In der IT-Welt gibt es ein neues Schreckgespenst: die NIS-2-Richtlinie. Während die EU-Richtlinie, bereits seit 2023 feststand, ist das NIS-2-Umsetzungsgesetz (kurz NISUmsuCG) am 6. Dezember 2025 offiziell in Kraft getreten. Bis Dezember 2025 wurden die Vorgaben der NIS-2-Richtlinie der EU vollständig in nationales Recht überführt. Viele betroffene Unternehmen in Deutschland stellen sich nun die berechtigte Frage: Ist das Gesetz zur Umsetzung der NIS-2-Richtlinie ein reines Bürokratiemonster – oder notwendige Evolution der Cybersicherheit?
Warum plötzlich alle über NIS 2 sprechen
Mythos vs. Realität: Mehr Bürokratie oder saubere IT-Basis?
Der Grund für den Wirbel ist die massive Ausweitung der Reichweite. Während die ursprüngliche NIS-Regelung von 2016 eher ein exklusiver Club für die „ganz Großen“ der kritischen Infrastruktur war, zieht die neue Richtlinie das Netz deutlich enger. Bis zum Jahr 2025 und darüber hinaus bis 2026 werden schätzungsweise 30.000 Unternehmen (davon knapp 8.250, die als „besonders wichtige Einrichtungen gelten“) allein in der Bundesrepublik unter die Regelung fallen. Branchen, die sich bisher in Sicherheit wogen – von der Abfallwirtschaft bis hin zur Lebensmittelproduktion – rücken nun in den Fokus des Bundesamts für Sicherheit in der Informationstechnologie (BSI).
Doch die eigentliche Sprengkraft liegt woanders: Denn betroffene Unternehmen sind gesetzlich verpflichtet, die IT-Sicherheit ihrer gesamten Lieferkette zu prüfen – und das zieht auch Betriebe in die Pflicht, die offiziell gar nicht unter NIS-2 fallen. [Warum das auch dich betrifft, auch wenn du unter den Schwellenwerten liegst – lies hier weiter.]
Doch wer den Hype einmal beiseiteschiebt und die regulatorische Hülle abstreift, stellt fest: Hinter der Akronym-Fassade verbirgt sich kein neues, exotisches Technologie-Monster. Wer die Umsetzung der NIS-2-Richtlinie als reine Schikane aus Brüssel versteht, verkennt die Realität der aktuellen Bedrohungslage. In einer Zeit, in der Ransomware-as-a-Service floriert, ist das Gesetz nicht die Krankheit, sondern der Versuch einer Medizin. Die Realität ist: Die Anforderung an die Informationssicherheit ist im Kern nichts anderes als das, was wir seit Jahrzehnten unter dem Begriff IT-Grundschutz kennen. Es geht nicht um Neuerfindung, sondern um die konsequente Umsetzung von Hausaufgaben, die in vielen Serverräumen viel zu lange liegen geblieben sind.
Ist NIS-2 wirklich etwas Neues? Oder einfach nur Grundschutz?
Wenn man die Anforderungen der NIS-2 Richtlinie neben das Standard-Repertoire eines erfahrenen IT-Administrators legt, folgt meist ein kurzes Nicken und die Frage: „Und das war’s?“
Ja, im Kern ist es das. Werfen wir einen Blick auf das, was die Richtlinie konkret verlangt – und warum uns das alles so bekannt vorkommt.
Was die NIS-2 Umsetzung konkret fordert
Die Richtlinie listet einen Katalog von Maßnahmen auf, die jedes betroffene Unternehmen umsetzen muss. Schauen wir uns die wichtigsten Pfeiler an:
Was die NIS-2 Umsetzung konkret fordert
- Risikomanagement: Unternehmen müssen ihre Assets kennen und bewerten. Wo liegen die Kronjuwelen? Welche Systeme sind kritisch? Die Richtlinie verfolgt hier einen konsequenten Allgefahrenansatz. Das klingt kompliziert, bedeutet aber schlicht: Du musst dich gegen alles wappnen, was den Betrieb stören könnte. Nicht nur gegen den Hacker, sondern auch gegen Hochwasser, brennende Serverräume oder den Mitarbeiter, der versehentlich den falschen Stecker zieht. Das ist kein Hexenwerk, sondern die Basis einer jeden vernünftigen IT-Strategie.
