Skip content
Beliebte Links
Cyber webinar

NIS2 Umsetzungsgesetz – Was Unternehmen jetzt wissen müssen

Das NIS2 Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten und stellt einen Meilenstein für die Cybersicherheit in Deutschland dar. Rund 30.000 Unternehmen sind nun verpflichtet, strenge Anforderungen an ihre IT-Sicherheit zu erfüllen. Wer die neuen Pflichten ignoriert, riskiert Bußgelder von bis zu 10 Millionen Euro – und die persönliche Haftung der Geschäftsführung.

In diesem Artikel erfahren Sie, ob Ihr Unternehmen betroffen ist, welche Maßnahmen Sie umsetzen müssen und wie Sie mit einer ISO 27001-Zertifizierung die NIS2-Anforderungen effizient erfüllen können.

Was ist NIS2?

 

NIS2 steht für "Network and Information Security 2" und ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in Europa. Die Richtlinie wurde am 14. Dezember 2022 von der EU-Kommission verabschiedet und trat am 16. Januar 2023 in Kraft. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert den Anwendungsbereich erheblich.

Ziel der NIS2-Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau in allen EU-Mitgliedstaaten zu etablieren. Unternehmen und öffentliche Einrichtungen sollen widerstandsfähiger gegen Cyberangriffe werden – und das in einer Zeit, in der digitale Bedrohungen kontinuierlich zunehmen.

 

Unterschied zwischen NIS-1 und NIS-2

 

Die ursprüngliche NIS-Richtlinie betraf hauptsächlich Betreiber kritischer Infrastrukturen (KRITIS). Mit NIS2 wird der Kreis der regulierten Unternehmen deutlich erweitert. Statt ca. 4.500 Unternehmen fallen nun rund 30.000 deutsche Unternehmen unter die neuen Regelungen. Zudem wurden die Anforderungen an Risikomanagement, Meldepflichten und Sanktionen verschärft.

NIS2 Umsetzungsgesetz: Der aktuelle Stand in Deutschland

 

Die EU-Mitgliedstaaten waren verpflichtet, die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Deutschland hat diese Frist überschritten, jedoch ist das Gesetz nun verabschiedet und in Kraft.

 

Zeitplan und wichtige Daten

 

  • 14.12.2022: Verabschiedung der NIS2-Richtlinie durch die EU
  • 16.01.2023: Inkrafttreten der EU-Richtlinie
  • 17.10.2024: Ursprüngliche Umsetzungsfrist (nicht eingehalten)
  • 13.11.2025: Verabschiedung im Bundestag
  • 21.11.2025: Genehmigung durch den Bundesrat
  • 05.12.2025: Veröffentlichung im Bundesgesetzblatt
  • 06.12.2025: Inkrafttreten des NIS2 Umsetzungsgesetzes
  • 06.01.2026: Freischaltung des BSI-Portals zur Registrierung

Mit dem Inkrafttreten des Gesetzes sind die NIS2-Pflichten für betroffene Unternehmen unmittelbar verbindlich. Eine allgemeine Übergangsfrist gibt es nicht.

Ist Ihr Unternehmen von NIS2 betroffen?

 

Ob Ihr Unternehmen unter die NIS2-Regelungen fällt, hängt von zwei Faktoren ab: der Unternehmensgröße und dem Sektor, in dem Sie tätig sind. Wichtig: Unternehmen müssen selbst prüfen, ob sie betroffen sind – eine behördliche Benachrichtigung erfolgt nicht.

 

Größenkriterien

 

NIS2 gilt grundsätzlich für Unternehmen, die mindestens eines der folgenden Kriterien erfüllen:

  • Mindestens 50 Mitarbeitende ODER
  • Mindestens 10 Millionen Euro Jahresumsatz UND 10 Millionen Euro Jahresbilanzsumme

Einige Organisationen sind unabhängig von ihrer Größe betroffen, etwa wenn bei einem Ausfall Systemrisiken bestehen oder sie als Anbieter kritischer Dienste eingestuft werden.

