Die NIS-2-Richtlinie weitet die Cybersecurity-Pflichten drastisch aus: Rund 30.000 Unternehmen in Deutschland sind betroffen -- viele wissen es noch nicht. Erfahren Sie, welche Sektoren erfasst sind, welche Sicherheitsanforderungen gelten, wie die persönliche Geschäftsführerhaftung ausgestaltet ist und wie Sie sich mit einer Compliance-Roadmap vorbereiten.
NIS-2: Die Cybersecurity-Pflicht, die 30.000 Unternehmen noch nicht kennen
Seit dem 6. Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Es setzt die europäische Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) in nationales Recht um und erweitert die Cybersecurity-Pflichten für Unternehmen drastisch. Während die bisherige KRITIS-Regulierung nur rund 4.500 Betreiber kritischer Infrastrukturen betraf, fallen unter das neue Regime etwa 30.000 Unternehmen und Bundeseinrichtungen. Viele von ihnen wissen es noch nicht -- denn die Behörden informieren betroffene Unternehmen nicht aktiv. Wer nicht selbst prüft, riskiert empfindliche Bußgelder und persönliche Haftung der Geschäftsleitung.
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie ist die Nachfolgerin der ersten NIS-Richtlinie aus dem Jahr 2016. Sie verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union zu schaffen. Im Vergleich zur Vorgängerrichtlinie erweitert NIS-2 den Anwendungsbereich erheblich, verschärft die Sicherheitsanforderungen und führt ein einheitliches Sanktionsregime ein. Die Europäische Agentur für Cybersicherheit (ENISA) unterstützt die Mitgliedstaaten bei der Umsetzung mit technischen Leitlinien und Implementierungshilfen.
Wer ist betroffen? Essential und Important Entities
Die neue Kategorisierung
NIS-2 teilt betroffene Einrichtungen in zwei Kategorien:
Besonders wichtige Einrichtungen (Essential Entities):
- Unternehmen mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Jahresumsatz in kritischen Sektoren
- Unabhängig von der Größe: Qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Diensteanbieter, Telekommunikationsanbieter
- KRITIS-Betreiber gemäß der bisherigen Regulierung
Wichtige Einrichtungen (Important Entities):
- Mittlere Unternehmen (50 bis 249 Beschäftigte oder 10 bis 50 Mio. Euro Jahresumsatz) in den erfassten Sektoren
- Vertrauensdiensteanbieter und bestimmte Domainregistrierungsdienste
Sektorabdeckung: Die drastische Erweiterung
Die NIS-2-Richtlinie erfasst 18 Sektoren -- deutlich mehr als die bisherige KRITIS-Regulierung nach § 8a BSIG, die sich auf acht Sektoren beschränkte. Zu den Sektoren mit hoher Kritikalität gehören: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastrukturen, IKT-Dienstemanagement, öffentliche Verwaltung und Weltraum. Weitere erfasste Sektoren sind: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.
Besonders relevant für den Mittelstand: Auch Unternehmen des verarbeitenden Gewerbes -- etwa Maschinenbau, Fahrzeugbau, Elektrotechnik -- sind erstmals von Cybersecurity-Pflichten betroffen, sofern sie die Schwellenwerte überschreiten.
Betroffenheitsprüfung
Das BSI bietet eine Online-Betroffenheitsprüfung an, mit der Unternehmen in wenigen Schritten klären können, ob sie unter die neue Regulierung fallen. Diese Prüfung sollte jedes Unternehmen zeitnah durchführen.