- Technische und organisatorische Maßnahmen (TOMs): Hier geht es um das „Handwerk“. Kryptografie (Verschlüsselung), Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA). Wer heute noch kritische Admin-Zugänge ohne zweiten Faktor betreibt, handelt ohnehin grob fahrlässig – NIS-2 macht das nun lediglich zum Gesetz.
- Incident Handling: Was passiert, wenn es kracht? Die Richtlinie fordert klare Prozesse zur Erkennung und Bewältigung von Vorfällen.
- Business Continuity und Backup-Management: Ein Backup ist kein Luxus, sondern die Lebensversicherung. NIS-2 verlangt ein funktionierendes Backup-Konzept und, was oft vergessen wird, die Fähigkeit zur Wiederherstellung (Recovery)
- Lieferkettensicherheit: Du musst sicherstellen, dass auch deine Zulieferer kein offenes Scheunentor für Angreifer sind.
- Schulungen & Awareness: Der Faktor Mensch rückt ins Zentrum. Dein Team muss wissen, wie eine Phishing-Mail aussieht.
Das steht im IT-Grundschutz und im ISO 27001 schon lange
Vergleicht man diese Liste mit dem BSI IT-Grundschutz oder der ISO 27001, stellt man fest:
Es ist fast deckungsgleich.
- Die Forderung nach Verschlüsselung findet sich im Grundschutz-Baustein CON.1.
- Das Identitätsmanagement wird in ORP.4 (Identitäts- und Berechtigungsmanagement) detailliert beschrieben.
- Die Business Continuity wird durch das Standard BSI 200-4 umfassend abgedeckt.
Der „Witz“ an NIS-2 ist, dass sie keine neuen technischen Standards erfindet. Sie verweist indirekt auf den „Stand der Technik“. Wer also bereits nach ISO 27001 arbeitet oder die Basisabsicherung des BSI umgesetzt hat, kann bei NIS-2 entspannt einen Haken nach dem anderen setzen. Diese Form der IT-Hygiene ist im Grunde nichts anderes als die gesetzliche Verpflichtung zu den längst überfälligen Hausaufgaben. So wie ein Restaurant eine saubere Küche haben muss, muss ein modernes Unternehmen eine saubere IT führen.
Der entscheidende Unterschied: Gesetzliche Pflicht & Haftung der Geschäftsführung
Warum also die ganze Aufregung, wenn das doch nur alter Wein in neuen Schläuchen ist? Weil der Gesetzgeber ein Element hinzugefügt hat, das bisher fehlte: Konsequenzen.
Bisher war IT-Sicherheit oft ein „Nice-to-have“ – ein Budgetposten, der im Zweifelsfall gekürzt wurde, um die Quartalszahlen zu retten. NIS-2 ändert die Spielregeln radikal durch die Haftung der Geschäftsführung.
- Teilnahmepflicht: Geschäftsführer können sich nicht mehr herausreden. „Davon verstehe ich nichts“ gilt nicht mehr. Sie sind verpflichtet, an Schulungen teilzunehmen.
- Persönliche Verantwortung: Das Management muss die Umsetzung der Maßnahmen überwachen. Bei Verstößen drohen Geldstrafen, die nicht mehr aus der Protokasse bezahlt werden können. Für wesentliche Einrichtungen sind das bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.
- Persönliche Verantwortung und Haftung: Das ist der brisanteste Punkt. Das Management muss die Umsetzung der Maßnahmen überwachen. Geschäftsführer haften ihrer Gesellschaft gegenüber nun direkt mit ihrem Privatvermögen für Schäden aus schuldhaften Pflichtverletzungen. Besonders kritisch: Ein Haftungsverzicht oder eine Delegation der Verantwortung ist gesetzlich ausgeschlossen.
Technisch ist NIS-2 ein alter Bekannter. Politisch und rechtlich ist sie jedoch eine Revolution, weil sie die IT-Sicherheit aus der „Nerd-Ecke“ direkt an den Konferenztisch der Geschäftsführung zwingt.