 

Die 18 betroffenen Sektoren

 

NIS2 definiert 18 Wirtschaftssektoren, die in zwei Kategorien unterteilt werden:

Sektoren mit hoher Kritikalität (Anhang I): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT-Dienstleistungsmanagement (B2B), Öffentliche Verwaltung, Weltraum

Sonstige kritische Sektoren (Anhang II): Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung

 

Wesentliche und wichtige Einrichtungen

 

Das deutsche Umsetzungsgesetz unterscheidet zwischen "besonders wichtigen" und "wichtigen" Einrichtungen:

Besonders wichtige Einrichtungen:

  • Große Unternehmen (ab 250 Mitarbeitende oder über 50 Mio. EUR Umsatz) aus Sektoren mit hoher Kritikalität
  • Betreiber kritischer Anlagen (KRITIS)
  • Qualifizierte Vertrauensdiensteanbieter, TLD-Registrierungsstellen, DNS-Dienste

Wichtige Einrichtungen:

  • Mittlere Unternehmen (50-249 Mitarbeitende) aus Sektoren mit hoher Kritikalität
  • Mittlere und große Unternehmen aus sonstigen kritischen Sektoren

Der Unterschied wirkt sich auf die Aufsichtsintensität und die Höhe möglicher Sanktionen aus.

Die 10 NIS2-Anforderungen im Überblick

 

Das NIS2 Umsetzungsgesetz verpflichtet betroffene Unternehmen zu umfassenden Maßnahmen im Bereich der Cybersicherheit. Diese Maßnahmen müssen verhältnismäßig sein und sich an einer individuellen Risikobetrachtung orientieren.

 

Risikomanagement

 

Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme etablieren. Dazu gehören:

  • Konzepte für Risikoanalyse und Informationssicherheit
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Aufrechterhaltung des Betriebs (Business Continuity, Backup-Management, Krisenmanagement)
  • Sicherheit in der Lieferkette
  • Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Konzepte zur Bewertung der Wirksamkeit von Maßnahmen
  • Cyberhygiene und Schulungen
  • Kryptografie und Verschlüsselung
  • Personalsicherheit und Zugriffskontrolle
  • Multi-Faktor-Authentifizierung und sichere Kommunikation

 

Meldepflichten bei Sicherheitsvorfällen

 

Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden. Die Fristen sind streng:

  • Innerhalb von 24 Stunden: Frühwarnung nach Kenntnis des Vorfalls
  • Innerhalb von 72 Stunden: Erste Bewertung des Vorfalls und seiner Auswirkungen

Spätestens nach 1 Monat: Abschlussbericht mit ausführlicher Beschreibung, Ursachen und Abhilfemaßnahmen

Registrierung beim BSI – Schritt für Schritt

 

Betroffene Unternehmen sind verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu registrieren. Der Prozess erfolgt in zwei Schritten.

H3: Mein Unternehmenskonto (MUK)

Zunächst müssen Sie ein Nutzerkonto beim digitalen Dienst "Mein Unternehmenskonto" (MUK) anlegen. Das BSI empfiehlt, diesen Account bis spätestens Ende 2025 einzurichten.

 

BSI-Portal ab Januar 2026

 

Ab dem 6. Januar 2026 wird das neue BSI-Portal freigeschaltet. Dort können Sie sich mit Ihrem MUK-Nutzerkonto registrieren und erhalten Zugang zur Meldestelle für Sicherheitsvorfälle.

Bei der Registrierung sind folgende Angaben erforderlich:

  • Name und Kontaktdaten des Unternehmens
  • Rechtsform und Handelsregisternummer
  • Sektor und Branche
  • Liste der EU-Mitgliedstaaten, in denen das Unternehmen tätig ist

Sanktionen und Haftung bei Verstößen

 

Die NIS2-Richtlinie sieht empfindliche Sanktionen bei Nichteinhaltung vor. Das deutsche Umsetzungsgesetz hat diese Vorgaben übernommen.

