Das deutsche NIS2-Umsetzungsgesetz ist am 5. Dezember 2025 in Kraft getreten. Die BSI-Registrierungsfristen laufen im März 2026 ab. Dieser Leitfaden deckt alles ab, was CISOs, IT-Direktoren und Compliance-Beauftragte wissen müssen: Wer muss konform sein, welche Pflichten bestehen, welche Strafen drohen und wie man eine praktische Compliance-Roadmap aufbaut.
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie von 2016, die weithin als unzureichend in Umfang und Durchsetzung galt. Sie erweitert die Abdeckung dramatisch von ~10.000 Unternehmen unter NIS1 auf geschätzte 160.000+ Unternehmen in der gesamten EU.
NIS2 wurde entwickelt, um drei grundlegende Schwächen anzugehen: inkonsistente Umsetzung in den Mitgliedstaaten, begrenzter Anwendungsbereich mit nur wenigen Sektoren und schwache Durchsetzung mit zu niedrigen Strafen, um Veränderungen herbeizuführen.
In Deutschland ist das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) am 5. Dezember 2025 in Kraft getreten. Das BSI ist die designierte Aufsichtsbehörde, und die Registrierungsfristen beginnen am 6. März 2026.
NIS2 wechselte von einem benennungsbasierten Ansatz zu einem Größenschwellenmechanismus. Organisationen fallen automatisch in den Anwendungsbereich, wenn sie Sektor- und Größenkriterien erfüllen.
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Öl, Gas, Wasserstoff, Fernwärme |
| Verkehr | Luft-, Schienen-, Wasser-, Straßenverkehr |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Pharma, Medizinprodukte |
| Trinkwasser | Versorgung und Verteilung |
| Abwasser | Sammlung, Entsorgung, Aufbereitung |
| Digitale Infrastruktur | IXPs, DNS, TLD-Register, Cloud, Rechenzentren, CDNs |
| IKT-Service-Management (B2B) | MSPs, MSSPs |
| Öffentliche Verwaltung | Zentrale Regierungseinheiten |
| Weltraum | Betreiber bodengebundener Infrastruktur |
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Postdienstleister |
| Abfallwirtschaft | Sammlung, Transport, Behandlung |
| Chemische Herstellung | Produktion, Vertrieb |
| Lebensmittelproduktion | Verarbeitung, Vertrieb (großflächig) |
| Fertigung | Medizinprodukte, Elektronik, Maschinen, Fahrzeuge |
| Digitale Anbieter | Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungsorganisationen mit signifikanter Auswirkung |
Bestimmte Einrichtungen fallen unabhängig von der Größe in den Anwendungsbereich: qualifizierte Vertrauensdiensteanbieter, TLD-Register, DNS-Anbieter, Telekommunikationsanbieter, öffentliche Verwaltung und alleinige Anbieter wesentlicher Dienste.
| Aspekt | Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Aufsicht | Proaktiv (ex-ante) | Reaktiv (ex-post) |
| Max. Bußgeld | 10 Mio. € oder 2 % des weltweiten Umsatzes | 7 Mio. € oder 1,4 % des weltweiten Umsatzes |
| Audits | Regelmäßig, verpflichtend | Bei Nachweis der Nichteinhaltung |
| Sicherheitsanforderungen | Identisch | Identisch |
Die Sicherheitspflichten sind identisch für beide Stufen. Der Unterschied liegt nur in der Aufsichtsintensität und den Bußgeldobergrenzen.
| Frist | Anforderung | Zweck |
|---|---|---|
| 24 Stunden | Frühwarnung an CSIRT | Signal, dass ein signifikanter Vorfall aufgetreten ist |
| 72 Stunden | Incident-Benachrichtigung mit Bewertung | Schweregrad, Auswirkung, Kompromittierungsindikatoren |
| 1 Monat | Abschlussbericht | Ursachenanalyse, Auswirkung, Abhilfemaßnahmen |
Artikel 20 verlangt, dass Leitungsorgane Cybersicherheitsmaßnahmen genehmigen, Schulungen absolvieren und persönliche Verantwortung tragen. Nach dem deutschen NIS2UmsuCG drohen Führungskräften persönliche Bußgelder und potenzielle vorübergehende Suspendierungen von Managementfunktionen. Diese Haftung kann nicht vollständig delegiert werden.
Neben Bußgeldern können Behörden verbindliche Anweisungen erteilen, die Einstellung von Aktivitäten anordnen, öffentliche Bekanntmachung der Nichteinhaltung verlangen, Zertifizierungen aussetzen und – bei wesentlichen Einrichtungen – verantwortliche Personen vorübergehend von Managementfunktionen ausschließen.
