Auch bekannt als: NIS-2-Richtlinie, Network and Information Security Directive 2
- Richtlinie EU 2022/2555 (NIS2)
- NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG vom 06.12.2025
- BSI-Gesetz (BSIG)
Hintergrund
Die NIS2-Richtlinie löst die NIS1-Richtlinie von 2016 ab. Sie reagiert auf die deutliche Zunahme von Cyberangriffen, insbesondere auf Versorger, Lieferketten und mittelständische Unternehmen, und erweitert sowohl den Anwendungsbereich als auch die Pflichten der erfassten Einrichtungen. Sie war bis zum 17. Oktober 2024 in nationales Recht umzusetzen.
Deutschland hat die Umsetzung mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vollzogen. Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten und ändert insbesondere das BSI-Gesetz, das in den Paragrafen zu Sicherheitsanforderungen und Meldepflichten den materiellen Kern der NIS2-Pflichten enthält.
Wer betroffen ist
NIS2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Erfasst sind Einrichtungen in 18 Sektoren, darunter Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleister, Verwaltung, Postdienste, Abfall, Chemie, Lebensmittel, Hersteller bestimmter Produkte, Anbieter digitaler Dienste, Forschung.
Maßstab ist regelmäßig die Unternehmensgröße. Erfasst sind in der Regel mittlere und große Unternehmen, also ab 50 Beschäftigten oder ab 10 Millionen Euro Jahresumsatz. Für bestimmte kritische Sektoren und Anbieter gilt eine Pflicht unabhängig von der Größe. Schätzungen gehen von rund 30.000 betroffenen Unternehmen in Deutschland aus.
Pflichten
Die zentralen Pflichten umfassen ein Risikomanagement nach Stand der Technik, das mindestens die in NIS2 genannten Bereiche abdeckt: Risikoanalyse und Informationssicherheitspolitik, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, Lieferkettensicherheit, Sicherheit beim Erwerb, Entwicklung und Wartung von IT, Verfahren zur Bewertung der Wirksamkeit, grundlegende Cyberhygiene und Schulungen, Kryptografie, Personalsicherheit, Multi-Faktor-Authentifizierung und gesicherte Kommunikation.
Hinzu kommen Meldepflichten bei erheblichen Sicherheitsvorfällen, eine Registrierungspflicht und die persönliche Verantwortung der Geschäftsleitung, die Risikomanagementmaßnahmen zu billigen, deren Umsetzung zu überwachen und an regelmäßigen Schulungen teilzunehmen.
Meldepflichten
Erhebliche Sicherheitsvorfälle sind dem BSI nach einem dreistufigen Schema zu melden. Erstmeldung innerhalb von 24 Stunden, ausführliche Meldung innerhalb von 72 Stunden mit Erstbewertung und ergriffenen Maßnahmen, Abschlussbericht innerhalb eines Monats. Bei laufenden Vorfällen sind Zwischenmeldungen möglich.
Sanktionen
Verstöße können mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen und bis zu 7 Millionen Euro oder 1,4 Prozent bei wichtigen Einrichtungen geahndet werden. Die Geschäftsleitung haftet persönlich, ein Ausschluss aus der Leitungsfunktion ist als Sanktion vorgesehen.
Häufige Fragen
Häufige Fragen
- Gilt NIS2 auch für den Mittelstand
- Ja. Der Schwellenwert ab 50 Beschäftigten oder 10 Millionen Euro Umsatz erfasst viele mittelständische Unternehmen. Auch Zulieferer betroffener Unternehmen müssen die Lieferkettenanforderungen erfüllen.
- Sind die Pflichten seit dem 6. Dezember 2025 ausnahmslos einzuhalten
- Im Grundsatz ja. Das Gesetz sieht keine generelle Übergangsfrist vor. Einzelne Pflichten wie die Registrierung haben gesonderte Fristen, das Risikomanagement und die Meldepflichten gelten unmittelbar.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
