Wissen/Was ist NIS2 und wer muss reagieren?

Was ist NIS2 und wer muss reagieren?

NIS2 ist die EU-Cybersicherheits-Richtlinie, das deutsche NIS2UmsuCG ist seit 6.12.2025 in Kraft. Wer betroffen ist, welche Sektoren erfasst werden und welche Fristen jetzt gelten. Stand: 2026-05-17.

ComplyCheck-Redaktion · Stand: 2026-05-18

nis2mittelstandcompliancebetroffenheit

Was ist NIS2 und wer muss reagieren?

Rechtsstand

Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.

Begriff

NIS2 bezeichnet die Richtlinie (EU) 2022/2555 — die zweite europäische Network-and-Information-Systems-Richtlinie. Sie wurde am 14. Dezember 2022 vom EU-Gesetzgeber verabschiedet und musste bis zum 17. Oktober 2024 durch die Mitgliedsstaaten in nationales Recht überführt werden.

In Deutschland geschieht das durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Das Gesetz wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet (BGBl. 2025 I Nr. 301) und ist zum selben Datum in Kraft getreten. Den aktuellen Stand pflegt der BMI-Themenbereich Cybersicherheit. Zentrale Aufsichtsbehörde ist das BSI.

Seit dem 6. Dezember 2025 ist das NIS2UmsuCG in Kraft (BGBl. 2025 I Nr. 301). Die früheren Regelwerke (BSI-Gesetz alt + IT-Sicherheitsgesetz 2.0) werden schrittweise abgelöst — Übergangsregelungen sind in den jeweiligen Sektor-Verordnungen geregelt.

Hinweis

Was ist neu gegenüber NIS1?

NIS2 erweitert den Geltungsbereich von ~3 Tsd. auf ~30 Tsd. Unternehmen in DE, führt erstmals persönliche Haftung der Geschäftsleitung ein (Art. 20), verschärft Meldepflichten von „unverzüglich" auf konkrete 24-h-/72-h-Fristen (Art. 23) und erweitert Sanktionen auf bis zu 10 Mio. € bzw. 2 % Konzernumsatz (Art. 34).

Wer ist betroffen

NIS2 unterscheidet zwei Kategorien:

  • Wesentliche Einrichtungen (Art. 3 Abs. 1 NIS2) — strengere Aufsicht, höhere Bußgelder, regelmäßige Audits.
  • Wichtige Einrichtungen (Art. 3 Abs. 2 NIS2) — Aufsicht reaktiv, Bußgelder niedriger, Audits nur anlassbezogen.

Ein Unternehmen fällt grundsätzlich unter NIS2, wenn:

  1. der Sektor erfasst ist (siehe nächste Sektion), und
  2. die Größe über der Schwelle liegt: ab 50 Mitarbeitenden oder ab 10 Mio. € Jahresumsatz und 10 Mio. € Bilanzsumme.

Es gibt drei wichtige Ausnahmen:

  • Anbieter qualifizierter Vertrauensdienste, TLD-Registries, DNS-Anbieter und ähnliche Schlüsselrollen fallen unabhängig von der Größe unter NIS2.
  • Bestimmte Einrichtungen des Bundes und der Länder können vom NIS2UmsuCG ergänzend erfasst werden.
  • Kleinst- und Kleinunternehmen können erfasst werden, wenn die Bundesregierung sie als „kritisch" einstuft (Art. 2 Abs. 2 NIS2).

Für die meisten KMU mit 50-250 Mitarbeitenden in den erfassten Sektoren ist die Antwort: ja, ihr seid betroffen. Die Selbstprüfung über den ComplyCheck-NIS2-Scope-Check oder direkt anhand der BSI-Sektorenliste ist der erste Schritt.

Achtung

„Wir sind zu klein"

Viele KMU-Geschäftsführer hören „50 Mitarbeiter" und winken ab. Aber: die Schwelle ist 50 MA ODER 10 Mio. € Umsatz — nicht und. Plus: in mehr als der Hälfte der Sektoren genügt schon eine Tier-2-Zulieferer-Rolle, um indirekt NIS2-pflichtig zu werden. Wer eine Konzern-Mutter mit >250 MA als Kunden hat, sollte den Lieferantenkette-Aspekt nicht übersehen.