Betroffene Unternehmen
Bevor wir über die indirekten Folgen sprechen, müssen wir harte Grenzen ziehen. Wer ist verpflichtet? Das Gesetz zur Umsetzung der NIS-2-Richtlinie definiert einen klaren Kreis der betroffenen Unternehmen, der weit über das bisherige Verständnis von KRITIS hinausgeht. Die Einteilung erfolgt dabei in zwei Hauptkategorien, die jedoch beide ähnliche Aufgaben in puncto Sicherheit und Meldewesen haben.
Kritische und besonders wichtige Einrichtungen
Die Einteilung erfolgt nach Sektoren und Unternehmensgröße. Man unterscheidet zwischen:
- Wesentliche Einrichtungen (Essential Entities): Das sind Unternehmen aus dem Sektor Energie, Verkehr, Banken, das Gesundheitswesen und die öffentliche Verwaltung. Wer hier als wesentlich eingestuft wird, betreibt oft kritische Anlagen, die unter besonderer Beobachtung stehen. Diese Betriebe unterliegen strengen Aufsichtsmaßnahmen durch nationale Behörden.
- Wichtige Einrichtungen (Important Entities): Hierzu zählen viele Unternehmen, die bisher nicht reguliert waren, wie die Abfallwirtschaft, die Lebensmittelproduktion, chemische Industrie, Post- und Kurierdienste sowie Anbieter digitaler Dienste (wie Online-Marktplätze oder Suchmaschinen). Auch wenn die Anforderungen an wichtige Einrichtungen leicht abgestuft sind, bleiben die grundlegenden Pflichten zur Cybersecurity identisch.
Größenkriterien der Branchen
Die Entscheidung, ob dein Betrieb unter das NIS-2-Umsetzungsgesetz fällt, hängt primär von der Branche und der Unternehmensgröße ab. Die relevanten Wirtschaftsbereiche sind in Anlage 1 und 2 des Gesetzesentwurfs gelistet.
Die Faustregel: Ein Unternehmen ist betroffen, wenn es mehr als 50 Mitarbeiter beschäftigt ODER einen Jahresumsatz von 10 Millionen Euro erzielt. Wer jedoch die Schwelle von 250 Mitarbeitern oder 50 Millionen Euro (bei einer Bilanzsumme von 43 Millionen Euro) überschreitet, rutscht meist automatisch in die Kategorie der „Wesentlichen Einrichtungen“. Besonders für den Mittelstand und viele KMU ist dies die Schwelle, die den Übergang von der freiwilligen IT-Sicherheit zur gesetzlichen IT-Compliance markiert.
Wer bisher dachte, man sei „zu klein für Hacker“, wird nun vom Gesetzgeber eines Besseren belehrt. Der Staat definiert hier schlichtweg eine kritische Masse: Wenn ein mittelgroßer Lebensmittelproduzent stillsteht, ist das ärgerlich; wenn hundert gleichzeitig aufgrund derselben Schwachstelle stehen, ist es ein nationales Versorgungsproblem.
Betroffenheitsprüfung: Ist dein Unternehmen dabei?
Hör auf zu raten und prüfe deine Betroffenheit. Eine fundierte Betroffenheitsprüfung sollte heute ganz oben auf der Agenda stehen. Es reicht nicht aus, darauf zu warten, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) anklopft. Die Pflicht zur Registrierung liegt beim Unternehmen selbst. Es handelt sich um eine Holschuld.: Wer seine Betroffenheit ignoriert und die Registrierungsfrist von drei Monaten verstreichen lässt, riskiert nicht nur Störungen im Betriebsablauf, sondern auch empfindliche Sanktionen. Das zentrale Meldeportal des BSI ist seit dem 6.Januar 2026 freigeschaltet. Unternehmen, die unter diese Regelung fallen, müssen sich dort nun umgehend registrieren.
Im Kern geht es in diesem Gesetz also um die Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements und um die Sicherheit von Netz- und Informationssystemen, die für das Funktionieren unserer Wirtschaft in Deutschland elementar sind.
Warum NIS-2 auch Unternehmen betrifft, die offiziell nicht betroffen sind
Hier kommen wir zum spannendsten Punkt des Artikels. Viele Geschäftsführer atmen auf, wenn sie feststellen: „Wir haben nur 40 Mitarbeiter und machen 8 Millionen Euro Umsatz – wir sind raus.“
Das ist ein gefährlicher Trugschluss, der die Dynamik der modernen Cybersicherheit ignoriert. Auch wenn du rechtlich nicht unter die Regelung fällst, wird die NIS-2-Richtlinie über den Marktdruck zum Standard für fast jedes Unternehmen in Deutschland.