Sicherheitsanforderungen nach Art. 21
Zehn Kernmaßnahmen
Art. 21 der NIS-2-Richtlinie und die entsprechenden Vorschriften des novellierten BSIG verpflichten betroffene Einrichtungen zu einem gefahrenübergreifenden Ansatz (All-Hazards-Approach) beim Risikomanagement. Die zehn verpflichtenden Maßnahmenbereiche umfassen:
- Risikoanalyse und Sicherheitskonzepte für Netz- und Informationssysteme
- Bewältigung von Sicherheitsvorfällen (Incident Response)
- Aufrechterhaltung des Betriebs -- Backup-Management, Notfall-Wiederherstellung, Krisenmanagement
- Sicherheit der Lieferkette einschließlich der Beziehungen zu Zulieferern und Dienstleistern
- Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
- Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
- Grundlegende Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Kryptografie und Verschlüsselung -- Konzepte und Verfahren
- Sicherheit des Personals, Zugriffskontrolle und Asset-Management
- Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, gesicherte Kommunikation
Verhältnismäßigkeit
Die Maßnahmen müssen dem Risiko angemessen sein. Dabei sind die Größe der Einrichtung, die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen, die gesellschaftlichen und wirtschaftlichen Auswirkungen sowie der Stand der Technik zu berücksichtigen. Kleine und mittlere Unternehmen müssen nicht dasselbe Sicherheitsniveau wie DAX-Konzerne erreichen -- aber sie müssen nachweisbar angemessene Maßnahmen treffen.
Meldepflichten nach Art. 23: Enge Fristen
Die Meldepflichten bei erheblichen Sicherheitsvorfällen sind streng gestaffelt und lassen wenig Spielraum:
- 24 Stunden: Frühwarnung an das BSI mit einer ersten Bewertung des Vorfalls
- 72 Stunden: Ausführliche Meldung mit Bewertung des Vorfalls, Schweregrad und Auswirkungen
- 1 Monat: Abschlussbericht mit detaillierter Beschreibung, Ursachenanalyse und ergriffenen Maßnahmen
Ein Sicherheitsvorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht oder verursachen kann, oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt.
Praxishinweis: Die 24-Stunden-Frist beginnt ab Kenntnis des Vorfalls. Unternehmen benötigen daher funktionierende Detektionssysteme und einen eingeübten Incident-Response-Prozess, um diese Frist einhalten zu können. Schnelligkeit geht dabei vor Vollständigkeit -- eine erste Meldung muss auch dann erfolgen, wenn noch nicht alle Details bekannt sind.
Geschäftsführerhaftung: Persönliche Verantwortung
Das Novum der NIS-2
Einer der einschneidendsten Aspekte der NIS-2-Umsetzung ist die persönliche Haftung der Geschäftsleitung. Leitungsorgane -- also Geschäftsführer einer GmbH, Vorstände einer AG oder persönlich haftende Gesellschafter -- müssen:
- Die Risikomanagementmaßnahmen nach Art. 21 billigen und deren Umsetzung überwachen
- An Schulungen im Bereich der Cybersicherheit teilnehmen und solche Schulungen auch für Mitarbeiter anbieten
- Für Verstöße gegen diese Pflichten persönlich haften
Haftungsumfang
Die Geschäftsleitung haftet nach den Regeln des jeweils anwendbaren Gesellschaftsrechts. Besonders wichtig: Ein Verzicht des Unternehmens auf Ersatzansprüche gegen die Geschäftsleitung ist ausgeschlossen. Ebenso ist ein Vergleich über solche Ansprüche nur unter engen Voraussetzungen möglich -- nämlich nur bei Zahlungsunfähigkeit der Geschäftsleitung und zum Schutz der Gläubiger. Damit geht NIS-2 deutlich über die bisherige gesellschaftsrechtliche Praxis hinaus.
Sanktionen: Bis zu 10 Mio. Euro oder 2 % des Umsatzes
Bußgeldrahmen
Das Sanktionsregime orientiert sich an der DSGVO:
Für besonders wichtige Einrichtungen:
- Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag ist maßgeblich)
Für wichtige Einrichtungen:
- Bußgelder bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
Weitere Aufsichtsmaßnahmen
Neben Bußgeldern stehen den Aufsichtsbehörden weitere Instrumente zur Verfügung:
- Anordnungen zur Umsetzung bestimmter Maßnahmen
- Sicherheitsaudits und Überprüfungen vor Ort
- Warnungen an die Öffentlichkeit (Naming and Shaming)
- Bei besonders wichtigen Einrichtungen: Vorübergehende Untersagung von Leitungsaufgaben für die verantwortlichen Personen
Verhältnis zur bisherigen KRITIS-Regulierung
Kontinuität und Erweiterung
Unternehmen, die bereits als KRITIS-Betreiber nach § 8a BSIG reguliert waren, werden nicht bei null anfangen müssen. Die bisherigen Anforderungen -- insbesondere das Erfordernis angemessener technischer und organisatorischer Maßnahmen und die Nachweispflicht alle zwei Jahre -- bilden eine solide Grundlage. Allerdings kommen zusätzliche Pflichten hinzu: die erweiterten Meldepflichten, die Registrierungspflicht beim BSI und die ausdrückliche Geschäftsführerverantwortung.