Für ein Unternehmen mit 1 Mrd. € Umsatz beträgt das maximale Bußgeld für wesentliche Einrichtungen 20 Mio. €. D&O-Versicherungspolicen sollten auf Deckungslücken überprüft werden – persönliche Haftung lässt sich nicht vollständig wegversichern.
| Datum | Meilenstein |
|---|---|
| 27. Dez. 2022 | NIS2 im Amtsblatt der EU veröffentlicht |
| 16. Jan. 2023 | NIS2 tritt in Kraft |
| 17. Okt. 2024 | Umsetzungsfrist für alle Mitgliedstaaten |
| 5. Dez. 2025 | Deutschland: NIS2UmsuCG tritt in Kraft |
| 6. März 2026 | Deutschland: BSI-Registrierungsfrist |
| 17. Okt. 2027 | Europäische Kommission überprüft NIS2-Funktionsweise |
Die Registrierung im März 2026 liegt nur noch wenige Wochen entfernt. Identifizieren Sie Compliance-Lücken, bevor Sie sich registrieren.
Kostenloser NIS2-Scan →ISO 27001 bietet eine starke Grundlage, aber NIS2 fügt spezifische Anforderungen hinzu: verpflichtende Incident-Meldefristen (24h/72h/1 Monat), persönliche Haftung für Management und detaillierte Lieferkettensicherheitspflichten. Zertifizierung allein garantiert keine Compliance.
KENSAI scannt kontinuierlich Ihre externe Angriffsfläche – Domains, Subdomains, IPs, Cloud-Services, exponierte APIs – und ordnet Assets Ihrem NIS2-Scope zu. Echtzeit-Inventar dessen, was Sie schützen müssen.
Mit 332.000+ CVEs identifiziert KENSAI bekannte Schwachstellen und korreliert sie mit NIS2-Anforderungen. Jeder Befund wird nach CVSS-Score, NIS2-Relevanz und Behebungsdringlichkeit basierend auf Threat Intelligence priorisiert.
KI ordnet Ihre Sicherheitslage allen Artikel 21-Anforderungen zu: Compliance-Score, Gap-Bericht, priorisierte Behebung und Nachweisdokumentation geeignet für Regulierer und Prüfer.
Scannen Sie die externe Infrastruktur von Lieferanten, um exponierte Dienste, Schwachstellen, Zertifikatsprobleme, DNS-Fehlkonfigurationen und Datenschutzverletzungen zu identifizieren – die Lieferketten-Transparenz, die NIS2 verlangt.
Starter: 990 €/Monat — Mittlere Unternehmen im NIS2-Anwendungsbereich. Professional: 1.490 €/Monat — Komplexe Infrastruktur und Lieferketten. Enterprise: 2.490 €/Monat — Vollumfängliche Compliance-Automatisierung mit dediziertem Support.
Die aktualisierte Cybersicherheitsverordnung der EU (Richtlinie (EU) 2022/2555), die die ursprüngliche NIS-Richtlinie ersetzt. Sie etabliert verpflichtende Risikomanagementmaßnahmen, Incident-Meldung und Lieferkettensicherheitsanforderungen in 18 kritischen Sektoren.
Organisationen in 18 designierten Sektoren, die mittlere Unternehmens-Schwellenwerte (50+ Mitarbeiter oder 10+ Mio. € Umsatz) oder große Unternehmens-Schwellenwerte (250+ Mitarbeiter oder 50+ Mio. € Umsatz) erreichen. Bestimmte Einrichtungen wie DNS-Anbieter und Telekommunikationsunternehmen sind unabhängig von der Größe betroffen.
Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Plus verbindliche Anweisungen, öffentliche Bekanntmachung, Aussetzung von Zertifizierungen und persönliche Management-Haftung.
Drei Stufen: Frühwarnung innerhalb 24 Stunden, Incident-Benachrichtigung innerhalb 72 Stunden, Abschlussbericht innerhalb 1 Monat.
Artikel 20 verlangt, dass Vorstände Cybersicherheitsmaßnahmen genehmigen, Schulungen absolvieren und persönliche Verantwortung tragen. Nach deutschem Recht drohen Führungskräften persönliche Bußgelder und potenzielle vorübergehende Suspendierung.
Generell nein (unter 50 Mitarbeiter / 10 Mio. € Umsatz sind ausgenommen). Ausnahmen bestehen für Vertrauensdiensteanbieter, TLD-Register, DNS-Anbieter und Telekommunikationsunternehmen.
Signifikante Überschneidung, aber NIS2 fügt verpflichtende Incident-Meldefristen, persönliche Management-Haftung und detaillierte Lieferketten-Anforderungen hinzu. ISO 27001-Zertifizierung allein garantiert keine NIS2-Compliance.
NIS2 fokussiert auf Netzwerk-/Systemsicherheit; DSGVO auf Schutz personenbezogener Daten – beide können bei einem Cybervorfall gelten. DORA hat Vorrang für Finanzunternehmen nach dem lex specialis-Prinzip.
Dieser Leitfaden dient Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechts- und Cybersicherheitsexperten für Ihre spezifischen NIS2-Verpflichtungen.
Sehen Sie Ihre Compliance-Lücken in Minuten. KI-gestütztes Scanning mit integriertem NIS2-, DSGVO- und DORA-Mapping.
Kostenloser Scan →Sicherheit ist keine Option.
🗡️ Das KENSAI-Team
Kostenloser Sicherheitsscan Ihrer Website in 60 Sekunden
Kostenloser Sicherheitsscan →