Lieferkette: Wenn dein Kunde dich prüft
Ein Kernelement der Umsetzung der NIS-2-Richtlinie ist die Lieferkette. Das Gesetz verpflichtet große Konzerne (wesentliche Einrichtungen) ausdrücklich dazu, die Sicherheit in der Informationstechnik ihrer Zulieferer zu bewerten. Wenn du also als 30-Mann-Betrieb ein spezielles Bauteil für einen Automobilhersteller fertigst oder die Wartung für ein Chemie-Unternehmen übernimmst, wird dein Kunde demnächst anklopfen.
Er wird fragen „Erfüllt ihr die NIS-2 Standards?“ Wenn die Antwort „Nein“ oder „Vielleicht“ lautet, fliegst du aus dem Vendor-Pool. Kein Einkäufer eines Konzerns wird seinen eigenen Kopf für einen unsicheren Zulieferer hinhalten.
Wer hier keine IT-Sicherheitsstrategie nachweisen kann, riskiert, bei der nächsten Ausschreibung aussortiert zu werden. Die Sicherung von Netz- und Informationssystemen wird somit zur harten Bedingung für die Aufrechterhaltung von Geschäftsbeziehungen.
Cyberversicherungen erhöhen ihre Anforderungen
Schon vor dem Jahr 2024 stiegen die Prämien für Cyber-Policen. Mit dem neuen NIS-2 Umsetzungsgesetz haben Versicherer nun eine gesetzliche Vorlage für Mindeststandards. Wer kein funktionsfähiges Informationssicherheitsmanagement (ISMS) vorweisen kann, erhält im Schadensfall oft keine Deckung mehr. Die Versicherer orientieren sich dabei eng am BSI IT-Grundschutz.
Banken & Investoren achten stärker auf IT-Resilienz
Bei Kreditverhandlungen oder Unternehmensbewertungen (Due Diligence) wandert der Blick der Analysten immer häufiger in die IT. Eine IT-Landschaft „auf Sicht gefahren“ ohne Dokumentation ist heute ein handfestes finanzielles Risiko. NIS-2-Konformität wird zum Gütesiegel für professionelle Unternehmensführung.
Meldepflichten und Resilienz als Vertrauensanker
Ein oft unterschätzter Punkt sind die neuen Meldepflichten. Tritt eine erhebliche Störung auf, müssen betroffene Akteure schnell reagieren: Eine erste Frühwarnung muss bereits innerhalb von 24 Stunden über das BSI-Portal erfolgen. Ein detaillierter Bericht zur Bewertung ist innerhalb von 72 Stunden fällig. Um diese extrem kurze Fristen einzuhalten, ist eine hohe operative Widerstandsfähigkeit nötig. Nicht betroffene Firmen, die diese Prozesse freiwillig einführen, signalisieren ihren Partnern: Wir haben unsere Risiken im Griff.
Informationssicherheit als Wettbewerbsvorteil statt Rechtfertigungsdruck
In einer vernetzten Wirtschaft ist Cybersecurity kein reiner Kostenfaktor mehr, sondern ein Asset. Drehen wir den Spieß um: Wer heute ein ISMS auf Basis der ISO 27001 oder des BSI-Standards betreibt (auch wenn er es nicht müsste), hat im Vertrieb ein echtes Argument. Du verkaufst nicht mehr nur ein Produkt, sondern Sicherheit und Zuverlässigkeit, dass die Daten des Kunden sicher sind.
Was passiert, wenn du NIS-2 ignorierst?
Man muss keine Panik verbreiten, aber die Fakten zur Umstellung der NIS-2-Richtlinie sind eindeutig. Ein Ignorieren der Pflichten ist kein Kavaliersdelikt mehr, sondern ein direktes Risiko für die Existenz des Unternehmens.
- Bußgelder und persönliche Haftung: Wie bereits erwähnt, haften Geschäftsführer bei schuldhafter Verletzung ihrer Überwachungspflichten unter Umständen mit ihrem Privatvermögen.