Registrierungspflicht
Alle betroffenen Einrichtungen mussten sich bis zum 6. März 2026 im BSI-Portal registrieren. Für die Registrierung wird ein ELSTER-Organisationszertifikat benötigt. Wer die Frist versäumt hat, sollte die Registrierung unverzüglich nachholen, um das Sanktionsrisiko zu minimieren.
Praktische Compliance-Roadmap
Schritt 1: Betroffenheitsanalyse
Prüfen Sie anhand der Unternehmensgröße (Beschäftigtenzahl, Jahresumsatz, Jahresbilanzsumme) und der Branchenzugehörigkeit, ob Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung einzustufen ist. Nutzen Sie dafür die BSI-Betroffenheitsprüfung.
Schritt 2: GAP-Analyse
Vergleichen Sie Ihr bestehendes Informationssicherheitsniveau mit den Anforderungen des Art. 21. Identifizieren Sie Lücken in den zehn Maßnahmenbereichen. Unternehmen mit einem bestehenden ISMS nach ISO 27001 oder dem BSI IT-Grundschutz haben hier einen Vorsprung.
Schritt 3: Risikomanagement implementieren
Etablieren Sie einen gefahrenübergreifenden Risikomanagementprozess. Dokumentieren Sie Risiken, Maßnahmen und deren Wirksamkeit systematisch. Beziehen Sie die Lieferkette explizit in die Risikobetrachtung ein.
Schritt 4: Incident-Response aufbauen
Entwickeln Sie einen Incident-Response-Plan, der die Einhaltung der 24-Stunden-Frühwarnfrist sicherstellt. Testen Sie den Plan regelmäßig durch Tabletop-Exercises und simulierte Vorfälle.
Schritt 5: Geschäftsleitung einbinden
Stellen Sie sicher, dass die Geschäftsleitung ihre Billigungs- und Überwachungspflichten kennt und wahrnimmt. Dokumentieren Sie die Teilnahme an Cybersicherheitsschulungen. Verankern Sie Cybersecurity als festen Tagesordnungspunkt in den Leitungsgremien.
Schritt 6: Registrierung und Dokumentation
Registrieren Sie sich im BSI-Portal, benennen Sie eine 24/7 erreichbare Kontaktstelle und dokumentieren Sie alle Maßnahmen lückenlos -- die Nachweispflicht liegt bei Ihnen.
Fazit
Die NIS-2-Richtlinie und das NIS2UmsuCG markieren einen Paradigmenwechsel in der deutschen Cybersecurity-Regulierung. Die Ausweitung auf rund 30.000 Unternehmen, die persönliche Geschäftsführerhaftung und die empfindlichen Sanktionen machen deutlich: Cybersicherheit ist kein IT-Thema mehr, sondern Chefsache. Unternehmen, die jetzt nicht handeln, setzen sich erheblichen rechtlichen und finanziellen Risiken aus. Wer hingegen frühzeitig eine solide Compliance-Struktur aufbaut, schützt nicht nur das Unternehmen vor Sanktionen, sondern stärkt auch die Resilienz gegen die stetig wachsende Bedrohungslage.
Bei compleneo unterstützen wir Sie bei der NIS-2-Betroffenheitsanalyse, der Implementierung eines rechtskonformen Cybersecurity-Compliance-Programms und der Beratung zur Geschäftsführerhaftung. Sprechen Sie uns an.
