Drei Schichten, ein Haftungsstrang. NIS2 verknüpft technische Pflichten, Meldewege und persönliche Verantwortung der Leitung.
TL;DR: NIS2 ist seit Dezember 2025 in Deutschland geltendes Recht – ohne Übergangsfrist. Etwa 29.500 Unternehmen in 18 Sektoren fallen darunter, sobald sie 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz erreichen. Pflicht sind ein dokumentiertes Risikomanagement in zehn Bereichen, gestaffelte Meldungen (24 Stunden, 72 Stunden, 1 Monat) und eine BSI-Registrierung. Die Leitungsorgane haften persönlich.
Was NIS2 ist – und warum die kurze Formel oft trügt
„NIS2 betrifft KRITIS“ – diese Formel hat sich in vielen Geschäftsleitungen festgesetzt, und sie ist falsch. Der Gesetzgeber hat die alte KRITIS-Schwelle abgelöst und ein zweistufiges Modell eingezogen, das auch klassische Mittelständler erfasst: Maschinenbauer, Lebensmittellogistiker, Forschungseinrichtungen, Anbieter digitaler Dienste. Aus einigen tausend Betreibern kritischer Infrastrukturen werden rund 29.500 Unternehmen in 18 Sektoren.
Der formale Hintergrund: NIS2 ist die zweite EU-Richtlinie zur „Network and Information Security“, konsolidiert in der Verordnung (EU) 2022/2555 und in Deutschland mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Sie löst die NIS-Richtlinie von 2016 ab und schreibt deren Logik fort – mit deutlich erweitertem Anwendungsbereich und schärferen Sanktionen.
Wer fällt wirklich darunter
Das Gesetz unterscheidet zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Die Einstufung folgt aus zwei Achsen: dem Sektor (Anhang I und II der Richtlinie) und der Größe.
Die zentrale Größenregel: mindestens 50 Beschäftigte oder 10 Millionen Euro Jahresumsatz und Bilanzsumme in einem der genannten Sektoren. Für besonders wichtige Einrichtungen liegen die Schwellen höher – ab 250 Beschäftigten oder 50 Millionen Euro Umsatz. Kleinere Unternehmen sind grundsätzlich ausgenommen, mit Ausnahmen für Anbieter mit besonderer Systemrelevanz – etwa Vertrauensdienste oder bestimmte Telekommunikations-Anbieter.
Wer die Schwellen überschreitet, hat drei Monate Zeit, sich beim BSI zu registrieren. Wer schon vor Inkrafttreten betroffen war, hätte sich bis zum 6. März 2026 registrieren müssen – die Frist ist also bereits abgelaufen.
Inkrafttreten, Anwendbarkeit und die deutsche Verspätung
Die EU-Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die Umsetzungsfrist für die Mitgliedstaaten endete am 17. Oktober 2024. Deutschland hat diese Frist verpasst – mit der Konsequenz eines Vertragsverletzungsverfahrens der EU-Kommission. Verkündung des NIS2UmsuCG im Bundesgesetzblatt erfolgte erst am 6. Dezember 2025; seitdem gilt das Gesetz.
Wichtig: Im Unterschied zu vielen anderen EU-Verordnungen gibt es keine Übergangsfrist. Die Pflichten greifen ab dem Tag der Verkündung. Wer am Stichtag noch kein dokumentiertes Risikomanagement und keine Meldeprozesse hatte, war ab diesem Tag rechtswidrig aufgestellt. Dass die deutsche Aufsicht in der Anlaufphase zunächst auf Mitwirkung statt auf Sanktionen setzt, ist eine politische Praxis, kein gesetzliches Schonungsfenster.
Damit ist der formale Rahmen gesetzt. Die Substanz der Richtlinie liegt aber in den Pflichten – und die haben es in sich.