- Vorsicht bei D&O-Versicherungen (Manager-Haftpflicht): Viele Manager wiegen sich hier in falscher Sicherheit. Doch bei grober Fahrlässigkeit – und dazu zählt nach aktuellem Recht bereits das Ignorieren gesetzlicher Mindeststandards wie MFA oder Backups – können D&O-Versicherungen die Deckung verweigern. Man bleibt im Ernstfall persönlich auf den Kosten sitzen.
- Reputationsschäden nach Sicherheitsvorfall: Ein Ransomware Angriff ist schlimm. Ein Ransomware-Angriff, bei dem herauskommt, dass man gesetzliche Mindeststandards ignoriert hat, ist das Ende des Kundenvertrauens.
- Kundenverlust durch fehlende Nachweise: Das Aussortiertwerden in Ausschreibungen ist oft schmerzhafter als ein einmaliges Bußgeld.
NIS-2 als Chance: So wird der Grundschutz zum Wettbewerbsvorteil
Es ist leicht, NIS-2 als bürokratisches Lastenheft zu sehen. Doch für kluge IT-Entscheider ist die Richtlinie ein Geschenk. Sie ist das perfekte Argument, um Budgets für Projekte freizubekommen, die man ohnehin seit Jahren umsetzen wollte.
Struktur statt IT-Feuerwehr
Viele IT-Abteilungen arbeiten im permanenten Ad-hoc-Modus. Ein Ticket hier, ein brennender Server da. NIS-2 zwingt das Unternehmen dazu, Prozesse zu definieren. Das Ziel: Agieren statt Reagieren. Wenn Verantwortlichkeiten geklärt und Inventare aktuell sind, sinkt die tägliche Stressbelastung massiv.
Klare Prozesse statt Chaos
Ein Incident-Response-Plan ist im Grunde nichts anderes als eine „Brandschutzübung“ für die IT. Wenn es zum Ernstfall kommt, weiß jeder, was zu tun ist. Das spart für den Ernstfall nicht nur Nerven, sondern bares Geld, da Downtime (Ausfallzeit) drastisch reduziert wird.
Vertrauen im Vertrieb aktiv nutzen
Wir bewegen uns in einem Markt, in dem Ausfallsicherheit zum Verkaufsargument wird. Ein Unternehmen, das nachweisen kann, dass es seine Hausaufgaben gemacht hat, strahlt Professionalität aus. „Wir sind NIS-2-bereit“ ist die moderne Übersetzung von „Wir sind ein verlässlicher Partner“.
So startest du jetzt sinnvoll - ohne Aktionismus
Verfalle jetzt nicht in blinden Aktionismus und kaufe teure Security-Tools, für die niemand Zeit hat. Der Weg zur erfolgreichen Umsetzung ist ein Marathon, kein Sprint.
- Portal-Check & Registrierung
Da das BSI-Portal bereits live ist, solltest du die Registrierung über „Mein Unternehmenskonto“ umgehend vornehmen, falls noch nicht geschehen. Es beststeht eine Holschuld. - Status quo und Gap-Analyse
Bevor du investierst, musst du wissen, wo du stehst. Ein Abgleich der IST-IT mit dem aktuellen „Stand der Technik“ zeigt auf: Was haben wir bereits? Und wo klaffen gefährliche Lücken (z. B. bei der MFA aller User)? - Risiken priorisieren
Man kann nicht alles gleichzeitig absichern. Identifiziere die kritischsten Geschäftsprozesse. Wenn die Produktion steht, kostet das 50.000 Euro pro Stunde? Dann hat die Absicherung der Fertigungssteuerung Vorrang vor der Archivierung alter E-Mails. Nutze den Allgefahrenansatz, um auch physische Risiken und menschliches Fehlverhalten einzukalkulieren. - Maßnahmen stufenweise ausbauen
Du musst nicht alles auf einmal perfekt machen. Nutze eine Checkliste, um deine Resilienz zu stärken und ein IT-Risikomanagement sowie einen IT-Notfallplan stufenweise aufbauen zu können. Ein solcher Plan stellt sicher, dass dein Team bei einer Störung sofort weiß, welche Schritte zur Wiederherstellung der Systeme eingeleitet werden müssen und wie die gesetzliche Frühwarnung innerhalb von 24 Stunden an das BSI erfolgt. - Dokumentation und Nachweisfähigkeit aufbauen
Das ist der „unbeliebte“ Teil, aber er ist essenziell. Im Falle einer Prüfung oder eines Vorfalls zählt nur, was geschrieben steht. Ein einfaches Informationssicherheits-Managementsystem – und sei es in Form eines gut gepflegten Wikis – ist Gold wert.
