Dieser Report fasst zusammen, was Unternehmen 2026 zur NIS2-Pflicht und zur Reaktion auf einen Cyberangriff wissen müssen. Er richtet sich an Geschäftsführung und IT-Verantwortliche und verbindet zwei Ebenen: die rechtliche Pflichtenlage (NIS2) und das praktische Vorgehen im Vorfall. Alle Zahlen und Fristen sind mit Quelle und Stand belegt. Rechtsgrundlage: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSI-Gesetz neu (BSIG), zugrunde liegende EU-Richtlinie NIS2.
1. Der aktuelle Stand: NIS2 gilt
Die wichtigste Tatsache zuerst: NIS2 ist in Deutschland geltendes Recht. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft und reformiert das BSI-Gesetz. Eine Übergangsfrist für die Sicherheitsmaßnahmen gibt es nicht, die Pflichten gelten unmittelbar.
Deutschland hatte die EU-Frist (Oktober 2024) deutlich überschritten und das Gesetz erst Ende 2025 verabschiedet (Bundestag 13. November 2025, Bundesrat 20. November 2025, Inkrafttreten 6. Dezember 2025). Rund 29.500 bis 30.000 Unternehmen sind seitdem verpflichtet. Das BSI-Registrierungsportal ist seit Januar 2026 online. Die Pflichten sind bereits scharf gestellt, inklusive Sanktionen.
2. Ist mein Unternehmen betroffen?
NIS2 erfasst Unternehmen ab einer bestimmten Größe in 18 als kritisch definierten Sektoren. Die Faustregel: ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in einem der betroffenen Sektoren. Das Gesetz unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen mit unterschiedlich strengen Folgen.
Zu den 18 Sektoren gehören unter anderem Energie, Gesundheit, Wasser und Abwasser, Transport und Logistik, Produktion und Maschinenbau, Chemie, Abfallwirtschaft, digitale Infrastruktur (Cloud, DNS, Rechenzentren) und die öffentliche Verwaltung. Die Einstufung entscheidet über die Höhe der möglichen Bußgelder und die Aufsichtsintensität.
| Kriterium | Besonders wichtige Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Größe (Richtwert) | größere Unternehmen / KRITIS-nah | ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz |
| Bußgeldrahmen | bis 10 Mio. EUR oder 2 Prozent Weltumsatz | bis 7 Mio. EUR oder 1,4 Prozent Weltumsatz |
| Aufsicht | strenger, auch proaktiv | ereignisbezogen |
Quelle: NIS2UmsuCG, BSIG § 28 (Betroffenheit). Stand: Juni 2026.
Die genaue Einstufung sollte jedes Unternehmen anhand von Sektor, Größe und Tätigkeit konkret prüfen. Vertiefend: NIS2-Betroffenheit prüfen.
3. Die Pflichten im Überblick
NIS2 verlangt im Kern dreierlei: Registrierung beim BSI, Umsetzung von Risikomanagementmaßnahmen und Einhaltung der Meldepflichten bei Vorfällen. Diese drei Blöcke sind die Substanz der Pflichtenlage.
3.1 Registrierung beim BSI
Betroffene Einrichtungen müssen sich im BSI-Portal registrieren. Die gesetzliche Frist war der 6. März 2026 (drei Monate nach Inkrafttreten) und ist abgelaufen. Eine verspätete Registrierung ist weiterhin möglich und dringend ratsam, denn das Versäumnis gilt bereits als formaler Verstoß. Voraussetzung ist ein ELSTER-Organisationszertifikat über Mein Unternehmenskonto (MUK).
3.2 Risikomanagement nach § 30 BSIG
Das Gesetz verlangt einen Katalog technischer und organisatorischer Maßnahmen. Der Gesetzgeber hat sich erkennbar an ISO 27001 orientiert. Unternehmen mit einem bestehenden Informationssicherheits-Managementsystem (ISMS) erfüllen erfahrungsgemäß bereits 70 bis 80 Prozent der Anforderungen.
| Maßnahmenbereich | Was gemeint ist |
|---|---|
| Risikoanalyse | systematische Bewertung der IT-Risiken |
| Vorfallsbewältigung | Prozesse für Erkennung und Reaktion |
| Business Continuity | Notfall- und Wiederanlaufpläne, Backups |
| Lieferkettensicherheit | Sicherheit bei Dienstleistern und Zulieferern |
| Zugangskontrolle und Kryptografie | Berechtigungen, Verschlüsselung, MFA |
| Schulung der Mitarbeitenden | verpflichtende Sensibilisierung |
Quelle: BSIG § 30. Stand: Juni 2026.