Die zehn Pflichtbereiche im Risikomanagement
Artikel 21 der NIS2-Richtlinie definiert zehn Bereiche, in denen betroffene Unternehmen „geeignete und verhältnismäßige“ technische, operative und organisatorische Maßnahmen umsetzen müssen. Diese Liste ist nicht abschließend, aber sie ist der Maßstab, an dem Aufsicht und Wirtschaftsprüfer den Reifegrad messen.
Die Bereiche im Klartext:
- Risikoanalyse und Informationssicherheitsleitlinien
- Behandlung von Sicherheitsvorfällen einschließlich Erkennung
- Aufrechterhaltung des Betriebs (Backup, Wiederherstellung, Krisenmanagement)
- Sicherheit der Lieferkette einschließlich Beziehung zu Direktanbietern
- Sicherheit beim Erwerb, der Entwicklung und Wartung von Systemen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
- Grundlegende Cyberhygiene und Schulungen
- Konzepte zu Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle, Asset-Management
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Das ist kein Maßnahmenkatalog im Sinne einer Checkliste, sondern eine Sammlung von Themenbereichen. Wie diese konkret umgesetzt werden, hängt von der Risikolage des Unternehmens ab. In der Praxis greifen viele Organisationen auf etablierte Rahmenwerke zurück – etwa ISO/IEC 27001 oder den BSI-IT-Grundschutz – und reichern sie um die NIS2-spezifischen Aspekte an, vor allem das Lieferantenmanagement.
Was an der Lieferkette neu ist
Der vierte Pflichtbereich – Sicherheit der Lieferkette – ist im Vergleich zu früheren Sicherheitsregimen verschärft. Verlangt werden eine systematische Bewertung der Risiken aus Direktanbietern, vertragliche Sicherheitsanforderungen und ein dokumentierter Umgang mit Schwachstellen, die bei Lieferanten entstehen. Wer kritische Software aus dem Ausland einsetzt – von ERP- bis SCADA-Komponenten – muss die Risiken aus dieser Kette explizit bewerten.
In der Praxis bedeutet das: Beschaffung, Recht und Sicherheit müssen näher zusammenrücken. Standard-Verträge ohne Sicherheits-Annex sind ab NIS2 für die kritischen Lieferanten nicht mehr tragfähig.
So weit die Inhalte. Bei einem Vorfall greifen daneben strenge Berichtspflichten – und hier wird es zeitkritisch.
Meldepflichten: 24 Stunden, 72 Stunden, ein Monat
Die NIS2-Meldekette ist gestaffelt und folgt einem klaren Zeitschema, das in jedem Vorfalls-Drehbuch verankert sein muss.
| Frist | Inhalt | Zweck |
|---|---|---|
| 24 Stunden | Frühwarnung beim BSI | Erste Einordnung: bösartig, grenzüberschreitend, hohe Auswirkung? |
| 72 Stunden | Vorfallsmeldung mit erster Bewertung | Schwere, Art, Indikatoren, bisherige Maßnahmen |
| 1 Monat | Abschlussbericht | Ursachen, getroffene Maßnahmen, Folgen, Lessons Learned |
Maßgeblich ist, wann ein „erheblicher“ Sicherheitsvorfall vorliegt. Die Richtlinie definiert ihn als Ereignis, das schwere Betriebsstörungen oder Schäden auslösen kann oder Dritte erheblich betrifft. Was im Einzelfall „erheblich“ ist, entscheidet die Aufsicht – mit klarem Ermessensspielraum.
Daneben besteht eine Pflicht zur proaktiven Information der Nutzer, sobald ein Vorfall sie betrifft oder betreffen kann. Das gilt insbesondere für Anbieter digitaler Dienste und Plattformen.
Was das für die interne Organisation bedeutet
Eine 24-Stunden-Frist ist nur einzuhalten, wenn Detection, Triage und Meldung vor dem Vorfall eingespielt sind. In der Praxis heißt das: definierte Ansprechpartner im Unternehmen und beim BSI, klare Eskalations-Pfade, geübte Meldevorlagen und – wo ein Security Operations Center existiert – Meldeprozesse, die nicht erst nachts auf Genehmigungen warten.