NIS-2 ist kein neues Monster, sondern überfällige IT-Hygiene
Wir sollten aufhören, NIS-2 als ein abstraktes Gesetzesmonster aus Brüssel zu betrachten. Wenn wir ehrlich sind, fordert die Richtlinie lediglich das ein, was wir unter professioneller IT-Administration schon immer verstanden haben.
Dass es erst ein Gesetz braucht, um MFA, Backups und Risikoanalysen flächendeckend zu etablieren, ist eigentlich ein Armutszeugnis für die Digitalisierung der letzten Jahre. Das neue regulatorische Rahmenwerk ist die Chance, die „technische Schuld“, die viele Unternehmen angehäuft haben, endlich abzutragen.
Am Ende profitiert nicht nur die Behörde von Meldungen eines Vorfalls, sondern vor allem das Unternehmen selbst. Denn eine resiliente IT ist kein Selbstzweck – sie ist das Rückgrat, das im digitalen Sturm den Unterschied zwischen einem blauen Auge und dem wirtschaftlichen Totalschaden ausmacht.
Diese EU-Richtlinie ist kein Hindernis. Sie ist ein Fundament, auf dem modernes Business heute stehen muss.
FAQs
Was ist die NIS-2-Richtlinie einfach erklärt?
Die NIS-2-Richtlinie ist ein EU-Gesetz zur Cybersicherheit, das seit dem 6. Dezember 2025 in Deutschland gilt. Sie verpflichtet etwa 30.000 Unternehmen dazu, grundlegende IT-Sicherheitsmaßnahmen umzusetzen – von Multi-Faktor-Authentifizierung über Backups bis hin zu Notfallplänen. Im Kern ist NIS-2 nichts anderes als IT-Grundschutz, den professionelle IT-Abteilungen ohnehin kennen. Der Unterschied: Jetzt ist er gesetzlich verpflichtend – mit echter Haftung für die Geschäftsführung.
Wer ist von der NIS-2-Richtlinie betroffen?
Betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz aus 18 definierten Sektoren – von Energie über Gesundheit bis zu Abfallwirtschaft und Lebensmittelproduktion. Ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz gelten strengere Regeln als „besonders wichtige Einrichtung“. Aber Achtung: Auch kleinere Betriebe spüren den Druck, wenn Großkunden NIS-2-Konformität in der Lieferkette verlangen.
Welche Strafen drohen bei Verstößen gegen NIS-2?
Die Bußgelder sind drastisch: Für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Dazu kommt die persönliche Haftung der Geschäftsführer mit ihrem Privatvermögen bei schuldhaften Pflichtverletzungen. D&O-Versicherungen können bei grober Fahrlässigkeit, etwa beim Ignorieren von MFA oder Backup-Pflichten, die Deckung verweigern.
Was muss ich konkret für NIS-2 umsetzen?
Die zehn Kern-Maßnahmen umfassen: Risikoanalyse, Verschlüsselung, Multi-Faktor-Authentifizierung, Zugriffskontrolle, Incident-Response-Plan, Business-Continuity-Management, Backup und Recovery, Lieferkettensicherheit, Sicherheitstests und Mitarbeiter-Schulungen. Das sind keine exotischen Anforderungen, sondern das, was im BSI IT-Grundschutz und der ISO 27001 seit Jahren steht. NIS-2 macht es nur zur rechtlichen Pflicht.
Bis wann muss ich mich registrieren?
Das BSI-Portal ist seit dem 6. Januar 2026 freigeschaltet. Betroffene Unternehmen haben drei Monate nach Feststellung ihrer Betroffenheit Zeit zur Registrierung. Wer seine Pflicht ignoriert, riskiert Bußgelder und operative Störungen. Die Registrierung erfolgt in zwei Schritten: Erst Account bei „Mein Unternehmenskonto“ anlegen (mit ELSTER-Organisationszertifikat), dann im BSI-Portal registrieren.
