Zum Inhalt springen

NIS2-Betroffenheit prüfen und Cybersicherheitspflichten umsetzen

Provimedia 4 Min. Lesezeit 11. Juli 2026
Unternehmerpflichten
NIS2-Betroffenheit prüfen und Cybersicherheitspflichten umsetzen

Seit dem 6. Dezember 2025 gilt in Deutschland das neue BSI-Gesetz zur Umsetzung der NIS2-Richtlinie – und damit für tausende Unternehmen in 18 Sektoren neue Pflichten zur Cybersicherheit.

Kurz erklärt: Das BSIG verpflichtet „wichtige" und „besonders wichtige" Einrichtungen in 18 Sektoren – meist ab 50 Beschäftigten oder mehr als 10 Mio. € Umsatz – zur Registrierung beim BSI, zu Risikomanagementmaßnahmen wie MFA, Backups und Lieferkettensicherheit sowie zu gestaffelten Meldefristen bei Sicherheitsvorfällen. Die Geschäftsleitung haftet persönlich, bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

Wer ist von NIS2 betroffen?

Betroffen sind „wichtige" und „besonders wichtige" Einrichtungen in einem von 18 gesetzlich definierten Sektoren – in der Regel Unternehmen ab 50 Beschäftigten oder mit mehr als 10 Millionen Euro Jahresumsatz. Zu den erfassten Sektoren zählen unter anderem Energie, Transport, Gesundheitswesen, digitale Infrastruktur, Abfallwirtschaft und verarbeitendes Gewerbe. Entscheidend ist nicht allein die Unternehmensgröße, sondern die Zugehörigkeit zu einem dieser Sektoren: Ein Softwarehaus mit 80 Mitarbeitenden kann außen vor bleiben, während ein Wasserversorger mit 55 Beschäftigten klar erfasst ist. Wer unsicher ist, sollte die Betroffenheit gezielt prüfen – etwa mit der BSI-Betroffenheitsprüfung oder einem Werkzeug wie Company Audit, das branchenspezifische Pflichten automatisch abgleicht. Innerhalb der Sektoren unterscheidet das Gesetz zusätzlich zwischen „besonders wichtigen" Einrichtungen – etwa Energie, Wasser, Bankwesen oder digitale Infrastruktur – mit proaktiver Aufsicht und „wichtigen" Einrichtungen, die das BSI anlassbezogen kontrolliert.

Was müssen betroffene Unternehmen konkret tun?

Betroffene Einrichtungen müssen sich beim BSI registrieren und ein Risikomanagement für ihre IT- und OT-Systeme aufbauen. Das Gesetz verlangt konkrete technische und organisatorische Maßnahmen, darunter Multi-Faktor-Authentifizierung, ein Backup- und Notfallkonzept, den Einsatz von Kryptografie sowie die Absicherung der Lieferkette gegenüber Dienstleistern und Zulieferern. Zusätzlich muss die Geschäftsleitung die Umsetzung dieser Maßnahmen überwachen und sich regelmäßig zu Cybersicherheitsthemen schulen lassen, da sie hierfür persönlich haftet. Die getroffenen Maßnahmen sollten außerdem dokumentiert werden, damit im Rahmen einer BSI-Prüfung oder nach einem Sicherheitsvorfall nachvollziehbar bleibt, welche Schritte wann umgesetzt wurden.

Bis wann müssen Sicherheitsvorfälle gemeldet werden?

Für erhebliche Sicherheitsvorfälle gilt ein dreistufiges Meldeverfahren beim BSI: eine Erstmeldung innerhalb von 24 Stunden, eine Folgemeldung mit Detailbewertung innerhalb von 72 Stunden und ein Abschlussbericht spätestens einen Monat nach dem Vorfall. Damit dieser Zeitplan im Ernstfall eingehalten werden kann, sollte der Meldeprozess vorab festgelegt und im Unternehmen bekannt sein – wer meldet, an wen, mit welchen Informationen.