Wer in der ersten Vorfalls-Übung merkt, dass die 24-Stunden-Frist organisatorisch nicht funktioniert, hat noch Spielraum nachzubessern. Wer das im echten Vorfall merkt, hat sehr wahrscheinlich auch ein Aufsichts-Problem.
Damit kommt die letzte – und politisch heikelste – Säule ins Spiel: die persönliche Haftung der Leitung.
Geschäftsleitungs-Haftung: Was Artikel 20 wirklich sagt
Artikel 20 der Richtlinie verpflichtet die Leitungsorgane direkt: Sie müssen die Risikomanagement-Maßnahmen billigen, überwachen und persönlich verantworten. Mitgliedstaaten müssen vorsehen, dass die Leitung bei Verstößen persönlich haftet. Das ist ein erheblicher Bruch mit der bisherigen Verteilung, in der die operative IT-Sicherheit oft an Fachebenen delegiert wurde.
Die deutsche Umsetzung im NIS2UmsuCG konkretisiert das: Geschäftsführer und Vorstände müssen die Sicherheitsmaßnahmen aktiv genehmigen und die Aufsicht über ihre Umsetzung führen. Daneben besteht eine Schulungspflicht für die Leitungsorgane in Bezug auf Risiken und Pflichten. Eine Delegation ist möglich, befreit aber nicht von der Aufsichtsverantwortung.
Sanktionen können sich zudem direkt gegen Leitungsorgane richten – inklusive der Möglichkeit, die Ausübung von Leitungsfunktionen vorübergehend zu untersagen. Diese Möglichkeit ist in deutschen Cybersicherheitsgesetzen ein Novum.
Wofür die Leitung haftet – und wofür nicht
Die Haftung knüpft an Verletzungen der Aufsichts- und Genehmigungspflicht. Sie zielt nicht auf Detail-Entscheidungen im SOC, sondern auf das Gesamtbild: Existiert ein Risikomanagement, wird es überwacht, sind Vorfälle dokumentiert und gemeldet, gibt es ausreichende Ressourcen?
Wer nachweisen kann, dass die Leitung den Stand der Technik regelmäßig prüft, dass Berichte vorgelegt und behandelt werden und dass im Zweifel mehr und nicht weniger Aufmerksamkeit investiert wird, hat im Streitfall Argumente. Wer „IT-Sicherheit war ja Sache der IT“ sagt, hat sie nicht mehr.
Bevor wir die Bußgeldlogik betrachten, lohnt der Blick auf die Sektoren – denn nicht jede Branche steht gleich im Fokus.
Welche Sektoren erfasst sind
Die NIS2 unterscheidet 18 Sektoren in zwei Anhängen. Anhang I („Sektoren mit hoher Kritikalität“) umfasst klassische KRITIS-Bereiche und einige neue. Anhang II („Sonstige kritische Sektoren“) erweitert den Kreis um Branchen, die bisher nicht im Fokus standen.
Sektoren mit hoher Kritikalität (Anhang I) sind unter anderem Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (inkl. Rechenzentren und Cloud-Anbieter), IKT-Diensteverwaltung, öffentliche Verwaltung und Weltraum. Sonstige kritische Sektoren (Anhang II) ergänzen unter anderem Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion und -vertrieb, das verarbeitende Gewerbe in zentralen Teilbereichen, Anbieter digitaler Dienste und Forschungseinrichtungen.
Insbesondere die Aufnahme von Anbietern digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und des verarbeitenden Gewerbes ist wirtschaftspolitisch weitreichend. Maschinen-, Geräte- und Fahrzeugbau, Pharma, Medizinprodukte und Elektronikfertigung fallen damit ausdrücklich in den Anwendungsbereich.
Bußgelder, Aufsicht und das Verhältnis zu KRITIS
Die Bußgeldlogik staffelt sich nach Einstufung. Besonders wichtige Einrichtungen drohen Geldbußen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – jeweils der höhere Betrag. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes, ebenfalls der höhere Betrag.