Welche Meldepflichten gelten bei Sicherheitsvorfällen?
Bei erheblichen IT-Sicherheitsvorfällen greift eine strenge Drei-Stufen-Regelung: Frühwarnung innerhalb von 24 Stunden über das BSI-Portal, detaillierter Bewertungsbericht nach 72 Stunden und Abschlussbericht nach 30 Tagen. Diese extrem kurzen Fristen erfordern vorbereitete Prozesse und klare Verantwortlichkeiten. Wer hier nicht strukturiert arbeitet, kommt in Erklärungsnot.
Bin ich auch betroffen, wenn ich unter dem Schwellenwert liege?
Ja, indirekt sehr wahrscheinlich. Große Unternehmen sind gesetzlich verpflichtet, die IT-Sicherheit ihrer Zulieferer zu prüfen. Wenn du wichtige Komponenten lieferst oder Wartungsdienstleistungen erbringst, wird dein Kunde bald fragen: „Erfüllt ihr die NIS-2-Standards?“ Wer keine überzeugende Antwort hat, fliegt aus dem Vendor-Pool. Auch Cyberversicherungen und Banken erhöhen ihre Anforderungen massiv.
Was ist der Unterschied zwischen NIS-2 und IT-Grundschutz?
Technisch fast keiner. Die Anforderungen der NIS-2 sind nahezu deckungsgleich mit dem BSI IT-Grundschutz und der ISO 27001. Der entscheidende Unterschied: NIS-2 ist gesetzlich verpflichtend mit persönlicher Haftung der Geschäftsführung und hohen Bußgeldern. Was früher „Best Practice“ war, ist heute Pflicht. Wer bereits nach IT-Grundschutz oder ISO 27001 arbeitet, kann bei NIS-2 entspannt Haken setzen.
Haftet der Geschäftsführer wirklich persönlich?
Ja. Geschäftsführer haften ihrer Gesellschaft gegenüber nach § 43 GmbHG bzw. § 93 AktG für Schäden aus schuldhaften Pflichtverletzungen – mit ihrem Privatvermögen. Ein Haftungsverzicht ist nach § 38 BSIG ausgeschlossen. Die Ausrede „Davon verstehe ich nichts“ gilt nicht mehr. Geschäftsführer müssen an Schulungen teilnehmen und die Umsetzung der Maßnahmen aktiv überwachen.
Kann ich die Verantwortung an meinen IT-Dienstleister delegieren?
Nein. Die Sorgfaltspflicht und Überwachungsverantwortung bleiben bei der Geschäftsführung – auch wenn externe Dienstleister die technische Umsetzung übernehmen. Du kannst nicht einfach einen IT-Partner beauftragen und dich zurücklehnen. Die Geschäftsleitung muss verstehen, was umgesetzt wird, die Risiken kennen und die Einhaltung kontrollieren. Diese Verantwortung lässt sich nicht outsourcen.
Wie prüfe ich, ob mein Unternehmen betroffen ist?
Das BSI bietet eine kostenlose, anonyme Betroffenheitsprüfung unter https://betroffenheitspruefung-nis-2.bsi.de/. Das Ergebnis ist nicht rechtlich bindend, gibt aber eine erste Einschätzung. Für die finale Beurteilung solltest du die Anlagen 1 und 2 des Gesetzes prüfen und im Zweifel rechtliche Beratung hinzuziehen. Wichtig: Es handelt sich um eine Holschuld, bedeutet, dass das Unternehmen selbst prüfen muss, nicht das BSI.
Was kostet die Umsetzung von NIS-2?
Das BSI bietet umfangreiche Hilfe: das #nis2know-Starterpaket mit Roadmaps und Checklisten, virtuelle Kick-off-Seminare mit Schritt-für-Schritt-Anleitungen, FAQs zu allen Themenbereichen und ein Service-Center (0800 274 1000).
Benedikt Behling
Benedikt Behling ist CEO von nce und seit über 15 Jahren in der IT unterwegs. Nach Stationen in IT-Infrastruktur und Versicherungsvertrieb gründete er 2015 sein eigenes Systemhaus und formte ab 2020 nce zu einem führenden Managed Service Provider. Sein Fokus: IT-Security und Awareness – weil echte Sicherheit immer bei den Menschen beginnt.