MeldeschrittFristInhalt
Erstmeldung24 StundenKurze Meldung des Vorfalls inklusive möglicher grenzüberschreitender Auswirkungen
Folgemeldung72 StundenErste Bewertung des Vorfalls mit Schweregrad und Auswirkungen
Abschlussbericht1 MonatAusführlicher Bericht mit Ursachen, Gegenmaßnahmen und Erkenntnissen aus dem Vorfall

Was droht bei einem Verstoß gegen die NIS2-Pflichten?

Verstöße gegen die Registrierungs-, Risikomanagement- oder Meldepflichten können mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Da die Geschäftsleitung für die Überwachung der Maßnahmen persönlich haftet, können Versäumnisse zusätzlich zivilrechtliche Konsequenzen für Geschäftsführung und Vorstand nach sich ziehen. Auch Unternehmen, die selbst nicht direkt unter NIS2 fallen, spüren die Regulierung: Sie werden über Lieferketten-Anforderungen ihrer Kunden faktisch zu vergleichbaren Sicherheitsmaßnahmen gedrängt.

Die wichtigsten Schritte zur NIS2-Umsetzung

  1. Prüfen, ob das Unternehmen zu einem der 18 NIS2-Sektoren gehört, zum Beispiel mit der BSI-Betroffenheitsprüfung.
  2. Bei Betroffenheit fristgerecht beim BSI registrieren.
  3. Risikomanagementmaßnahmen umsetzen: Multi-Faktor-Authentifizierung, Backup- und Notfallkonzept, Kryptografie und Lieferkettensicherheit.
  4. Einen Meldeprozess für Sicherheitsvorfälle mit den Fristen 24 Stunden, 72 Stunden und einem Monat etablieren.
  5. Geschäftsleitung schulen und die Überwachung der Maßnahmen dokumentieren, um der persönlichen Leitungshaftung nachzukommen.

Häufige Fragen

Ab wie vielen Mitarbeitenden gilt NIS2?

Die Regelgrenze liegt bei 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz. Entscheidend ist aber zusätzlich, dass das Unternehmen einem der 18 gesetzlich benannten Sektoren angehört – Größe allein reicht für die Betroffenheit nicht aus.

Sind auch kleinere Unternehmen von NIS2 betroffen?

Direkt in der Regel nicht, wenn die Schwellenwerte nicht erreicht werden. Kleinere Zulieferer und Dienstleister betroffener Einrichtungen werden aber häufig über Lieferketten-Anforderungen ihrer Kunden faktisch zu vergleichbaren Sicherheitsmaßnahmen gedrängt.

Was passiert bei einer verspäteten Meldung eines Sicherheitsvorfalls?

Wird die gestaffelte Meldefrist von 24 Stunden für die Erstmeldung, 72 Stunden für die Folgemeldung oder einem Monat für den Abschlussbericht versäumt, liegt ein Verstoß gegen § 32 BSIG vor, der mit Bußgeld geahndet werden kann.

Haftet die Geschäftsleitung persönlich für NIS2-Verstöße?

Ja. Das BSIG sieht vor, dass die Geschäftsleitung die Umsetzung der Risikomanagementmaßnahmen überwacht, sich schulen lässt und für Versäumnisse persönlich zur Verantwortung gezogen werden kann.

Wie finde ich heraus, ob mein Unternehmen betroffen ist?

Am zuverlässigsten ist die offizielle BSI-Betroffenheitsprüfung, die Sektorzugehörigkeit, Größe und Umsatz gezielt abfragt. Wer noch unsicher ist, sollte diese Prüfung vor der Registrierung durchführen, um unnötigen Aufwand zu vermeiden.

Quelle: §§ 28, 30, 32, 33 BSIG (NIS2-Umsetzungsgesetz). Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Bereit für Ihr KI-Kompetenz-Zertifikat?

Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.