Anders als bei der DSGVO ist die Logik damit homogen: Es gilt jeweils der höhere Betrag, ohne Sonderregel für kleinere Unternehmen. Wer also „nur“ als wichtige Einrichtung gilt, ist nicht automatisch günstiger weg, sondern wird im Verhältnis zum Umsatz sanktioniert.
NIS2 ersetzt das deutsche IT-Sicherheitsgesetz 2.0 nicht vollständig. Für KRITIS-Betreiber gilt weiterhin das BSIG mit eigenen Pflichten, die mit NIS2 zusammengeführt werden. In der Praxis bedeutet das: Betreiber kritischer Anlagen erfüllen beide Regime parallel, profitieren aber von gemeinsamen Strukturen wie Meldepflichten beim BSI.
Aufsichtsbehörde ist – mit Ausnahme einiger sektoraler Sonderregeln – das Bundesamt für Sicherheit in der Informationstechnik. Es kann Vor-Ort-Prüfungen anordnen, Sicherheitsüberprüfungen durchführen und gegen Unternehmensleitungen Auflagen erlassen. Größere Eingriffe sind im Konsultationsverfahren mit anderen Behörden zu koordinieren.
Was wir aus den ersten Monaten Praxis sehen
Wir haben in der Beratung gesehen, woran die ersten NIS2-Programme im Mittelstand am häufigsten scheitern. Es ist nicht die Technik, sondern die Klarheit über Geltungsbereich und Verantwortung.
Drei Muster treten regelmäßig auf. Erstens unterschätzen Unternehmen die Lieferketten-Pflicht: Sie behandeln sie als nachgelagertes Vertragsthema, obwohl sie eine durchgängige Inventur der kritischen Direktanbieter verlangt. Zweitens ist die 24-Stunden-Meldekette häufig nicht operativ hinterlegt – es fehlen entweder Detection oder klare Eskalationswege. Drittens existieren oft Risikoanalysen, aber sie sind nicht so dokumentiert, dass die Leitung sie sinnvoll genehmigen könnte.
Wer NIS2-Compliance pragmatisch angeht, kombiniert ein etabliertes Sicherheits-Framework mit den NIS2-spezifischen Ergänzungen, baut ein Reporting an die Geschäftsleitung auf und übt mindestens einmal pro Quartal den Vorfalls-Prozess durch. Mehr braucht es im ersten Jahr selten – weniger akzeptiert die Aufsicht im Zweifel nicht.
Eine letzte Einordnung lohnt zum Schluss: NIS2 ist Teil einer größeren Architektur, in der EU-Digitalregulierung und digitale Souveränität zusammenwachsen. Wer NIS2 isoliert behandelt, baut Compliance-Silos. Wer die Querbezüge zu DORA, AI Act und Cyber Resilience Act mitdenkt, gewinnt strukturelle Stabilität – und vermeidet das Doppelte an Audits.
Drei konkrete nächste Schritte, wenn ihr noch nicht startet seid:
- Geltungsbereich klären – Mitarbeiter- und Umsatzschwellen prüfen, Sektor bestätigen, Einstufung dokumentieren.
- Risikoinventur priorisieren – die zehn Pflichtbereiche aus Artikel 21 in eine Maturity-Bewertung übersetzen, Lücken markieren.
- Meldekette durchspielen – einen realistischen Vorfall simulieren, Zeitstempel mitschreiben, Defizite in den Eskalations-Pfaden beseitigen.
Quellen
- Richtlinie (EU) 2022/2555 (NIS2) – EUR-Lex, Amtsblatt der EU
- NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – BSI, Stand 2026
- NIS2-Umsetzung in Deutschland – OpenKRITIS
- NIS-2-Umsetzungsgesetz – Anforderungen – IHK Magdeburg
- Ende der Umsetzungsfrist für NIS-2-Richtlinie – Pinsent Masons