 

Bußgelder

 

Besonders wichtige Einrichtungen: Bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes

Wichtige Einrichtungen: Bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes

 

Persönliche Haftung der Geschäftsführung

 

Die NIS2-Richtlinie macht Cybersicherheit zur Chefsache: Geschäftsführer und Vorstände sind persönlich dafür verantwortlich, dass die Risikomanagementmaßnahmen umgesetzt und überwacht werden. Sie sind zudem verpflichtet, an Schulungen zur Cybersicherheit teilzunehmen.

Bei Missachtung dieser Pflichten können Geschäftsführer persönlich haftbar gemacht werden. Diese Verantwortung kann nicht delegiert werden.

ISO 27001 als Grundlage für NIS2-Compliance

 

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bietet eine ideale Grundlage, um die NIS2-Anforderungen zu erfüllen. Die internationale Norm unterstützt Unternehmen dabei:

  • Risiken systematisch zu bewerten und zu behandeln
  • Geeignete Schutzmaßnahmen zu implementieren
  • Prozesse für Incident Response zu etablieren
  • Die Wirksamkeit von Maßnahmen kontinuierlich zu verbessern

Der große Vorteil: ISO 27001 ist auditierbar und zertifizierbar. Eine Zertifizierung durch eine akkreditierte Stelle wie LRQA schafft Vertrauen bei Kunden, Partnern und Aufsichtsbehörden – und dokumentiert nachweislich Ihre Compliance-Bemühungen.

Viele der NIS2-Anforderungen decken sich direkt mit den Kontrollen der ISO 27001. Unternehmen, die bereits zertifiziert sind, haben daher einen erheblichen Vorsprung bei der NIS2-Umsetzung.

Wie LRQA Sie bei der NIS2-Umsetzung unterstützt

 

LRQA ist als unabhängige Zertifizierungsstelle für ISO 27001 akkreditiert und begleitet Unternehmen auf dem Weg zur NIS2-Compliance:

Gap-Analyse:

Wir identifizieren, wo Ihr Unternehmen steht und welche Lücken zu den NIS2-Anforderungen bestehen.

Schulungen:

Unsere Experten schulen Ihre Geschäftsführung und Mitarbeitenden zu den Anforderungen der Informationssicherheit – wie von NIS2 gefordert.

Zertifizierung:

Als akkreditierte Zertifizierungsstelle prüfen und zertifizieren wir Ihr ISMS nach ISO 27001.

 

Transfer: Haben Sie bereits ein Zertifikat eines anderen Anbieters? Der Wechsel zu LRQA ist unkompliziert.

Kontaktieren Sie uns für eine unverbindliche Beratung.

Cybersicherheits-Lösungen

Häufige Fragen zu NIS2 (FAQ)

Was ist NIS2?

NIS2 (Network and Information Security 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie legt verbindliche Mindeststandards für Unternehmen in 18 kritischen Sektoren fest und wurde in Deutschland durch das NIS2 Umsetzungsgesetz in nationales Recht überführt.

Wer ist von NIS2 betroffen?

Betroffen sind Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro, die in einem der 18 definierten Sektoren tätig sind. In Deutschland sind das rund 30.000 Unternehmen.

Wann tritt NIS2 in Kraft?

Das NIS2 Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Die Pflichten sind unmittelbar anzuwenden – eine Übergangsfrist gibt es nicht.

Welche Strafen drohen bei Verstößen?

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Zudem haften Geschäftsführer persönlich für die Einhaltung der Pflichten.

Wie setze ich NIS2 um?

Die Umsetzung beginnt mit einer Betroffenheitsprüfung und einer Gap-Analyse. Ein ISMS nach ISO 27001 bietet eine strukturierte Grundlage für die Erfüllung der NIS2-Anforderungen. Registrieren Sie sich zudem rechtzeitig beim BSI.