Wer noch kein ISMS hat, baut nicht NIS2-Compliance, sondern ein ISMS auf, das NIS2 als Nebeneffekt abdeckt. Die verbleibenden 20 bis 30 Prozent sind NIS2-spezifisch (BSI-Registrierung, Meldewege, Geschäftsleitungspflichten). Vertiefend: NIS2-Risikomanagement rechtssicher umsetzen.
4. Die Meldepflicht: 24, 72, ein Monat
Im Vorfall greift eine gestufte Meldepflicht an das BSI. Sie ist der Punkt, an dem Theorie auf Ernstfall trifft: Ohne vorbereiteten Prozess sind diese Fristen im Chaos eines echten Angriffs kaum einzuhalten.
| Frist nach Kenntnis | Was zu melden ist | Charakter |
|---|---|---|
| 24 Stunden | Erstmeldung / Frühwarnung | kurze Erstinformation an das BSI |
| 72 Stunden | ausführliche Meldung | Bewertung, erste Erkenntnisse, Maßnahmen |
| 1 Monat | Abschlussmeldung | Ursachen, Umfang, ergriffene Gegenmaßnahmen |
Quelle: BSIG § 32. Stand: Juni 2026.
Die 24-Stunden-Frist gilt für erhebliche Sicherheitsvorfälle und beginnt mit der Kenntnis. Genau deshalb ist ein vorbereiteter Melde- und Eskalationsprozess Pflichtbestandteil der Vorbereitung, nicht Kür. Vertiefend: NIS2-Meldepflichten in der Praxis.
5. Persönliche Haftung der Geschäftsführung
Die einschneidendste Neuerung: NIS2 nimmt die Geschäftsleitung persönlich in die Pflicht. Cybersicherheit darf nicht vollständig delegiert werden. Die Leitungsebene muss die Risikomanagementmaßnahmen billigen, überwachen und sich schulen lassen.
Bei grob fahrlässigen Verstößen drohen der Geschäftsführung Konsequenzen aus dem Privatvermögen sowie, in schweren Fällen, eine vorübergehende Untersagung der Leitungstätigkeit. Diese persönliche Dimension hebt NIS2 von früheren IT-Sicherheitsvorgaben ab und macht das Thema zur Chefsache im wörtlichen Sinn.
- Billigungspflicht: die Leitung muss die Maßnahmen aktiv freigeben.
- Überwachungspflicht: laufende Kontrolle, nicht einmalige Abnahme.
- Schulungspflicht: auch die Leitungsebene muss geschult sein.
- Keine vollständige Delegation: Verantwortung bleibt bei der Geschäftsführung.
Quelle: BSIG § 38 (Geschäftsleitungspflichten). Eine sorgfältige Dokumentation der Entscheidungen und Maßnahmen ist der wichtigste Eigenschutz der Leitung. Vertiefend: Geschäftsleitungshaftung unter NIS2.
6. Der Ernstfall: Vorgehen bei einem Cyberangriff
Wenn ein Angriff läuft, zählt jede Stunde — rechtlich wegen der 24-Stunden-Frist, praktisch wegen der Schadensbegrenzung. Ein vorbereiteter Ablauf entscheidet darüber, ob ein Vorfall beherrschbar bleibt oder eskaliert.
| Phase | Sofortmaßnahmen | Hinweis |
|---|---|---|
| Erkennen | Vorfall verifizieren, Umfang grob einschätzen | Ruhe bewahren, nichts vorschnell löschen |
| Eindämmen | betroffene Systeme isolieren, Zugänge sperren | Beweise sichern, nicht vernichten |
| Melden | Erstmeldung ans BSI binnen 24 Stunden | Meldeprozess vorab definieren |
| Beheben | bereinigen, aus Backups wiederherstellen | erst nach Ursachenklärung |
| Aufarbeiten | Ursachen dokumentieren, Lücken schließen | Abschlussmeldung binnen 1 Monat |
Quelle: BSI-Empfehlungen zur Vorfallsbehandlung, allgemeine Incident-Response-Praxis.
