sicherheit in der Lieferkette". Konkret müssen Sie die Cybersicherheitspraktiken Ihrer direkten Lieferanten und Dienstleister bewerten und vertraglich angemessene Sicherheitsanforderungen vereinbaren. Eine vollständige Zertifizierungspflicht für Lieferanten besteht nicht.

Nein — ISO 27001 ist nicht zwingend erforderlich. Allerdings kann eine ISO 27001-Zertifizierung als Nachweis der Compliance-Bemühungen gegenüber dem BSI genutzt werden. Unternehmen ohne Zertifizierung müssen die Maßnahmen nach §30 BSIG anderweitig nachweisen, z. B. durch dokumentierte Risikoanalysen, Audit-Trails und Schulungsnachweise.

bwE müssen regelmäßig Zertifizierungen oder Audits durch akkreditierte Stellen durchführen und die Ergebnisse dem BSI melden. wE können durch das BSI zur Vorlage von Nachweisen aufgefordert werden. Bei Verdacht auf Verstöße kann das BSI Vor-Ort-Prüfungen anordnen. Lückenlose Dokumentation (Audit-Trail) ist daher unverzichtbar.

Das Gesetz sieht 17 Bußgeldtatbestände in 7 Stufen vor. Die Höchstgrenzen: Für bwE bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt). Für wE bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. Allein für die fehlende BSI-Registrierung drohen bis zu 500.000 Euro.

Ja — nach §38 BSIG haftet die Geschäftsleitung persönlich und mit dem Privatvermögen für die Erfüllung der Compliance-Pflichten. §38 Abs. 3 stellt klar, dass ein Verzicht auf Ersatzansprüche der Einrichtung gegen die Geschäftsleitung unwirksam ist. Auch ein Gesellschafterbeschluss kann die GF nicht von dieser Haftung befreien.

Ja. §61 Abs. 9 BSIG ermächtigt das BSI bei wiederholter oder anhaltender Nichtbefolgung von Anordnungen, der Geschäftsleitung die Ausübung ihrer Leitungsaufgaben vorübergehend zu untersagen. Dies ist eine Ultima-Ratio-Maßnahme — aber rechtlich vorgesehen und bindend.

Das BSI kann anlassbezogen oder regelmäßig prüfen. Bei bwE ist eine proaktive Meldung der Audit-Ergebnisse an das BSI vorgeschrieben. Bei einer Prüfung durch das BSI werden typischerweise angefordert: Nachweise über die durchgeführten Risikoanalysen, Schulungsnachweise der GF und Mitarbeiter, Incident-Response-Pläne, Lieferantenbewertungen und der Umsetzungsstand der 10 Pflichtmaßnahmen.

Die Kosten hängen vom gewählten Ansatz ab: Externe Berater kosten typischerweise 20.000–50.000 € für die Erstimplementierung. Enterprise-GRC-Tools schlagen mit 15.000–50.000 €/Jahr zu Buche. NIS2-Autopilot kostet ab 249 €/Monat (2.988 €/Jahr) und führt Sie selbstständig durch alle Anforderungen — ohne zusätzlichen Berater.

Mit einer strukturierten Plattform dauert die Erstimplementierung typischerweise 4–8 Wochen für die Grundstruktur (Gap-Analyse, Risikoregister, Kernmaßnahmen) und 3–6 Monate für eine vollständige Compliance. Das hängt maßgeblich von der Unternehmensgröße, vorhandenen Strukturen und dem internen Ressourceneinsatz ab.

Schritt 1: Betroffenheit klären (kostenloser Check, 5 Minuten). Schritt 2: Gap-Analyse durchführen — prüfen, welche der 10 Pflichtmaßnahmen bereits vorhanden sind. Schritt 3: Maßnahmenplan erstellen und priorisieren. Schritt 4: BSI-Registrierung vornehmen. Schritt 5: Maßnahmen umsetzen und dokumentieren. NIS2-Autopilot führt Sie durch alle fünf Schritte.