Sektoren-Liste

Die Richtlinie erfasst 18 Sektoren in zwei Anhängen.

Anhang I — Wesentliche Sektoren (höhere Aufsichtsdichte):

  • Energie (Strom, Fernwärme/Fernkälte, Erdöl, Erdgas, Wasserstoff)
  • Verkehr (Luft, Schiene, Schiff, Straße)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Hersteller von Arzneimitteln, MDR-Hersteller von medizinischen Geräten)
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (IXPs, DNS-Anbieter, TLD-Register, Anbieter von Cloud-Computing, Anbieter von Rechenzentrumsdienstleistungen, CDN, Vertrauensdiensteanbieter, öffentliche elektronische Kommunikation)
  • IKT-Dienste-Management (B2B) — neu in NIS2
  • Öffentliche Verwaltung (Bund und Länder, soweit erfasst)
  • Weltraum

Anhang II — Wichtige Sektoren:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung, Verarbeitung, Vertrieb)
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Hersteller (Medizinprodukte, Datenverarbeitung, elektronische und optische Erzeugnisse, Elektroausrüstung, Maschinen, Kraftfahrzeuge, andere Fahrzeuge)
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Die vollständigen Definitionen liefert die BSI-Sektoren-Übersicht. Die genaue Zuordnung — insbesondere im B2B-IT-Dienste-Management — ist im Einzelfall zu prüfen, weil die Sektor-Definition über NACE-Codes hinausgeht.

Pflichten und Mindestmaßnahmen

Art. 21 NIS2 verlangt von erfassten Einrichtungen die Umsetzung von 11 Mindestmaßnahmen zum Risikomanagement (separat behandelt in „NIS2-Mindestmaßnahmen — die elf Pflichten kompakt").

Hinzu kommen drei Pflichten, die direkt aus dem Gesetzestext folgen:

  • Meldepflicht (Art. 23 NIS2): erhebliche Sicherheitsvorfälle müssen in einer dreistufigen Eskalation gemeldet werden — Frühwarnung binnen 24 Stunden, Vorfallsmeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats.
  • Geschäftsleitungs-Verantwortung (Art. 20 NIS2): die Leitungsorgane müssen Risikomanagement-Maßnahmen genehmigen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Persönliche Haftung möglich.
  • Registrierung: erfasste Einrichtungen müssen sich nach nationalem Recht beim BSI registrieren. Die Selbsteinschätzung der Betroffenheit ist Pflicht.

Zeitachse und Fristen

Datum Ereignis
14.12.2022 Verabschiedung NIS2 im EU-Gesetzgebungsverfahren
16.01.2023 Inkrafttreten der Richtlinie
17.10.2024 Frist zur nationalen Umsetzung — von Deutschland überschritten
6.12.2025 NIS2UmsuCG in Kraft (BGBl. 2025 I Nr. 301); Stand wird beim BMI gepflegt
6.3.2026 (= 6.12.2025 + 3 Monate) Pflicht zur Selbstregistrierung beim BSI (Frist nach § 33 NIS2UmsuCG)

Mit dem Inkrafttreten am 6.12.2025 sind die NIS2UmsuCG-Pflichten wirksam — Vorbereitung im Sinne der Maßnahmen-Aufbauarbeit (Schulungen, Dokumentation, Incident-Response-Prozesse) ist umso wichtiger, da der Aufbau Monate dauert.

Praxis: Was KMU jetzt tun sollten

Praxis-Tipp

in einer Woche

Bevor die große Lückenanalyse startet, lohnen sich drei Sofort-Schritte: (1) Scope-Check abschließen (NIS2-Check auf complycheck.de, ~10 Min), (2) Asset-Inventar IT/OT erstellen — wer hat was, welche Daten —, (3) Geschäftsleitung formal informieren (E-Mail-Brief, dokumentiert für die NIS2-Geschäftsleitungs-Pflicht aus Art. 20). Diese drei Schritte sind unter 8h Arbeit und legen die Grundlage für die nächsten 3-6 Monate Compliance-Aufbau.