Wichtig: Wer Systeme im Affekt löscht oder neu aufsetzt, vernichtet oft Beweise und erschwert die Aufklärung. Forensische Sicherung vor Bereinigung ist Standard.
6.1 Worauf es vorab ankommt
- Notfallplan mit klaren Rollen und Erreichbarkeiten (auch außerhalb der Geschäftszeiten).
- Definierter Meldeweg ans BSI, damit die 24-Stunden-Frist hält.
- Getestete, vom Netz getrennte Backups (gegen Ransomware-Verschlüsselung).
- Vorab benannte externe Unterstützung (IT-Forensik, rechtliche Beratung).
Häufige Fragen
- Gilt NIS2 schon oder kommt das erst?
- Es gilt. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist für die Sicherheitsmaßnahmen. Die Pflichten und Sanktionen sind bereits scharf gestellt.
- Wir haben die Registrierungsfrist verpasst, was nun?
- Die gesetzliche Frist (6. März 2026) ist abgelaufen, eine verspätete Registrierung im BSI-Portal ist weiterhin möglich und dringend ratsam. Das Versäumnis gilt als formaler Verstoß; sofortiges Nachholen reduziert das Sanktionsrisiko.
- Haftet wirklich die Geschäftsführung persönlich?
- Ja. § 38 BSIG verankert eine persönliche Verantwortung der Leitungsebene. Cybersicherheit darf nicht vollständig delegiert werden; bei grob fahrlässigen Verstößen drohen persönliche Konsequenzen bis hin zu einer vorübergehenden Untersagung der Leitungstätigkeit.
- Wir haben ISO 27001, reicht das für NIS2?
- Es deckt einen großen Teil ab — erfahrungsgemäß 70 bis 80 Prozent der Anforderungen aus § 30 BSIG. Die NIS2-spezifischen Pflichten (BSI-Registrierung, Meldewege nach § 32 BSIG, Geschäftsleitungspflichten nach § 38 BSIG) kommen ergänzend hinzu.
- Was muss innerhalb von 24 Stunden an das BSI gemeldet werden?
- Eine Frühwarnung über den Vorfall: kurze Erstinformation über Art und vermutete Ursache des erheblichen Sicherheitsvorfalls, mögliche grenzüberschreitende Auswirkungen und ob ein rechtswidriger oder böswilliger Hintergrund vermutet wird. Die ausführliche Meldung folgt binnen 72 Stunden, die Abschlussmeldung binnen eines Monats.
- Welche Bußgelder drohen bei Verstößen?
- Für besonders wichtige Einrichtungen bis 10 Mio. EUR oder 2 Prozent des weltweiten Konzernumsatzes, für wichtige Einrichtungen bis 7 Mio. EUR oder 1,4 Prozent. Maßgeblich ist jeweils der höhere Betrag.
Sie benötigen eine belastbare NIS2-Betroffenheitsprüfung, einen Vorfallplan oder Unterstützung im laufenden Angriff? Über die NIS2-Beratung, die 24/7-Soforthilfe oder die Kontaktseite erreichen Sie uns für ein strukturiertes Erstgespräch.
Dieser Report wird laufend aktualisiert. Quellen: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSI-Gesetz neu (§§ 28, 30, 32, 38, 65), Bundesamt für Sicherheit in der Informationstechnik (BSI). Stand: Juni 2026. Hinweis: Dieser Report dient der Information und ersetzt keine Rechts- oder IT-Sicherheitsberatung im Einzelfall. Pflichten und Fristen können sich ändern; maßgeblich ist die jeweils geltende Fassung der genannten Vorschriften. Die Betroffenheit ist individuell zu prüfen.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