In dieser Reihenfolge:

  1. Scope-Check: prüfen, ob Sektor + Größe NIS2 auslösen. Hilfsmittel: ComplyCheck-NIS2-Scope-Check oder direkt die BSI-Sektorenliste.
  2. Lückenanalyse: bestehende Maßnahmen mit den 11 Art.-21-Pflichten abgleichen. Ergebnis: Was ist da, was fehlt.
  3. Geschäftsleitung einbinden: NIS2 erzeugt persönliche Haftung. Schulungsplan + Maßnahmen-Genehmigung dokumentieren.
  4. Incident-Response-Prozess aufsetzen oder verschärfen: 24-h-Frühwarnung erzwingt klare Eskalationspfade.
  5. Registrierungs-Vorbereitung: Ansprechpartner, Sektor-Zuordnung und technische Stammdaten bereithalten — die Frist nach § 33 NIS2UmsuCG ist 3 Monate (bis 6.3.2026 für am Inkrafttreten bereits erfasste Einrichtungen).

Schritt 1-3 sind in jedem Fall sinnvoll. Schritt 4-5 sind seit Inkrafttreten am 6.12.2025 scharf.

FAQ

Wann tritt das deutsche NIS2-Gesetz in Kraft?

Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Den aktuellen Stand pflegt das BMI in seinem Themenbereich Cybersicherheit. Registrierungs- und Umsetzungsfristen sind aktiv — siehe BSI-Selbstregistrierungs-Portal.

Muss ich mich aktiv beim BSI registrieren?

Ja. Nach § 33 NIS2UmsuCG müssen sich erfasste Einrichtungen binnen drei Monaten nach Inkrafttreten beim BSI registrieren — also bis spätestens 6. März 2026 für solche, die zum Inkrafttreten bereits unter die Pflicht fallen. Die Selbsteinschätzung der Betroffenheit ist Teil der Pflicht — passive Wahrnehmung („wir warten, bis das BSI sich meldet") reicht nicht.

Was passiert, wenn ich NIS2 ignoriere?

Verstöße können mit Bußgeldern bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen) bzw. 7 Mio. € oder 1,4 % (wichtige Einrichtungen) belegt werden (Art. 34 NIS2 + nationale Umsetzung). Zusätzlich besteht persönliche Haftung der Geschäftsleitung. Die genauen Bußgeld-Schwellwerte regelt das NIS2UmsuCG in der seit 6. Dezember 2025 geltenden Fassung (BGBl. 2025 I Nr. 301).

Sind wir auch betroffen, wenn wir nur Zulieferer für ein NIS2-Unternehmen sind?

Indirekt. Das Thema „Lieferanten-Pflichten" wird in einem separaten Artikel behandelt: „NIS2-Lieferanten: bin ich indirekt betroffen?". Direkt unter NIS2 fallen nur Sektoren laut Anhang I/II. Aber Art. 21 Abs. 2 lit. d) NIS2 verpflichtet erfasste Einrichtungen, die Lieferketten-Sicherheit zu adressieren — was auf Zulieferer durchgereicht wird.

Ist NIS2 deckungsgleich mit KRITIS?

Nein. KRITIS ist das deutsche Konzept der „Kritischen Infrastrukturen" mit eigenen Schwellwerten in der KritisV. NIS2 überlagert dieses Konzept und erweitert es deutlich. Ein Großteil der bisherigen KRITIS-Betreiber fällt auch unter NIS2, aber NIS2 erfasst zusätzlich Sektoren, die nicht KRITIS waren (z.B. IT-Dienstleister im B2B-Bereich, Forschungseinrichtungen). Die Abgrenzung wird im Sektoren-Profil des BSI dokumentiert.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 18. Mai 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.